¿Qué es NDR?
Guía de mercado de Gartner para detección y respuesta de redes (NDR)
En informes recientes de Gartner® sobre detección y respuesta de red (NDR), Gartner señala que los entornos de TI y OT...
¡Experimente la seguridad impulsada por IA en acción!
Descubra la IA de vanguardia de Stellar Cyber para una detección y respuesta instantáneas a amenazas. ¡Programe su demostración hoy!
¿Cómo funciona NDR?
Su red es el sistema nervioso central de toda su organización. Ya sea que esté implementado únicamente "en metal", sin presencia en la nube, o que haya optado "todo incluido" en un proveedor de nube, la red permite una comunicación vital de un centro de negocios a otro. Históricamente, se pensaba que implementar un firewall proporcionaba seguridad suficiente para una red. Sin embargo, los proveedores introdujeron nuevos controles de seguridad para proteger la red y combatir los avances en los métodos de ataque. Los sistemas de detección de intrusiones o prevención de intrusiones aumentaron la capacidad del firewall para prevenir ciberataques exitosos, dada la dependencia de firmas de red conocidas de los ataques, cuando los atacantes modificaron sus tácticas incluso ligeramente, la mayoría de los productos IDS/IPS se convirtieron en poco más que una molestia para los atacantes. tratar con."
![| Ciber estelar ¿Qué es NDR? La guía definitiva: la evolución de NDR](https://stellarcyber.ai/wp-content/uploads/2023/10/ndr-evolution.jpg.webp)
La evolución de la NDR
Como suelen hacer los proveedores de seguridad cuando se enfrentan a los cambiantes desafíos de los atacantes, se introdujo un nuevo tipo de producto conocido como Análisis de tráfico de red (NTA). Como sugiere su nombre, los productos NTA analizarían contenidos y métricas de tráfico entre los activos de las organizaciones y el tráfico hacia y desde fuentes externas. Un analista podría profundizar en los detalles de patrones fuera de lo común para determinar si se requieren acciones correctivas. Ahora, NDR entra en escena. NDR combina las mejores capacidades de seguridad de red IDS/IPS, NTA y otras en una única solución para proteger una red. Los productos NDR buscan ofrecer una visión integral de las amenazas a la seguridad en su red. Utilizando una combinación de firmas de red maliciosas conocidas, análisis de seguridad y análisis de comportamiento, los NDR pueden proporcionar rápidamente detección de amenazas con alta eficacia. Para ser más específicos, los productos NDR no solo pueden analizar el contenido del tráfico de la red, sino también identificar actividades anómalas mediante el análisis de los metadatos del tráfico de la red (tamaño/forma del tráfico). Esta capacidad es ventajosa cuando se trata de tráfico cifrado, donde puede resultar imposible que el producto NDR lo descifre en tiempo real. Los productos NDR típicos ofrecen capacidades de detección y la capacidad de responder a una amenaza potencial.
¿Cuál es el papel de NDR en la ciberseguridad?
Como estarían de acuerdo la mayoría de los profesionales de la ciberseguridad, la mayoría de los ataques afectan a la red de una forma u otra. Estudios recientes sugieren que el 99% de los ataques exitosos pueden detectarse en el tráfico de la red, muchos de los cuales podrían identificarse y mitigarse antes de que el atacante despliegue sus cargas útiles. Las soluciones modernas de protección de redes hacen que la protección de redes sea mucho más accesible para cualquier profesional de la seguridad al hacer que sus capacidades sean fáciles de usar. Junto con el aumento de las capacidades automatizadas incluidas en la mayoría de las soluciones, la identificación de amenazas en una red ahora es más sencilla que nunca. Para la mayoría de los equipos de seguridad, incluso aquellos que carecen de experiencia en redes pueden implementar una solución NDR en su pila de seguridad y comienzan a identificar amenazas a medida que se mueven entre los activos de la red y dentro y fuera de la red con poca intervención humana. Al incluir un NDR en una pila de seguridad, los equipos de seguridad también pueden ver enormes beneficios estratégicos y tácticos que van más allá de la simple identificación de amenazas en la red.
Defensa en profundidad
Intercambio de información
Una vez que se detectan las amenazas, esa información se puede compartir fácilmente en una plataforma SIEM o XDR para correlacionarla con otras amenazas, algunas de las cuales podrían considerarse una señal débil. Con un flujo constante de amenazas de red ahora analizadas con otros datos relevantes para la seguridad, los equipos de seguridad se beneficiarán de una visión más holística de las amenazas en todos sus entornos de red. Por ejemplo, es común que los atacantes implementen ataques de múltiples vectores contra sus objetivos, como iniciar una campaña de correo electrónico de phishing contra varios empleados mientras simultáneamente buscan explotar una vulnerabilidad conocida descubierta en algún lugar de la red. Cuando se investigan por separado, pueden considerarse de menor prioridad que cuando se consideran parte de un ataque dirigido. Con NDR implementado, junto con un XDR, estos ataques ya no se investigan de forma aislada. En cambio, se pueden correlacionar y aumentar con información contextual relevante, lo que facilita mucho la determinación de si están relacionados. Este paso adicional, que en la mayoría de los casos puede ocurrir automáticamente, significa que los analistas de seguridad se vuelven más productivos y eficientes sin tener que esforzarse más. Para obtener información adicional sobre los beneficios estratégicos de NDR, revise el Guía de compradores de NDR.
¿Cómo se compara NDR con EDR y XDR?
