Un día típico en la vida de un analista de ciberseguridad

En este artículo, aprenderás en detalle qué es lo que hago como analista de seguridad informática en mi día a día. Aunque no puedo mostrarte las herramientas que utilizo para evitar tener problemas en mi trabajo, puedo darte ejemplos bastante cercanos para explicarte lo que hago.

Índice

1 Investigaciones diarias y análisis de alertas
2 Ejemplo de una alerta
3 Determinando el comportamiento
4 Análisis del archivo ejecutable
5 Revisión de los registros de CrowdStrike
6 Ejecución del archivo en el sandbox de CrowdStrike
7 Conclusiones y redacción del informe
8 Resumen de la jornada del analista de seguridad
9 Tabla de resumen
10 Preguntas frecuentes (FAQs)

Investigaciones diarias y análisis de alertas

Diariamente, me dedico a realizar investigaciones exhaustivas sobre las alertas de seguridad que recibimos. Para ello, tengo que revisar logs y archivos en busca de posibles amenazas o falsos positivos. Aunque pueda parecer aburrido, te aseguro que es mucho mejor que tener que llamar a Karen por quinta vez en la semana para explicarle que reinicie su computadora y no la apague para evitar bloqueos, ya que no siempre tiene activada la conexión VPN.

Ejemplo de una alerta

Imaginemos que recientemente recibí una alerta relacionada con un archivo ejecutable llamado «msiexec.exe» en un determinado host a través de la solución antivirus de CrowdStrike. Lo primero que hago es revisar la alerta para entender sobre qué se basó. En este caso, se trató de un archivo ejecutable relacionado con una instalación de Autodesk, una empresa que generalmente es utilizada por arquitectos e ingenieros. Observé los registros de CrowdStrike y encontré que este archivo se ejecutó como parte de una instalación de paquete de Autodesk.

Determinando el comportamiento

Después de identificar qué fue lo que activó la alerta y quién lo ejecutó, me dedico a investigar si el comportamiento es normal para esa persona en particular, teniendo en cuenta aspectos como el puesto de trabajo y el tipo de tareas que realiza. En este caso, la persona que ejecutó el archivo resultó ser el director de merchandising, lo cual podría tener sentido considerando que Autodesk es capaz de crear mapas 3D para equipamiento de merchandising o el propio edificio. Si este comportamiento hubiera sido de algún empleado de merchandising en general, me resultaría más sospechoso.

Análisis del archivo ejecutable

Para asegurarnos de que el archivo no representa una amenaza, realizamos una verificación exhaustiva. CrowdStrike suele proporcionar los hashes de los archivos potencialmente maliciosos, pero por seguridad extra, nos conectamos al equipo y revisamos el archivo por nuestra cuenta. Corroboramos la legitimidad del archivo al ejecutar su hash en VirusTotal, y para nuestra tranquilidad, el resultado fue negativo en cuanto a cualquier tipo de amenaza.

Revisión de los registros de CrowdStrike

Para asegurarnos de que no haya ningún indicio sospechoso, revisamos los registros de CrowdStrike en busca de cualquier cambio en las unidades de disco o en el registro de Windows que esté fuera del ámbito de lo que Autodesk realiza durante su instalación. Afortunadamente, solo encontramos cambios esperados en las carpetas de Windows y los permisos del registro que permiten a Autodesk ejecutar sus dependencias. No hay rutas de carpetas aleatorias ni cambios de registro en lugares inusuales. El archivo ejecutable que marcaba la alerta también se encuentra en la ruta de archivo esperada.

Ejecución del archivo en el sandbox de CrowdStrike

Antes de llegar a una conclusión definitiva, decidimos someter el archivo ejecutable a una prueba adicional en el sandbox proporcionado por CrowdStrike. El resultado indica que el archivo es malicioso, pero eso se debe a las API y los parches que se instalan. No se genera ningún tráfico de red al ejecutarlo y todo parece estar dentro de lo esperado.

Conclusiones y redacción del informe

A partir de todas las investigaciones realizadas, podemos afirmar con confianza que se trató de un falso positivo y que el archivo ejecutable forma parte de una instalación legítima de Autodesk. Ahora podemos restaurar el archivo y redactar nuestras notas de ticket con toda la evidencia encontrada para respaldar nuestra determinación. Es crucial que nuestras notas sean detalladas y abarquen todos los aspectos de nuestra investigación, para evitar futuros problemas. Por supuesto, a veces podemos pasar por alto algo, y por eso es importante realizar investigaciones exhaustivas. Este caso en particular nos llevó alrededor de dos horas, pero eso se debe a que soy nuevo en el campo.

