El monitoreo de la red se basa en el principio de que la prevención en algún punto puede fallar. En el panorama actual de amenazas, no importa cuánto se intente, los atacantes motivados finalmente encontrarán la forma de comprometer una red. Ante ese escenario, la capacidad para detectar y responder a una intrusión puede ser la diferencia entre un pequeño incidente y un desastre mayor.
El monitoreo de seguridad de la red es la recopilación y análisis de los datos que viajan en la red. La forma como se monitorea esta información se ha dividido tradicionalmente con enfoques diferentes con el fin de detectar una intrusión de la forma más eficiente posible.
Esta forma de detección se centra en el principio de que muchas veces al ser demasiado específicos en lo que se captura y analiza, pudieran estar pasándose por alto muchos datos importantes. La falta de enfoque en la recopilación de información se basa en la mentalidad de "demasiados datos siempre es mejor que no suficiente" y "capturar todo y ordenarlo más tarde".
La explotación de una vulnerabilidad de software es a menudo una acción bastante estática que se puede convertir en una firma IDS con bastante facilidad. Como tal, la detección de intrusiones tradicional se basaba en tener conocimiento de todas las vulnerabilidades conocidas y desarrollar firmas para su detección.
Aunque la información de Ciberseguridad y la gestión de eventos (SIEM) han existido durante más de una década, la solución sigue evolucionando y resulta más eficiente que la simple detección basada solo en IDSs o Automatizada. Los sistemas SIEM permiten a los SOC detectar amenazas conocidas y desconocidas y responder a incidentes de forma rápida y eficaz. Pero a medida que las empresas adoptan nuevos tipos de tecnología, como el internet de las cosas (IoT), la superficie de ataque sigue creciendo, creando nuevos puntos ciegos.
El modelo de detección de intrusiones centrado en firmas confía en que las alertas generadas por IDS serán suficientes para detectar a tiempo una intrusión. Como tal, este enfoque se basa en la detección automatizada por medio de inteligencia artificial o machine- learning.
El objetivo de este proyecto es la implementación de los procesos y la tecnología necesarios para la identificación temprana y proactiva de amenazas que vaya más allá de la simple detección por medio de sistemas de detección de intrusos o la correlación de eventos de un SIEM.
Esto solo se puede lograr si se cuenta con la infraestructura y la madurez para convertir la información proveniente de diferentes fuentes de inteligencia en forma de indicadores de compromiso o comportamiento que permitan la creación de distintos escenarios donde un atacante pudiera comprometer la infraestructura de la organización.