¿Qué es NDR?
Hoy en día, quienes toman decisiones en materia de seguridad se enfrentan a una infinidad de opciones cuando se trata de crear una pila de seguridad moderna. Un control de seguridad que comúnmente se pasa por alto es la Detección y Respuesta de Red, o NDR. Las soluciones de ciberseguridad de NDR no son nuevas. Sin embargo, debido a la complejidad percibida de la implementación, el mantenimiento y el uso, muchos propietarios de seguridad le dan prioridad a esta tecnología en su pila de seguridad, asumiendo que otros productos de seguridad asociados a la red pueden evitar que sus redes se vean comprometidas. Esta guía proporciona una definición completa de NDR como solución moderna de ciberseguridad y su importancia en la lucha contra los ciberataques.
Guía de mercado de Gartner para detección y respuesta de redes (NDR)
En informes recientes de Gartner® sobre detección y respuesta de red (NDR), Gartner señala que los entornos de TI y OT...
¡Experimente la seguridad impulsada por IA en acción!
Descubra la IA de vanguardia de Stellar Cyber para una detección y respuesta instantáneas a amenazas. ¡Programe su demostración hoy!
¿Cómo funciona NDR?
Las tecnologías de detección y respuesta de red están diseñadas para identificar amenazas en toda su infraestructura de red y permitir a los analistas de seguridad tomar acciones de respuesta decisivas rápidamente para mitigar el riesgo de una infracción dañina. A diferencia de otras tecnologías de red que requieren que los usuarios sean semiexpertos en redes, los analistas de seguridad con experiencia variada pueden utilizar fácilmente los productos NDR. Para entender mejor cómo Las capacidades NDR mantienen una red segura, primero debemos analizar cómo se implementan y funcionan.
Su red es el sistema nervioso central de toda su organización. Ya sea que esté implementado únicamente "en metal", sin presencia en la nube, o que haya optado "todo incluido" en un proveedor de nube, la red permite una comunicación vital de un centro de negocios a otro. Históricamente, se pensaba que implementar un firewall proporcionaba seguridad suficiente para una red. Sin embargo, los proveedores introdujeron nuevos controles de seguridad para proteger la red y combatir los avances en los métodos de ataque. Los sistemas de detección de intrusiones o prevención de intrusiones aumentaron la capacidad del firewall para prevenir ciberataques exitosos, dada la dependencia de firmas de red conocidas de los ataques, cuando los atacantes modificaron sus tácticas incluso ligeramente, la mayoría de los productos IDS/IPS se convirtieron en poco más que una molestia para los atacantes. tratar con."
Su red es el sistema nervioso central de toda su organización. Ya sea que esté implementado únicamente "en metal", sin presencia en la nube, o que haya optado "todo incluido" en un proveedor de nube, la red permite una comunicación vital de un centro de negocios a otro. Históricamente, se pensaba que implementar un firewall proporcionaba seguridad suficiente para una red. Sin embargo, los proveedores introdujeron nuevos controles de seguridad para proteger la red y combatir los avances en los métodos de ataque. Los sistemas de detección de intrusiones o prevención de intrusiones aumentaron la capacidad del firewall para prevenir ciberataques exitosos, dada la dependencia de firmas de red conocidas de los ataques, cuando los atacantes modificaron sus tácticas incluso ligeramente, la mayoría de los productos IDS/IPS se convirtieron en poco más que una molestia para los atacantes. tratar con."
