La mayoría de incidentes está precedida por hechos menores que parecían inofensivos aislados: servicio recién expuesto, vulnerabilidad explotada, comportamiento inusual de identidad, process chain rara, cambio de política o control que dejó de funcionar.
El catálogo KEV de CISA identifica vulnerabilidades con evidencia de explotación en campo. EPSS de FIRST estima la probabilidad de actividad de explotación en los próximos 30 días. La función Detect de NIST pide detección oportuna de anomalías y monitoreo continuo. Ninguno predice un incidente exacto. Juntos ayudan a decidir dónde el próximo incidente evitable se vuelve más probable.
El cambio útil es pasar de respuesta alerta por alerta a hipótesis de riesgo actualizadas continuamente. Un activo público con KEV, identidad privilegiada expuesta y process chain anómala merece otra respuesta que un finding medio aislado en sandbox.
EPSS estima probabilidad de amenaza, no riesgo completo. CISA KEV confirma explotación observada, pero no conoce alcance o valor de tu activo. CVSS describe severidad, no exposición actual. Los modelos de anomalía identifican desviación, no intención maliciosa. El pipeline combina todo con contexto y explica qué hechos cambiaron la decisión.
El riesgo también depende del tiempo. Un gateway vulnerable puede pasar de cola de patch a contención de emergencia cuando cambia KEV. Una service account dormida puede volverse urgente después de login raro y nuevo privilegio. Los scores deben expirar, actualizarse y preservar historial.
Las detection strategies de MITRE ATT&CK organizan analytics en enfoques para técnicas adversarias. Las estrategias de behavior chain muestran por qué eventos aislados son insuficientes: request sospechoso seguido de error, proceso nuevo y egress inusual vale más que cada hecho solo. Sigma ofrece formato portátil de reglas, pero toda regla necesita datos, tuning, owner, pruebas y feedback.
El pipeline preventivo también debe puntuar puntos ciegos. Telemetría ausente, logging deshabilitado, inventario stale o regla fallando reducen confianza y pueden aumentar riesgo. El monitoreo continuo debe verificar que controles todavía funcionen.
| Combinación de señales | Hipótesis | Acción automatizada de bajo arrepentimiento | Decisión humana |
|---|---|---|---|
| Activo público + CISA KEV + servicio privilegiado. | Explotación activa puede alcanzar sistema de alto impacto. | Abrir cambio urgente, restringir ingress, aumentar telemetría y snapshot. | Aplicar patch, aislar o aceptar exposición temporal. |
| EPSS alto + activo alcanzable + versión confirmada. | Probabilidad aumenta antes de evidencia directa. | Elevar prioridad, preparar fix y endurecer WAF o policy. | Aprobar plazo y tradeoff de indisponibilidad. |
| Login raro + nuevo privilegio + repositorio sensible. | Identidad comprometida puede escalar y recolectar datos. | Exigir step-up, suspender nuevos tokens y preservar evidencia. | Revocar identidad, investigar o restaurar acceso. |
| Process chain sospechosa + nuevo egress + acceso a secret. | Workload puede ejecutar post-explotación. | Bloquear destino, aislar workload, rotar secret y capturar forense. | Ampliar contención y declarar incidente. |
| Logging deshabilitado + drift + owner sin respuesta. | Pérdida de visibilidad puede ocultar ataque o cambio inseguro. | Restaurar logs, congelar cambios de riesgo y escalar falla. | Investigar intención y aprobar recovery. |
| Anomalía repetida de bajo impacto y patrón benigno. | Detección ruidosa consume atención. | Reducir prioridad, anexar evidencia y proponer tuning. | Aprobar cambio sin ocultar variantes. |
La respuesta automatizada es más segura cuando es estrecha, reversible, temporal y documentada. Exigir step-up, bloquear un destino, poner un workload en cuarentena o reducir scope compra tiempo sin apagar el negocio. Deshabilitar identidad de producción, aislar base crítica o rotar credencial compartida puede exigir aprobación porque la contención puede volverse incidente.
NIST SP 800-61 Rev. 3 integra respuesta a incidentes con gestión de riesgo. Cada acción automatizada necesita owner, vencimiento, rollback, motivo, confianza y audit trail.
Construiría un risk graph que une activos, identidades, vulnerabilidades, exposiciones, controles, threat intelligence, detecciones ATT&CK y comportamiento reciente. Cada hipótesis mostraría señales, evidencia ausente, historial, attack path probable, acciones y autoridad de contención.
El dashboard clasificaría riesgo evitable, no volumen bruto de alertas. Mediría tiempo de señal a decisión, riesgo eliminado antes de declaración, reversión de contención, costo de falso positivo, cobertura e incidentes cuyos precursores eran visibles pero ignorados.
Ciberseguridad preventiva es actuar mientras la evidencia está incompleta, pero la acción todavía es barata. Correlaciona temprano, explica incertidumbre, automatiza solo respuestas limitadas y preserva evidencia para aprender si el sistema previno riesgo o solo lo movió.
Artículo sobre pipelines de ciberseguridad preventiva usando CISA KEV, EPSS, threat intelligence, anomalías, behavior chains ATT&CK, risk scoring y contención automatizada limitada.