3: ANÁLISIS

"No es lo que ves, sino lo que comprendes."

¿Qué es el análisis?

Una vez que se detecta un evento, el análisis es el proceso de verificar si se trata de un incidente real (True Positive), identificar su naturaleza, evaluar su impacto y priorizar la respuesta. Esta fase convierte los datos en acción: se decide qué hacer, cuándo y con cuánta urgencia.

⚠️ Una detección sin análisis es solo ruido. Un análisis sin contexto es solo teoría.

¿Qué hace el analista de primera respuesta?

1. Recibe una alerta o notificación.

2. Extrae evidencia: logs, capturas de red, registros del sistema.

3. Correlaciona eventos: ¿hay múltiples señales relacionadas?

4. Confirma o descarta:

   • Si es un falso positivo, se documenta y se mejora la regla.

   • Si es un incidente real, se eleva el caso.

5. Clasifica el incidente: tipo, categoría, impacto.

6. Asigna prioridad y actúa o escala el caso al siguiente nivel.

Variables clave del análisis

🔥 1. Confirmar si es un incidente real

¿Qué se necesita para afirmar que un incidente es real?
→ Correlación. Contexto. Evidencia.

🔎 Ejemplo:

• Una alerta de login fuera de horario por sí sola no es incidente.

• Si se combina con conexión desde IP extranjera + descarga masiva de datos → incidente confirmado.

📚 ​2. Clasificación por tipo

Cada incidente debe clasificarse para entender su naturaleza. Ejemplos:

Categoría – Descripción breve

• Intrusión – Acceso no autorizado a un sistema.
• Exfiltración – Robo de información.
• DDoS – Ataque de denegación de servicio.
• Malware – Infección de virus, troyanos, ransomware.
• Insider Threat – Ataque desde dentro de la organización.
• Compromiso de cuenta –  Uso malicioso de credenciales válidas.

✅ Esto permite activar el manual adecuado y priorizar recursos.

💣 3. Evaluación del impacto

¿Qué tan grave es? ¿Qué se ha perdido o podría perderse?

Factores de evaluación:

• Integridad de los datos: ¿han sido alterados, eliminados o robados?

• Disponibilidad: ¿ha afectado a operaciones? ¿se detuvo algún sistema?

• Confidencialidad: ¿se expusieron datos personales o críticos?

• Impacto económico o reputacional: ¿cómo afecta a la marca o al mercado?

• Tiempo de detección: ¿llevaba días o semanas activo?

• Tiempo estimado de recuperación: ¿se resuelve en 1h o en 3 días?

🔎 Ejemplo:

• Si un servidor de backups es comprometido → impacto alto.

• Si se trata de un escaneo fallido desde una IP random → bajo.

🛠️ 4. Escalado

Si el caso es complejo, crítico o persistente, el analista lo eleva al senior del CIRT o al equipo de análisis profundo.
Aquí se involucran herramientas avanzadas:

• Sandboxing

• Análisis forense

• Threat Intelligence correlada

• Revisión de logs históricos

🧠 Cadena de ataque cibernético (Cyber Kill Chain)

Para analizar un ataque de forma estructurada, se usa este modelo, que divide un ataque en 7 fases. Entenderla permite detectar y cortar el ataque en fases tempranas:

       Fase: Qué pasa

1. Reconocimiento: El atacante recopila información sobre la víctima.

2. Armamento: Prepara el malware o payload.

3. Entrega: Envía el payload (email, web, USB, etc).

4. Explotación: Se ejecuta el exploit en el host.

5. Instalación: Se instala el malware persistente.

6. Control: Comunicación con C2 (comando y control).

7. Objetivo: Robo de datos, sabotaje, etc.

✅ Si detectas en las fases 1–3, el daño puede ser mínimo.
❌ Si lo detectas en la fase 7, probablemente ya es tarde.

📘 Manuales de Juego (Playbooks)

Un playbook es una guía operativa que define paso a paso qué hacer ante un tipo específico de incidente.

