Características clave a considerar al elegir una solución NDR

Saber qué sucede en toda la red de su organización es fundamental para garantizar la seguridad de los usuarios, dispositivos y servidores. Este artículo cubrirá cómo la tecnología de detección y respuesta de red (NDR) basada en IA se está consolidando como el futuro de la seguridad de la red, y qué características específicas están demostrando que valen más la pena el precio.
#titulo de la imagen

Guía de mercado de Gartner XDR

XDR es una tecnología en evolución que puede ofrecer capacidades unificadas de prevención, detección y respuesta ante amenazas...

#titulo de la imagen

¡Experimente la seguridad impulsada por IA en acción!

Descubra la inteligencia artificial de vanguardia de Stellar Cyber ​​para la detección instantánea de amenazas...

¿Por qué necesita una solución NDR?

La seguridad de la red siempre ha representado una de las fronteras más difíciles de controlar. Incluso los diseños de red relativamente complejos serían fáciles de proteger con un simple firewall, si no fuera por el hecho de que hoy en día muchos servicios están descentralizados. Con tantos dispositivos fuera del perímetro tradicional, el potencial de vulnerabilidades es mayor que nunca. Y no son sólo los servicios los que se abstraen de sus propias defensas: los empleados dependen cada vez más de redes inalámbricas que son más susceptibles a escuchas y accesos no autorizados. La naturaleza inherente de la comunicación inalámbrica significa que proteger estas redes requiere vigilancia constante y protocolos de seguridad avanzados.

Además de un panorama de redes cambiante, también hay que lidiar con la amenaza en constante evolución de los ciberdelincuentes especuladores. Cada vez se ven más técnicas sofisticadas en la naturaleza, mientras que los ataques patrocinados por el Estado florecen bajo las tensiones geopolíticas actuales. Estas amenazas a menudo explotan las herramientas y configuraciones de red legítimas que mantienen conectados a los empleados reales, lo que hace que sea más difícil detectarlas y defenderse.

Por lo tanto, las organizaciones deben vigilar el tráfico que fluye a través de sus pilas de tecnología. Ingrese a la solución NDR: estas herramientas realizan un seguimiento continuo de la actividad de la red que ocurre bajo el capó con IA, lo que le permite detectar y responder a desarrollos preocupantes mucho más rápido. Aprender acerca que es NDR.

¿Cuáles son las características clave de NDR?

Dada la importancia crítica de NDR para mantener seguras las comunicaciones entre dispositivos, es vital que la herramienta que elija tenga un conjunto de características que arrojen luz incluso en los rincones de difícil acceso de sus redes. Sin embargo, saber cuáles son importantes exige una comprensión más profunda de cómo la NDR mantiene altas las defensas.

Inspección profunda de paquetes

La actividad de la red adopta muchas formas, pero a nivel de aplicación, los paquetes son los reyes. Cuando los datos se envían a través de una red, se dividen en partes más manejables, llamadas paquetes. Como una carta, cada paquete contiene la dirección a la que se envía, así como el mensaje (o datos) real que se transmite. La inspección de paquetes tradicional examinaba sólo la parte del encabezado de estos datos, que sólo contenía información sobre el destino y el remitente. Desafortunadamente, incluso la simple suplantación de certificados permite a los atacantes sortear esta defensa, lo que significa que en la actualidad, la inspección profunda de paquetes es un estándar mínimo para funciones NDR seguras.

La inspección profunda de paquetes se basa en un punto de conexión central y un grifo de red: esto otorga acceso completo a la información de los paquetes. Ser capaz de ver no sólo el encabezado del paquete, sino también el contenido y el protocolo que lo acompaña, otorga un grado mucho más profundo de visibilidad de lo que se envía a través de su red. Saber qué aplicación, usuario y dispositivo está transfiriendo qué paquetes de datos ofrece una manera de acelerar la comprensión y optimización de la red.

Sin embargo, el DPI tiene algunos inconvenientes clave. Los atacantes ya son conscientes de ello. Por ejemplo, DPI exige mucha potencia de procesamiento, ya que inspecciona minuciosamente el segmento de datos de cada paquete. Por lo tanto, irónicamente, DPI es en realidad menos útil en redes de gran ancho de banda, ya que simplemente no puede inspeccionar todos los paquetes de red.

Las organizaciones recurren cada vez más al cifrado como medio para proteger sus comunicaciones de red e interacciones digitales. Desafortunadamente, también lo son los atacantes. DPI tiene dificultades para obtener mucha información de los datos de red cifrados, lo que significa que no podrían detectar comunicaciones cifradas entre un troyano ransomware y su servidor C2.

Para combatir esto, su herramienta NDR debe tener mucho más que DPI en su conjunto de herramientas.