La evolución de la NDR
Como suelen hacer los proveedores de seguridad cuando se enfrentan a los cambiantes desafíos de los atacantes, se introdujo un nuevo tipo de producto conocido como Análisis de tráfico de red (NTA). Como sugiere su nombre, los productos NTA analizarían contenidos y métricas de tráfico entre los activos de las organizaciones y el tráfico hacia y desde fuentes externas. Un analista podría profundizar en los detalles de patrones fuera de lo común para determinar si se requieren acciones correctivas. Ahora, NDR entra en escena. NDR combina las mejores capacidades de seguridad de red IDS/IPS, NTA y otras en una única solución para proteger una red. Los productos NDR buscan ofrecer una visión integral de las amenazas a la seguridad en su red. Utilizando una combinación de firmas de red maliciosas conocidas, análisis de seguridad y análisis de comportamiento, los NDR pueden proporcionar rápidamente detección de amenazas con alta eficacia. Para ser más específicos, los productos NDR no solo pueden analizar el contenido del tráfico de la red, sino también identificar actividades anómalas mediante el análisis de los metadatos del tráfico de la red (tamaño/forma del tráfico). Esta capacidad es ventajosa cuando se trata de tráfico cifrado, donde puede resultar imposible que el producto NDR lo descifre en tiempo real. Los productos NDR típicos ofrecen capacidades de detección y la capacidad de responder a una amenaza potencial.
¿Cuál es el papel de NDR en la ciberseguridad?
Los atacantes modernos buscan cualquier debilidad en el entorno de una organización que puedan explotar. Si bien los puntos finales son una superficie de ataque popular para la mayoría de los atacantes, cada vez más buscan formas de enmascarar sus amenazas cibernéticas dentro del tráfico normal de la red. Este enfoque está ganando popularidad debido a la complejidad percibida asociada con el monitoreo, análisis y detección de amenazas a medida que atraviesan la red. En un pasado no muy lejano, identificar amenazas en el tráfico de red requería recursos con amplia experiencia en configuración, mantenimiento y monitoreo del tráfico de red. Hoy en día, sin embargo, el panorama de la ciberseguridad es muy diferente, lo que hace que la protección de una red sea mucho más accesible para todos los profesionales de la seguridad, no solo para aquellos que son expertos en redes.
Como estarían de acuerdo la mayoría de los profesionales de la ciberseguridad, la mayoría de los ataques afectan a la red de una forma u otra. Estudios recientes sugieren que el 99% de los ataques exitosos pueden detectarse en el tráfico de la red, muchos de los cuales podrían identificarse y mitigarse antes de que el atacante despliegue sus cargas útiles. Las soluciones modernas de protección de redes hacen que la protección de redes sea mucho más accesible para cualquier profesional de la seguridad al hacer que sus capacidades sean fáciles de usar. Junto con el aumento de las capacidades automatizadas incluidas en la mayoría de las soluciones, la identificación de amenazas en una red ahora es más sencilla que nunca. Para la mayoría de los equipos de seguridad, incluso aquellos que carecen de experiencia en redes pueden implementar una solución NDR en su pila de seguridad y comienzan a identificar amenazas a medida que se mueven entre los activos de la red y dentro y fuera de la red con poca intervención humana. Al incluir un NDR en una pila de seguridad, los equipos de seguridad también pueden ver enormes beneficios estratégicos y tácticos que van más allá de la simple identificación de amenazas en la red.
Como estarían de acuerdo la mayoría de los profesionales de la ciberseguridad, la mayoría de los ataques afectan a la red de una forma u otra. Estudios recientes sugieren que el 99% de los ataques exitosos pueden detectarse en el tráfico de la red, muchos de los cuales podrían identificarse y mitigarse antes de que el atacante despliegue sus cargas útiles. Las soluciones modernas de protección de redes hacen que la protección de redes sea mucho más accesible para cualquier profesional de la seguridad al hacer que sus capacidades sean fáciles de usar. Junto con el aumento de las capacidades automatizadas incluidas en la mayoría de las soluciones, la identificación de amenazas en una red ahora es más sencilla que nunca. Para la mayoría de los equipos de seguridad, incluso aquellos que carecen de experiencia en redes pueden implementar una solución NDR en su pila de seguridad y comienzan a identificar amenazas a medida que se mueven entre los activos de la red y dentro y fuera de la red con poca intervención humana. Al incluir un NDR en una pila de seguridad, los equipos de seguridad también pueden ver enormes beneficios estratégicos y tácticos que van más allá de la simple identificación de amenazas en la red.