Ejemplo de playbook para "Phishing con robo de credenciales":

1. Confirmar si el enlace fue visitado.

2. Revisar logs de autenticación.

3. Forzar cambio de contraseña.

4. Identificar si hubo movimientos sospechosos con esa cuenta.

5. Bloquear el dominio malicioso en DNS.

6. Notificar a IT y usuarios afectados.

7. Documentar y cerrar el caso.

✅ Tener playbooks reduce errores y acelera la respuesta.
💡 Bonus: puedes automatizar partes de estos pasos con SOAR.

🧠 Inteligencia de amenazas -- Threat Intelligence

El análisis se fortalece al integrar conocimiento externo sobre:

• Técnicas de ataque usadas por APTs

• Herramientas más comunes de malware

• Nuevas vulnerabilidades (CVEs recientes)

• Listas negras (IP, hash, dominios)

🔎 Herramientas clave:

• MITRE ATT&CK

• MISP

• Shodan

• VirusTotal

• AnyRun (sandbox interactivo)

✅ Analizar un incidente a través de la lente de ATT&CK permite ver qué técnica usó el adversario y en qué fase estaba del ataque.

✅ Buenas prácticas para análisis de incidentes

• Correlacionar múltiples indicadores antes de confirmar un incidente.

• Usar contexto del negocio: no todo lo anómalo es peligroso.

• Tener manuales de juego definidos y probados para tipos comunes de incidentes.

• Mantener al día la base de inteligencia de amenazas.

• Documentar todos los análisis, aunque resulten en falso positivo.

• Realizar análisis post-mortem y retroalimentar el sistema.

• Practicar análisis con simulaciones (Red Team interno o Purple Team drills).

• Priorizar no por cantidad de sistemas afectados, sino por valor de lo comprometido.

• Incluir siempre un análisis de "por qué ocurrió" (root cause).

CURIOSIDADES Y CLAVES AVANZADAS DEL ANÁLISIS

"El arte del análisis no está en ver el ataque, sino en leer al atacante."

⚡ 1. La fase más infravalorada… y más crítica

Aunque la detección suele llevarse los focos, el análisis es la fase que decide si se responde o se ignora, cómo se responde y a qué velocidad.
Un buen analista:

• Ahorra cientos de horas de trabajo al reducir falsos positivos.

• Es la primera línea para detectar un APT silencioso.

• Puede prevenir una catástrofe solo con una correcta correlación de logs.

Dato real: Muchos incidentes graves *comienzan con una alerta ignorada o mal clasificada por falta de contexto o por fatiga de alertas.

🧠 2. ¿Por qué los analistas fallan?

Errores comunes:

• No correlacionar múltiples eventos dispersos.

• Depender únicamente del SIEM sin contexto manual.

• No conocer el negocio: lo que es anómalo en un sistema crítico es normal en otro.

• No entender las TTPs del adversario: sin esto, es difícil saber qué buscar.

🔴 Ejemplo:
Una alerta de tráfico inusual saliente desde un servidor puede parecer irrelevante…
✅ Pero si sabes que ese servidor nunca hace llamadas salientes y además el tráfico va cifrado hacia TOR, el análisis se dispara de inmediato.

📡 3. Técnicas avanzadas que marcan la diferencia

• Análisis de comportamiento: comparación del comportamiento actual vs. el histórico del usuario o sistema.

• Pivoting en logs: buscar conexiones relacionadas con IP, hash, hostname o sesión.

• Análisis de líneas temporales: reconstrucción de eventos a lo largo del tiempo.

• Uso de YARA rules: detección de patrones maliciosos en archivos.

• Hunting retroactivo: revisar logs antiguos con nuevos IOC o TTP.

🧬 4. El poder oculto de los "manuales de juego"

Los playbooks no solo son guías operativas. Si se diseñan bien:

• Se pueden automatizar en herramientas SOAR.

• Permiten entrenar nuevos analistas con estándares reales.

• Pueden personalizarse según el perfil de amenaza de la empresa.