Resumen de la jornada del analista de seguridad

Repitiendo este tipo de investigaciones a lo largo del día, podemos afirmar que esto es lo que hago en mi día a día como analista de seguridad. Agradezco mucho que hayas prestado atención y espero que te haya brindado una mejor idea de lo que implica mi trabajo. Si te ha gustado este contenido y quieres ver más, ¡no olvides suscribirte y comentar! Además, te invito a que explores los artículos relacionados en mi página web.

Tabla de resumen

A continuación, se presenta una tabla que resume la información presentada en este artículo.

Actividad	Descripción
Investigaciones diarias y análisis de alertas	Revisión de logs y archivos para determinar si las alertas son amenazas reales o falsos positivos.
Ejemplo de una alerta	Análisis detallado de un archivo ejecutable detectado como parte de una instalación de Autodesk.
Determinando el comportamiento	Investigación sobre quién ejecutó el archivo y si esto es un comportamiento normal para esa persona.
Análisis del archivo ejecutable	Verificación del archivo mediante la revisión de su hash en VirusTotal y su ejecución en el equipo.
Revisión de los registros de CrowdStrike	Análisis de los cambios realizados en las unidades de disco y en el registro de Windows during una instalación de Autodesk.
Ejecución del archivo en el sandbox de CrowdStrike	Prueba adicional para comprobar si el archivo genera algún tipo de actividad sospechosa.
Conclusiones y redacción del informe	Conclusión de que se trata de un falso positivo y redacción de un informe detallado sobre la investigación realizada.

Preguntas frecuentes (FAQs)

Aquí encontrarás respuestas a algunas preguntas frecuentes relacionadas con mi trabajo como analista de seguridad:

¿Cuánto tiempo lleva realizar un análisis exhaustivo como el mencionado en el artículo?
– Puede variar, pero generalmente toma varias horas para realizar un análisis detallado.
¿Qué herramientas utilizas para realizar estas investigaciones?
– No puedo revelar las herramientas específicas que utilizo por razones de seguridad, pero puedo decir que utilizo una variedad de software y recursos disponibles en el campo.
¿Cómo te aseguras de no pasar por alto ninguna amenaza?
– Realizo investigaciones exhaustivas, revisando todos los registros y archivos relevantes para buscar cualquier indicio de actividad maliciosa o sospechosa. Además, colaboro con otros expertos en ciberseguridad para obtener diferentes perspectivas y asegurarnos de no pasar por alto ningún aspecto importante.
¿Qué consejo le darías a alguien que quiere convertirse en analista de seguridad informática?
– Recomiendo tener un sólido conocimiento en ciberseguridad y mantenerse actualizado sobre las últimas amenazas y soluciones. Además, es importante adquirir experiencia práctica y estar dispuesto a realizar investigaciones exhaustivas y detalladas.

Gracias por leer este artículo y espero que hayas encontrado información valiosa sobre mi trabajo como analista de seguridad. No dudes en revisar los artículos relacionados para obtener más conocimientos sobre ciberseguridad. ¡Hasta la próxima!

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre Ciberseguridad Técnica

Crea tu propio sitio web en la Dark Web con Raspberry Pi
En este artículo te explicaré cómo puedes configurar tu propio sitio web en la dark web utilizando una Raspberry Pi. La dark web, a pesar de su reputación, no es tan aterradora como suena. De hecho, fue creada para proteger tu identidad y ofrecerte anonimato mientras navegas por internet. Índice1 ¿Qué es la dark web?2 Leer
Claves para iniciar una carrera en ciberseguridad de más de $200k en 2023 (Incluso sin experiencia en IT)
¡Hola a todos los lectores de TodoForti! Hoy quiero compartir con ustedes mi experiencia en el mundo de la ciberseguridad y cómo encontré una carrera de seis cifras sin necesidad de un título universitario, certificaciones o experiencia en programación. Mi objetivo es enseñar a personas como yo a encontrar un salario de seis cifras en Leer
Configuración de Firewall Perimetral para Seguridad Informática
Aprende cómo configurar un firewall perimetral para mejorar la seguridad informática. Descubre cómo configurar y administrar una red segura con un enfoque práctico.
¿Qué es la Seguridad Perimetral Informática?
¿Qué es la Seguridad Perimetral Informática? Una estrategia de protección de la información. Implica la implementación de medidas para prevenir el acceso no autorizado a una red. ¡Conóce sus beneficios y fortalezas!
¿Qué es AIOps?
¿Qué puede costar unos minutos de tiempo de inactividad no planificado a una empresa? Puede significar la pérdida de seis o siete cifras en ingresos, dañar la marca y acciones regulatorias. ¡Hola! Mi nombre es Albert Traylor y trabajo en IBM Cloud. Hoy quiero hablarte sobre la inteligencia artificial para operaciones, también conocida como AIOps. Leer