Defensa en profundidad
En primer lugar, al incluir NDR en su pila de seguridad, sigue las mejores prácticas del enfoque de seguridad de “defensa en profundidad”. Si bien las plataformas de protección de endpoints y las soluciones de detección y respuesta de endpoints están diseñadas para identificar amenazas en los endpoints, por ejemplo, generalmente son ciegas a las amenazas a medida que se mueven por la red. De manera similar, los productos de prevención de pérdida de datos son muy buenos para identificar cuándo se mueven datos importantes desde una ubicación determinada. Sin embargo, no son muy buenos para captar esta información crítica que atraviesa la red, especialmente si está oculta dentro del tráfico normal de la red. En esta situación es donde los productos de seguridad de NDR tienen el potencial de mejorar la capacidad de un equipo de seguridad para reducir el riesgo de un ciberataque exitoso. Al igual que los otros productos mencionados están dedicados a detectar amenazas en un activo o tipo de datos específico, el NDR se centra únicamente en comprender el tráfico de la red de una manera que ningún otro producto de seguridad puede hacerlo. Al permitir un análisis rápido del tráfico de red en tiempo real, los productos de seguridad NDR pueden revelar amenazas potenciales en el tráfico de red que podrían haber pasado desapercibidas.
Intercambio de información
Una vez que se detectan las amenazas, esa información se puede compartir fácilmente en una plataforma SIEM o XDR para correlacionarla con otras amenazas, algunas de las cuales podrían considerarse una señal débil. Con un flujo constante de amenazas de red ahora analizadas con otros datos relevantes para la seguridad, los equipos de seguridad se beneficiarán de una visión más holística de las amenazas en todos sus entornos de red. Por ejemplo, es común que los atacantes implementen ataques de múltiples vectores contra sus objetivos, como iniciar una campaña de correo electrónico de phishing contra varios empleados mientras simultáneamente buscan explotar una vulnerabilidad conocida descubierta en algún lugar de la red. Cuando se investigan por separado, pueden considerarse de menor prioridad que cuando se consideran parte de un ataque dirigido. Con NDR implementado, junto con un XDR, estos ataques ya no se investigan de forma aislada. En cambio, se pueden correlacionar y aumentar con información contextual relevante, lo que facilita mucho la determinación de si están relacionados. Este paso adicional, que en la mayoría de los casos puede ocurrir automáticamente, significa que los analistas de seguridad se vuelven más productivos y eficientes sin tener que esforzarse más. Para obtener información adicional sobre los beneficios estratégicos de NDR, revise el Guía de compradores de NDR.
¿Cómo se compara NDR con EDR y XDR?
Con tantos productos y servicios de ciberseguridad que afirman ofrecer beneficios similares, puede resultar difícil para algunos responsables de la toma de decisiones en materia de seguridad discernir qué productos implementar para obtener beneficios incrementales. NDR no es inmune a esta confusión, por lo que para ayudar a los tomadores de decisiones a comprender las similitudes y diferencias entre los controles de seguridad estándar, a continuación se describen las diferencias entre NDR, EDR y XDR.
Requisitos NDR
Primero, para establecer una comprensión básica del enfoque de esta guía, NDR, estas son las capacidades estándar de una solución NDR:
- Productos NDR debe recopilar información sobre el tráfico de la red en tiempo real y almacenar los datos recopilados para hacer posible el análisis automatizado.
- Productos NDR debe poder normalizar y enriquecer los datos recopilados con información contextualmente relevante para facilitar un análisis integral
- Productos NDR También debe establecer una línea de base de tráfico de red regular, normalmente utilizando algoritmos de aprendizaje automático. Una vez que se establece la línea de base, el producto NDR debería detectar rápidamente los casos en los que el tráfico de red observado está fuera de los patrones de tráfico típicos, alertando a los analistas de seguridad en tiempo real sobre la anomalía.
- Productos NDR debe cubrir tanto los activos locales como los de la nube.