Requisitos NDR
- Productos NDR debe recopilar información sobre el tráfico de la red en tiempo real y almacenar los datos recopilados para hacer posible el análisis automatizado.
- Productos NDR debe poder normalizar y enriquecer los datos recopilados con información contextualmente relevante para facilitar un análisis integral
- Productos NDR También debe establecer una línea de base de tráfico de red regular, normalmente utilizando algoritmos de aprendizaje automático. Una vez que se establece la línea de base, el producto NDR debería detectar rápidamente los casos en los que el tráfico de red observado está fuera de los patrones de tráfico típicos, alertando a los analistas de seguridad en tiempo real sobre la anomalía.
- Productos NDR debe cubrir tanto los activos locales como los de la nube.
- Productos NDR debería funcionar para agregar alertas relacionadas en grupos de investigación procesables, lo que facilitará a los analistas de seguridad 1) comprender el alcance de un ataque y 2) tomar acciones de respuesta
- Productos NDR debe proporcionar un medio automatizado para tomar acciones de respuesta apropiadas cuando se consideren necesarias debido a la naturaleza y alcance de un ataque
Requisitos de EDR
- Productos EDR debe proporcionar a los equipos de seguridad un medio para recopilar y analizar datos de terminales en tiempo real. Normalmente, esto se entrega a través de un agente de punto final desplegable que se puede distribuir fácilmente a través de la herramienta elegida por la organización. Estos agentes de punto final deben administrarse de forma centralizada y actualizarse fácilmente sin necesidad de reiniciar el dispositivo.
- Productos EDR debería poder analizar aplicaciones y servicios en tiempo real para eliminar archivos y servicios potencialmente maliciosos. Cuando se descubra, debería ser posible poner en cuarentena los archivos y servicios sospechosos automáticamente.
- Productos EDR debe incluir un motor de reglas de correlación personalizable donde los equipos de seguridad puedan cargar un conjunto de reglas de correlación disponibles públicamente o crear sus propias reglas desde cero. Estas reglas deben incluir la capacidad de detectar una amenaza y un medio para tomar una respuesta automatizada si es necesario.
- Productos EDR debe integrarse fácilmente desde una perspectiva de datos en otro producto de seguridad, como una plataforma SIEM o XDR, para que los datos enriquecidos recopilados puedan analizarse en el contexto de otra información relevante para la seguridad.
- Productos EDR debería admitir implementaciones en dispositivos Microsoft Windows y diferentes versiones de dispositivos Linux.
- EDR moderno Los productos también se pueden implementar en ciertas plataformas basadas en la nube y otras aplicaciones entregadas en la nube, como Microsoft Office 365.
Requisitos XDR
Detección y respuesta extendidas (XDR) Los productos son una de las tecnologías más nuevas del mercado, nacida de la necesidad de facilitar que los equipos de seguridad eficientes brinden resultados de seguridad continuos en toda su empresa. Los productos XDR deben incluir las siguientes capacidades para ofrecer los beneficios que esperan la mayoría de los equipos de seguridad.
- productos XDR debe ingerir datos de cualquier fuente de datos disponible. Estos datos pueden incluir 1) alertas de cualquier control de seguridad implementado, 2) datos de registro de cualquier servicio utilizado por una organización, como los registros creados por el sistema de gestión de identidades de la organización, y 3) información de registro y relacionada con la actividad de cualquier nube. entorno y aplicación, como información de actividad recopilada de una solución Cloud Access Security Broker (CASB).
- productos XDR Idealmente, debería normalizar todos los datos recopilados para permitir un análisis integral a escala.
- productos XDR deberían utilizar el aprendizaje automático y la inteligencia artificial (IA) para correlacionar datos de alertas y actividades aparentemente dispares y no relacionados en incidentes/casos de seguridad fácilmente investigables.
- productos XDR debería contextualizar automáticamente todos los datos recopilados con información importante, lo que facilitará a los analistas de seguridad completar las investigaciones rápidamente.
- productos XDR debe dirigir los esfuerzos de los analistas de seguridad priorizando los incidentes de seguridad sospechosos según su impacto potencial en la organización.
- productos XDR debe proporcionar una capacidad de respuesta automatizada que pueda iniciarse sin intervención humana en función de la gravedad/impacto de una amenaza potencial.
En resumen, tanto los productos NDR como EDR son, en última instancia, insumos para una plataforma XDR que permite a los analistas de seguridad completar investigaciones de ciberseguridad de manera más rápida y efectiva que nunca.
Casos de uso comunes de NDR
Movimiento lateral
Al moverse a través de la red, también podrían identificar una aplicación o servicio vulnerable que les permita abrir una "puerta trasera" más tarde para volver a ingresar al entorno a voluntad. Además, para mantener la persistencia en un entorno, muchos atacantes intentarán escalar los privilegios de una cuenta de usuario comprometida a derechos de administrador, dándoles carta blanca en términos de realizar cambios en el entorno, potencialmente desactivando ciertas características de seguridad, eliminando registros que podría dejar migas de pan para que los equipos de seguridad las utilicen para completar sus investigaciones. Con un NDR que monitorea la actividad de la red en tiempo real, los equipos de seguridad pueden identificar rápidamente actividades sospechosas entre los activos de la red y patrones de tráfico anormales desde su red hacia el mundo exterior. Los productos NDR correlacionan esta actividad anormal con las acciones del usuario, lo que puede resaltar cuando un atacante se mueve libremente a través de sus activos de red.