Análisis de metadatos

El análisis de metadatos (MA) da un paso atrás respecto del enfoque hiperespecífico paquete por paquete de DPI y, en cambio, captura la gama completa de atributos sobre las comunicaciones, aplicaciones y actores de la red, sin profundizar en la carga útil completa de cada paquete. Así es como NDR puede lograr lo mejor de sí mismo Casos de uso de NDR.

Para cada sesión que atraviesa la red, se registran metadatos completos; Estos metadatos se extienden para capturar una variedad de atributos críticos que pueden identificar un ciberataque justo a tiempo. En su nivel más básico, esto incluye las direcciones IP del host y del servidor, los números de puerto y los detalles de ubicación geográfica de cada conexión. Pero los metadatos ofrecen una mayor riqueza de información que solo eso: los registros DNS y DHCP ayudan a asignar dispositivos a direcciones IP, mientras que más detalles sobre el acceso a la página web pueden crear una imagen más clara de las conexiones que se están produciendo. Los registros del controlador de dominio ayudan a vincular al usuario con los sistemas a los que podría tener acceso. El problema del cifrado DPI se ve frustrado gracias a la presencia de metadatos incluso en páginas web cifradas: desde el tipo de cifrado, cifrado, hash; a los nombres de dominio completos del cliente y del servidor; y los hashes de varios objetos como JavaScript e imágenes, todos estos datos de la red se pueden canalizar hacia NDR modernos.

El análisis de metadatos otorga visibilidad de toda una red, lo que hace que MA sea óptimo para las redes no protegidas por DPI. Es decir, redes de gran ancho de banda que están más distribuidas. Al mismo tiempo, tenga en cuenta que MA no se ve afectado por el cifrado: esto le permite detectar y prevenir ciberataques avanzados que se esconden detrás de los procesos de cifrado del tráfico. El enfoque en la información de red de múltiples fuentes se adapta mucho mejor a las pilas de seguridad multifuncionales y estrechamente integradas de hoy en día.

Análisis de comportamiento

Hemos cubierto qué datos se deben recopilar y por qué, pero no cómo se utilizan para proteger mejor sus redes. En el pasado, los intentos de protección de la red se centraban en alinear la información de los paquetes con las firmas presentes en ataques de malware conocidos. Si bien es mejor que nada, este enfoque deja sus redes abiertas a nuevos ataques. Los ataques actuales no dejan lugar al error, como lo demuestra el reciente ataque de ransomware de 22 millones de dólares a Change Healthcare, y más por venir.

El análisis del comportamiento es la respuesta de la industria a los ataques cada vez más novedosos y distribuidos de la actualidad. Los algoritmos de aprendizaje automático permiten agrupar todos estos metadatos e información de paquetes en patrones de comportamiento más amplios. Esto se logra de dos maneras diferentes: técnicas de aprendizaje supervisadas y no supervisadas. El aprendizaje automático supervisado identifica comportamientos fundamentales comunes a varias variantes de amenazas (como el hecho de que el malware recién implementado generalmente llega a un servidor C2), lo que permite una detección consistente en diferentes escenarios. Por otro lado, los algoritmos de aprendizaje automático no supervisados ​​examinan los datos empresariales a una escala mucho mayor, realizando miles de millones de cálculos basados ​​en probabilidades a partir de datos observados. Estos algoritmos no se basan en conocimientos previos sobre amenazas, sino que categorizan datos de forma independiente e identifican patrones significativos.

Básicamente, los algoritmos no supervisados ​​permiten que las herramientas NDR establezcan una línea de base de lo que es normal para su red. Luego le permiten a su equipo SOC ver cualquier conexión inusual que surja repentinamente: estos pueden ser indicadores de un ataque a la cadena de suministro si repentinamente surgen de una fuente; o, si se envían más datos que el promedio a un dispositivo externo, puede ser evidencia de un usuario malintencionado o comprometido. Tanto los modelos de aprendizaje supervisados ​​como los no supervisados ​​son importantes, ya que en conjunto cubren toda la gama de análisis de comportamiento que sus redes necesitan.

Inteligencia de amenaza

La integración con fuentes de inteligencia sobre amenazas permite al sistema NDR comparar la actividad de la red con amenazas conocidas, direcciones IP maliciosas e indicadores de compromiso (IoC). Esto ayuda a la solución NDR a identificar y detectar amenazas que han sido observadas y documentadas por la comunidad de seguridad en general. Cuando se combinan con soluciones NDR, las fuentes de inteligencia sobre amenazas actúan como proveedores de contexto rápidos y precisos. Esto va mucho más allá de las firmas de malware básicas de antaño, con información de inteligencia sobre amenazas líder en el mercado que incluye las tácticas, técnicas y procedimientos de los ataques más recientes, así como el impacto de los mismos.