- Productos NDR debería funcionar para agregar alertas relacionadas en grupos de investigación procesables, lo que facilitará a los analistas de seguridad 1) comprender el alcance de un ataque y 2) tomar acciones de respuesta
- Productos NDR debe proporcionar un medio automatizado para tomar acciones de respuesta apropiadas cuando se consideren necesarias debido a la naturaleza y alcance de un ataque
Requisitos de EDR
Los productos de detección y respuesta de terminales (EDR) deben ofrecer las siguientes capacidades para proporcionar la protección necesaria de su área de enfoque, los dispositivos de terminales:
- Productos EDR debe proporcionar a los equipos de seguridad un medio para recopilar y analizar datos de terminales en tiempo real. Normalmente, esto se entrega a través de un agente de punto final desplegable que se puede distribuir fácilmente a través de la herramienta elegida por la organización. Estos agentes de punto final deben administrarse de forma centralizada y actualizarse fácilmente sin necesidad de reiniciar el dispositivo.
- Productos EDR debería poder analizar aplicaciones y servicios en tiempo real para eliminar archivos y servicios potencialmente maliciosos. Cuando se descubra, debería ser posible poner en cuarentena los archivos y servicios sospechosos automáticamente.
- Productos EDR debe incluir un motor de reglas de correlación personalizable donde los equipos de seguridad puedan cargar un conjunto de reglas de correlación disponibles públicamente o crear sus propias reglas desde cero. Estas reglas deben incluir la capacidad de detectar una amenaza y un medio para tomar una respuesta automatizada si es necesario.
- Productos EDR debe integrarse fácilmente desde una perspectiva de datos en otro producto de seguridad, como una plataforma SIEM o XDR, para que los datos enriquecidos recopilados puedan analizarse en el contexto de otra información relevante para la seguridad.
- Productos EDR debería admitir implementaciones en dispositivos Microsoft Windows y diferentes versiones de dispositivos Linux.
- EDR moderno Los productos también se pueden implementar en ciertas plataformas basadas en la nube y otras aplicaciones entregadas en la nube, como Microsoft Office 365.
Requisitos XDR
Detección y respuesta extendidas (XDR) Los productos son una de las tecnologías más nuevas del mercado, nacida de la necesidad de facilitar que los equipos de seguridad eficientes brinden resultados de seguridad continuos en toda su empresa. Los productos XDR deben incluir las siguientes capacidades para ofrecer los beneficios que esperan la mayoría de los equipos de seguridad.
- productos XDR debe ingerir datos de cualquier fuente de datos disponible. Estos datos pueden incluir 1) alertas de cualquier control de seguridad implementado, 2) datos de registro de cualquier servicio utilizado por una organización, como los registros creados por el sistema de gestión de identidades de la organización, y 3) información de registro y relacionada con la actividad de cualquier nube. entorno y aplicación, como información de actividad recopilada de una solución Cloud Access Security Broker (CASB).
- productos XDR Idealmente, debería normalizar todos los datos recopilados para permitir un análisis integral a escala.
- productos XDR deberían utilizar el aprendizaje automático y la inteligencia artificial (IA) para correlacionar datos de alertas y actividades aparentemente dispares y no relacionados en incidentes/casos de seguridad fácilmente investigables.
- productos XDR debería contextualizar automáticamente todos los datos recopilados con información importante, lo que facilitará a los analistas de seguridad completar las investigaciones rápidamente.
- productos XDR debe dirigir los esfuerzos de los analistas de seguridad priorizando los incidentes de seguridad sospechosos según su impacto potencial en la organización.
- productos XDR debe proporcionar una capacidad de respuesta automatizada que pueda iniciarse sin intervención humana en función de la gravedad/impacto de una amenaza potencial.
En resumen, tanto los productos NDR como EDR son, en última instancia, insumos para una plataforma XDR que permite a los analistas de seguridad completar investigaciones de ciberseguridad de manera más rápida y efectiva que nunca.
Casos de uso comunes de NDR
Debería ser evidente que los productos NDR se centran en identificar amenazas a la seguridad a medida que atraviesan la infraestructura de red de una organización. Dicho esto, puede ser más fácil para los tomadores de decisiones de seguridad comprender los beneficios que ofrece un producto NDR aplicando una lente de caso de uso a la discusión. La siguiente discusión describe varios casos de uso de seguridad comunes que un producto NDR puede ayudar a reunir a un equipo de seguridad.
