En los últimos años las empresas por diferentes motivos adquieren servicios de ciberseguridad desde un SOC (Centro de Operaciones de Seguridad) que les permiten incorporar medidas preventivas para monitorear de forma continua la superficie de ataque interna en busca de identificar comportamientos sospechosos. En algunos casos también incorporan capacidades de respuesta que permiten contener las diferentes amenazas, todo esto a través de la inclusión de diferentes tecnologías avanzadas como SIEM (Security Information and Event Management), EDR (Endpoint Detection and Response), NTBA (Network Traffic and Behavior Analytics), SOAR (Security Orchestration Automation and Response), UEBA (User and Entity Behavior Analytics), entre otros.
Sin embargo, todas estas tecnologías están desarrolladas para identificar las amenazas una vez los ciberdelincuentes han vulnerado un punto de entrada a la red, en términos de Cyber Kill Chain, el ataque se encuentra al menos en una etapa de distribución interna, es decir, el ataque ya ha sido iniciado, esto debido a que estamos dejando por fuera de dichas capacidades la inteligencia digital externa que nos permite identificar una amenaza en etapas previas.