• Funcionan como documentación legal para demostrar diligencia.

✅ Pro Tip: Crea un playbook híbrido para phishing que combine:

• Análisis de correo

• Revisión de logs de acceso

• Respuesta automática con bloqueo + notificación

• Acompañamiento humano solo si hay login sospechoso

🧠 5. Inteligencia de amenazas: cómo se usa realmente

No basta con leer los informes de MITRE, Mandiant o Cisco Talos. Hay que:

• Extraer los IOC (IPs, hashes, dominios, TTPs).

• Correlacionarlos con tus datos locales.

• Ajustar reglas en SIEM y EDR con esa información.

• Etiquetar casos similares como actividad de grupo X, y seguir su patrón.

💡 Ejemplo:
Detectas un patrón de PowerShell obfuscado + tráfico C2 saliente a IP rusa + persistencia en clave de registro.
→ Analizando esto con ATT&CK sabes que se trata de TA505 o un actor similar.

⛓️ 6. El análisis como entrenamiento del equipo

Los casos reales analizados deben:

• Convertirse en escenarios de simulación Purple Team.

• Retroalimentar al equipo Red Team interno: ¿podrían haberlo hecho sin ser detectados?

• Actualizar las reglas SIEM y los libros de juego Blue Team.

💡 Un solo caso bien analizado puede dar lugar a 3 nuevas defensas, 1 nueva regla y 1 ejercicio de entrenamiento.

🛠️ 7. Detección tardía ≠ análisis tardío

Aunque el incidente se detecte tarde (por ejemplo, semanas después), el análisis:

• Sigue siendo útil para contener, aprender y prevenir.

• Puede revelar persistencia, movimientos laterales y datos exfiltrados.

• Permite aplicar medidas legales o de PR fundamentadas.

🧠 Post-mortem no es fracaso, es refuerzo del sistema.

📋 MANUAL DE BUENAS PRÁCTICAS – ANÁLISIS

✅ ANTES

• Conocer las infraestructuras críticas y sus flujos normales.

• Tener acceso a toda la documentación de los sistemas.

• Tener definidos los umbrales de normalidad/anomalía.

✅ DURANTE

• Correlacionar eventos desde múltiples fuentes.

• Validar cada alerta con contexto real (user, IP, servicio, historial).

• Consultar IOC y TTP actualizados en bases de Threat Intel.

• Involucrar al personal adecuado (escalado) si el impacto es alto.

• Categorizar correctamente el tipo de incidente.

✅ DESPUÉS

• Registrar todo el análisis paso a paso.

• Extraer IOC y retroalimentar al SIEM.

• Crear o actualizar un playbook basado en el incidente.

• Compartir hallazgos con Red y Blue Team.

• Diseñar un laboratorio de práctica basado en el caso.

NIVEL AVANZADO: ANÁLISIS TÁCTICO Y ESTRATÉGICO

🧩 1. Análisis multidimensional (Purple Fusion)

Los analistas expertos no se quedan en una sola dimensión técnica. Analizan simultáneamente en capas:

• Técnica: Logs, tráfico, malware, shellcode.

• Conductual: Patrones del usuario, movimientos laterales, persistencia.

• Contextual: ¿Es época de lanzamientos? ¿Está la empresa en una OPA? ¿Hay presión geopolítica?

• Adversarial: ¿Conoces el modus operandi de APTs que atacan tu sector? ¿Estás viendo indicios de recon, inicial access, privilege escalation?

💡 Claves para detectar una intrusión persistente avanzada:

• Cambios sutiles en políticas de grupo (GPO).

• Backdoors en macros de documentos ofimáticos.

• Comportamientos "Low and Slow" que evaden reglas básicas.

📊 2. Tácticas y Técnicas MITRE ATT&CK en tiempo real

No es solo un catálogo. En análisis, ATT&CK se usa para:

• Mapear eventos observados a tácticas y técnicas (ej: T1059 = Execution via Command Shell).

• Determinar si el atacante ha seguido una cadena lógica (Recon → Access → Persistence → Exfiltration).