Movimiento lateral
Un desafío común para un equipo de seguridad es comprender cuándo un atacante se mueve lateralmente por su entorno. Por ejemplo, cuando un atacante compromete con éxito una cuenta de usuario o un punto final sin ser detectado, el siguiente paso lógico es que el atacante intente adentrarse más en el entorno. Supongamos que pueden pasar de un dispositivo a otro en modo sigiloso. En ese caso, pueden descubrir dónde existe información confidencial en el entorno, lo que hace que su ataque sea más impactante en el caso de ransomware.
Al moverse a través de la red, también podrían identificar una aplicación o servicio vulnerable que les permita abrir una "puerta trasera" más tarde para volver a ingresar al entorno a voluntad. Además, para mantener la persistencia en un entorno, muchos atacantes intentarán escalar los privilegios de una cuenta de usuario comprometida a derechos de administrador, dándoles carta blanca en términos de realizar cambios en el entorno, potencialmente desactivando ciertas características de seguridad, eliminando registros que podría dejar migas de pan para que los equipos de seguridad las utilicen para completar sus investigaciones. Con un NDR que monitorea la actividad de la red en tiempo real, los equipos de seguridad pueden identificar rápidamente actividades sospechosas entre los activos de la red y patrones de tráfico anormales desde su red hacia el mundo exterior. Los productos NDR correlacionan esta actividad anormal con las acciones del usuario, lo que puede resaltar cuando un atacante se mueve libremente a través de sus activos de red.
Al moverse a través de la red, también podrían identificar una aplicación o servicio vulnerable que les permita abrir una "puerta trasera" más tarde para volver a ingresar al entorno a voluntad. Además, para mantener la persistencia en un entorno, muchos atacantes intentarán escalar los privilegios de una cuenta de usuario comprometida a derechos de administrador, dándoles carta blanca en términos de realizar cambios en el entorno, potencialmente desactivando ciertas características de seguridad, eliminando registros que podría dejar migas de pan para que los equipos de seguridad las utilicen para completar sus investigaciones. Con un NDR que monitorea la actividad de la red en tiempo real, los equipos de seguridad pueden identificar rápidamente actividades sospechosas entre los activos de la red y patrones de tráfico anormales desde su red hacia el mundo exterior. Los productos NDR correlacionan esta actividad anormal con las acciones del usuario, lo que puede resaltar cuando un atacante se mueve libremente a través de sus activos de red.
Credenciales comprometidas
Otro caso de uso cotidiano de seguridad que pueden cumplir los productos NDR está asociado con credenciales comprometidas. Desafortunadamente, hoy en día, un atacante puede obtener credenciales de usuario válidas de muchas maneras, desde comprándolas en la web oscura hasta conseguir que un empleado involuntario ofrezca voluntariamente sus credenciales en respuesta a un correo electrónico fraudulento o a través de un sitio web malicioso. Una vez que el atacante obtiene las credenciales, le resulta fácil acceder al entorno. Una vez dentro de la organización, el atacante puede llevar a cabo cualquier cantidad de actividades maliciosas, como implementar ransomware debilitante, eliminar datos de misión crítica o exponer información confidencial de la empresa al mundo exterior para causar estragos. Los productos NDR facilitan la detección de credenciales comprometidas debido a la naturaleza de cómo funciona un NDR. Por ejemplo, si se detecta que un empleado radicado en América del Norte inicia sesión desde China. En ese caso, el producto NDR detectará esta anomalía y generará una alerta que un analista de seguridad podrá investigar rápidamente. Dado que el producto NDR contextualizará la advertencia automáticamente, el analista de seguridad puede determinar rápidamente si esta anomalía es una amenaza e iniciar una respuesta automatizada en segundos, como restringir el acceso del usuario a todos los entornos de red y forzar un restablecimiento de contraseña. También podrían garantizar que el acceso del usuario a cualquier aplicación basada en la nube y activo de red esté deshabilitado mediante una integración con un producto CASB.