Se cambió una configuración. Nadie se dio cuenta.

Donde realmente se abre la brecha

Un valor del registro cambia en un controlador de dominio a las 2:14 AM. Se añade una línea a un archivo en /etc/ssh/sshd_config. Una ACL de firewall en un switch de una oficina regional recibe una nueva regla de permiso. Ninguno de estos genera una alerta SIEM. Ninguno de ellos rompe nada. Ninguno aparece en un escaneo de vulnerabilidades, porque el escáner se ejecutó ayer y no volverá a ejecutarse hasta la próxima semana.

La brecha está abierta. El atacante la lee antes que tú, porque está buscando exactamente eso, la pequeña desviación, la modificación no registrada, la deriva que nadie posee.

Por eso file integrity monitoring como una idea posterior no funciona. Extraer los registros de eventos y buscar el código 4663 es equivalente a ver el partido con retraso. No estás presionando. Estás reaccionando. La desviación debe detectarse en la capa de E/S, en el momento en que sucede, contra una línea base en la que realmente confíes.

La prensa, en el núcleo

El Gen 7 Agent en Windows registra un controlador minifiltro con el Filter Manager a una altitud de 388790. Cada operación de E/S de archivos (crear, escribir, eliminar, renombrar, cambio de atributos) pasa a través de la pila de filtros, y el controlador registra los eventos que coinciden con la plantilla de seguimiento en un búfer de memoria. El agent consulta el búfer cada 100 milisegundos. Sin bloqueos de archivos. Sin modificación de E/S. No se requiere reinicio para habilitarlo.

Eso es la prensa. No estás esperando a que se vacíe un registro. No estás sondeando el sistema de archivos cada cinco minutos con la esperanza de que no haya ocurrido nada entre medio. Estás conectado directamente a la ruta de E/S, leyendo cada interacción en tiempo real y comparándola con la forma que definiste.

En Linux, el Agente Gen 7 utiliza Sysdig para capturar la misma profundidad, los cambios en la integridad de los archivos y la identidad del usuario detrás de ellos. Quién hizo el cambio. No solo qué cambió. Porque “alguien modificó /etc/pam.d/sshd” es solo una alerta parcial. “La cuenta de servicio svc-backup modificó /etc/pam.d/sshd a las 02:14 desde una sesión fuera de la ventana de mantenimiento” es una decisión.

La cobertura sin agentes se encarga del resto. Dispositivos de red mediante SSH. Hosts Windows a través del registro remoto en el puerto 445. Linux y Unix mediante shell. ESXi y vCenter a través de PowerCLI. Plataformas en la nube mediante APIs de proveedores. Una línea base en toda la infraestructura, no nueve herramientas diferentes vigilando nueve posiciones distintas.

Cerrando el ciclo

La detección en tiempo real sin contexto es como un mediocampista que comete falta a cada jugador que pasa corriendo. A los veinte minutos, te quedas con diez y el banquillo está gritando.

La mayoría de los cambios en cualquier entorno real son legítimos. Se aplican parches. Los administradores hacen tareas administrativas. Los trabajos programados modifican archivos. Una herramienta FIM que se activa en cada uno de esos casos es ruido, y el ruido se ignora, y ser ignorado es peor que no tener nada: ahora tienes una herramienta y una falsa sensación de cobertura.

Change Tracker concilia cada cambio detectado con lo que se suponía que debía ocurrir. El Sync Service extrae las solicitudes de cambio aprobadas de ServiceNow, BMC Remedy, Cherwell, ManageEngine, ChangeGear, OpenText SMAX y Samanage. Cada RFC se convierte en un Cambio Planificado con una ventana programada, un elemento de configuración y, en ServiceNow, el campo AssignedTo, para que los eventos puedan coincidir con quién debería haber realizado el cambio, no solo cuándo. Los eventos detectados se evalúan según el conjunto de reglas del cambio planificado y se clasifican.

Planificado. Reconocido. Filtrado.

No planificado. Detectado. Investigado.

Ese es el ciclo cerrado. Saber cuáles ejecuciones son señuelos y cuáles son la amenaza real, y comprometerse solo con las que importan.

Cuando no hay ticket, cuando el cambio no tiene un RFC correspondiente ni una justificación registrada, Change Tracker puede generar automáticamente el incidente en ServiceNow, dirigido al propietario del elemento de configuración. El cambio no autorizado genera el elemento de trabajo que lo resuelve. La presión no solo gana la pelota. Inicia el contador.

La línea base es la formación

Una línea de cuatro sin forma es cuatro personas paradas en un campo. La detección sin una línea base es lo mismo. No puedes identificar desviaciones si no has definido lo normal.

La función de Configuración Base trata esto como un entrenador trata una configuración táctica. Elija un dispositivo fuente: su imagen dorada, su compilación de referencia reforzada. Capture su estado. Integridad de archivos. Software instalado. Procesos en ejecución. Servicios y sus estados. Cuentas locales. Puertos abiertos. Claves del registro en Windows. La configuración base se convierte en la formación, y cada otro dispositivo en el grupo se mide contra ella. La desviación aparece como excepción. Las excepciones se revisan. La desviación aprobada se promueve a la configuración base. La desviación no aprobada se corrige.

Esto es lo que NERC CIP-010-4 y 5 quieren cuando hablan de configuraciones base autorizadas y monitoreo de cambios de 35 días. Es lo que el Requisito 11.5 de PCI DSS quiere cuando habla de mecanismos de detección de cambios. Es lo que CIS Control 4 quiere cuando habla de la configuración segura de los activos empresariales. Los marcos describen lo mismo con diferentes palabras: definir la forma, mantener la forma, mostrar la desviación. Change Tracker está construido alrededor de ese ciclo exacto, con más de 250 informes de cumplimiento predefinidos que mapean la línea base al marco que el auditor vaya a consultar en marzo.

Nada se mueve sin un registro

El panel está en verde. Los tickets son manejables. El equipo está cómodo.

Ese es el momento más peligroso del partido.

En algún lugar de su entorno, algo acaba de cambiar. La cuestión no es si sus herramientas finalmente lo notaron. La cuestión es cuántas veces pasó el atacante entre el momento en que se abrió la brecha y el momento en que su detección realmente se activó.

Presiona antes. Lee la jugada en el punto de cambio. Define la forma, mantén la forma y asegúrate de que nada se mueva sin un registro.

Ese es el trabajo. Ese es el estándar. Así es como defiendes lo que es tuyo.