• Predecir el próximo paso del atacante para adelantarse a su jugada.

• Diseñar detecciones proactivas para técnicas específicas.

🔍 Ejemplo práctico:
Detectas ejecución de PowerShell sin interfaz + bypass de AMSI (T1059.001 + T1562.001)
→ Te preparas para detectar T1071 (exfiltración por protocolo) y T1003 (volcado de credenciales).

🕵️‍♂️ 3. Threat Hunting para refinar el análisis

El análisis no termina en la alerta. Si confirmas un incidente:

• Lanza caza retrospectiva en logs de 30-60 días.

• Busca persistence: claves de registro, tareas programadas, WMI, LNK sospechosos.

• Revisa logs de endpoints con EDR: ¿hubo ejecución de binarios firmados maliciosos (LOLbins)?

• Si usas Velociraptor, Splunk o Elastic → crea consultas avanzadas con filtros precisos.

🧪 4. Análisis de malware y binarios sospechosos

Aunque no se requiere un reversing completo, el analista avanzado puede:

• Usar sandbox (Cuckoo, AnyRun) para observar comportamiento dinámico.

• Extraer y comparar hashes, strings, firmas PE.

• Detectar indicadores como:

  • Comunicación con dominios generados por DGA.

  • Inyección en procesos (T1055).

  • Shells inversas (T1059.004 + T1105).

• Verificar conexiones activas con netstat, tcpview o Sysmon.

🔬 Pro tip: Si puedes identificar el packer usado, puedes inferir la familia del malware.

🔗 5. Uso del Diamond Model de Intrusión

Una herramienta clave para análisis profundo:

• Adversary ¿Quién es el atacante? (APT29, grupo desconocido, actor interno)
• Infrastructure ¿Qué medios usó? (C2, proxy, VPN, redes sociales)
• Capability ¿Qué herramientas o exploits usó?
• Victim ¿A quién atacó, qué datos, qué sistemas?)

Una correlación correcta permite:

• Predecir posibles ataques futuros.

• Asociar actividades dispersas con el mismo atacante.

• Mapear amenazas en un grafo útil para CISO o gerencia.

📌 6. Técnicas de análisis predictivo y heurístico

• Machine Learning: Algunos SIEM y EDR de gama alta (como SentinelOne, Darktrace, Cortex XDR) permiten identificar patrones fuera de lo normal aunque no coincidan con reglas previas.

• Threat Intelligence Enrichment: Asocia automáticamente IOC con actores conocidos, regiones, campañas activas.

• Kill Chain Mapping: No mires eventos sueltos, sino si hay una progresión de fase a fase del atacante.

🧠 7. Indicadores de Compromiso (IOC) y de Comportamiento (IOB)

• Los IOC son útiles para respuestas rápidas, pero pueden cambiar o ser falsos.

• Los IOB (Indicadores de Comportamiento) son patrones más difíciles de evadir:

  • Uso repetido de comandos.

  • Secuencias de acciones (ej: ejecutar whoami, después netstat, después powershell -enc).

👉 Detectar patrones = detectar el pensamiento del atacante.

📚 MANUAL AVANZADO DE BUENAS PRÁCTICAS DE ANÁLISIS

✅ Preparación:

• Tener mapeado ATT&CK vs infraestructura propia.

• Crear "casos de uso" y escenarios analíticos en tu SIEM.

• Mantener feeds de inteligencia actualizados y revisados.

✅ Durante el análisis:

• Correlacionar con contexto histórico y del negocio.

• Comparar contra frameworks tácticos (ATT&CK, Diamond).

• Rastrear actividad lateral y persistencia.

• Mapear cada acción a una táctica para anticiparse.

✅ Post-análisis:

• Documentar IOC/IOB extraídos + resumen ATT&CK + daño estimado.

• Refinar reglas del SIEM + crear nuevos dashboards.

• Compartir caso para ejercicios Purple.

• Evaluar respuesta: ¿cuánto tardamos en detectar? ¿qué falló?