Esta información contextual ayuda a una solución NDR a comprender mejor la naturaleza de cada anomalía detectada y a tomar decisiones más informadas sobre la respuesta adecuada. Este soporte para sus analistas se puede profundizar mediante una mayor integración con el marco MITRE ATT&CK, así como soporte adicional de las herramientas que ya mantienen seguro al resto de su organización.

Integración de la pila de tecnología de seguridad

No limitaría a un analista de seguridad a una sola plataforma: así como las fuentes de inteligencia de terceros brindan contexto sobre las amenazas existentes, su conjunto tecnológico más amplio puede ofrecer una visión personalizada de su propio panorama. Cuando NDR se integra con las herramientas de detección y respuesta de endpoints (EDR) y gestión de eventos e información de seguridad (SIEM) que ya tiene, sus equipos pueden desempeñarse al mismo nivel multifacético que los atacantes.

Tomemos como ejemplo el marco MITRE ATT&CK: si bien se desarrolló explícitamente para identificar tácticas, técnicas y procedimientos (TTP), MITRE ATT&CK tiene un sesgo significativo hacia las tácticas de punto final. Gracias a esto, EDR ha vivido una fase de importantes inversiones en todas las industrias. Esto es perfectamente comprensible: adaptar sus herramientas a los marcos líderes de la industria es un paso en la dirección correcta. A pesar de esto, es vital estar atento a la realidad de la explotación de vulnerabilidades. Cuando una campaña de ataque está llegando a su fin, muchas técnicas críticas son en realidad más fáciles de detectar desde la perspectiva de la red. En este mismo período de tiempo de un ataque en etapa tardía, los minutos pasan a una velocidad increíble: al reducir la importancia de las actividades de la red, algunas organizaciones en realidad están perjudicando su potencial de respuesta de seguridad en el momento más crítico. Analizar y correlacionar datos de terminales y fuentes de red permite a los analistas disfrutar de todo el espectro de visibilidad.

Automatice la detección y respuesta de la red con Stellar Cyber

Cuando NDR detecta actividad sospechosa o maliciosa dentro de la red, estos datos deben canalizarse a su equipo de seguridad con la máxima claridad y eficiencia. En eventos críticos de seguridad, cada segundo cuenta. Tradicionalmente, las alertas basadas en red se enviaban a las mismas listas de alertas que todo lo demás, lo que generaba retrasos de kilómetros de largo que consumían cada vez más tiempo valioso de las horas limitadas de los analistas de seguridad. Los NDR modernos reconocen que los interminables flujos de alertas dañan la seguridad organizacional a su manera: en cambio, su objetivo es recopilar problemas individuales en alertas contextuales más amplias.

Al conectarse a su conjunto más amplio de herramientas de defensa, una solución NDR automatizada puede hacerse cargo de parte del trabajo que está frenando a sus equipos de seguridad en la actualidad. La clasificación manual automatizada sigue siendo sorprendentemente lineal y lenta. Entonces, si bien una respuesta multifacética puede llevar la detección de amenazas a nuevas alturas, el eslabón débil sigue siendo el hecho de que los analistas solo pueden procesar una cantidad limitada de información a la vez. Entra, algoritmos.

Este enfoque cada vez más holístico de la seguridad es la base de la Detección y Respuesta Extendidas. En lugar de cargar a los analistas con cada vez más herramientas, paneles y alertas, la nueva fase de la ciberseguridad tiene como objetivo hacer uso de las amplias franjas de información que ya están a su alcance a través de la automatización.

La plataforma Abrir XDR de Stellar Cyber ​​toma las capacidades de NDR aislado y las combina con EDR y algoritmos de automatización. De esta manera, su seguridad es más que un análisis superficial de cada área aislada de su pila tecnológica: en cambio, una alerta de un dispositivo se puede comparar y contrastar con la actividad de red asociada a él. Más información no solo ayuda a un analista de seguridad a comprender de manera integral la naturaleza y el impacto potencial de la amenaza detectada, sino que la dependencia de análisis avanzados permite que todos los aspectos influyan en el nivel de gravedad de una alerta.

Al preparar previamente una alerta con su criticidad, las herramientas XDR de Stellar Cyber ​​pueden ver rápida y fácilmente el impacto potencial y la probabilidad de explotación. Esta automatización es clave no sólo para manejar grandes cantidades de datos de red, sino también para identificar las anomalías y preocupaciones que realmente necesitan solución. Vuelva a evaluar la relación de su organización con las alertas de red hoy y vea cómo Stellar guía a los equipos de seguridad hacia tiempos de resolución más rápidos que nunca.

Suena demasiado bueno para...
¿ser cierto?
¡Véalo usted mismo!

Ir al Inicio