Explicación de la detección y respuesta de red (NDR)

  • Puntos clave:
  • ¿Qué hace la detección y respuesta de red (NDR)?
    NDR analiza continuamente el tráfico de la red, crea modelos de comportamiento para detectar anomalías y automatiza las respuestas con IA.
  • ¿Cómo ha evolucionado la NDR a partir de la NTA?
    Pasó del monitoreo básico del tráfico a la inspección avanzada y respuesta automatizada utilizando análisis de comportamiento y firmas.
  • ¿Qué características clave ofrece el NDR de Stellar Cyber?
    Inspección profunda de paquetes, sensores distribuidos, lago de datos centralizado, detección de amenazas basada en IA e integración SOAR automatizada.
  • ¿Cómo Stellar Cyber ​​reduce el volumen de datos y mejora la detección?
    Logra una reducción de datos de hasta 500× al mismo tiempo que se enriquece con información sobre amenazas, lo que permite una correlación y respuesta impulsadas por IA en tiempo real.
  • ¿Cómo ayuda NDR a unificar las operaciones de seguridad?
    El NDR de Stellar Cyber ​​está integrado en Abrir XDR, lo que permite una correlación perfecta con SIEM, SOAR y UEBA en una sola plataforma.

La Detección y Respuesta de Red (NDR) aporta nueva visibilidad a las redes de una organización al ingerir y analizar pasivamente la actividad de la red interna. Con la aparición de LLM y las nuevas demandas de defensa exhaustiva de la red, las herramientas de NDR ya están evolucionando más allá de esta capacidad fundamental. Gartner... Informe del NDR detalla cómo las herramientas en el mercado actual están ampliando los límites con la ampliación de LLM, la detección de amenazas multimodales y la implementación basada en IaaS.

El impacto posterior de la NDR moderna es significativo: una respuesta a incidentes más cohesionada, análisis más precisos y un análisis forense más rápido. Esta guía ofrece un análisis exhaustivo y profundo de la NDR.

#titulo de la imagen

Soluciones NDR del Cuadrante Mágico™ de Gartner®

Descubra por qué somos el único proveedor ubicado en el cuadrante Challenger...

Más información
#titulo de la imagen

¡Experimente la seguridad impulsada por IA en acción!

Descubra la inteligencia artificial de vanguardia de Stellar Cyber ​​para la detección instantánea de amenazas...

Agenda Un Demo

¿Cómo funciona NDR?

Los NDR son únicos por su capacidad para analizar continuamente los paquetes de red y los metadatos de tráfico que se producen en los flujos de tráfico Este-Oeste (internos) y Norte-Sur (redes internas e internet público). Cada acción de red individual representa un punto de datos clave que el NDR procesa; cada uno se utiliza para construir un modelo del comportamiento diario de la red interna.

Esto permite detectar cualquier desviación de inmediato. Estos patrones no naturales se envían a los analistas para su análisis en forma de alerta; es entonces cuando se determina si el tráfico indica un ataque o es inofensivo. Los NDR modernos con capacidades de respuesta automatizadas pueden implementar automáticamente una medida correctiva, como el bloqueo de IP, en respuesta a una amenaza identificada. Esto mantiene la red segura mientras el analista determina su legitimidad.

La evolución de la NDR

La NDR puede rastrear sus orígenes hasta Análisis de tráfico de red (NTA)Esta herramienta más antigua era utilizada conjuntamente por administradores de seguridad y red: les permitía controlar qué activos recibían tráfico de red, la velocidad de respuesta de cada aplicación o dispositivo y la cantidad de tráfico que se enviaba hacia y desde ciertas fuentes.

Sin embargo, a medida que el panorama de amenazas evolucionó a principios de la década de 2010, los administradores de seguridad descubrieron que los datos de volumen de red no reflejaban la realidad completa. Confiar únicamente en NTA para la detección de amenazas exigía un administrador de red con mucha experiencia y perspicacia; dejaba mucho al azar. La Detección y Respuesta de Red (NDR) se centra en la recopilación universal de datos de red, junto con una capa adicional de análisis.

Las herramientas NDR actuales Reforzar este análisis de comportamiento central con la comparación de firmas de archivos y la implementación de reglas. Al detectar una amenaza potencial, NDR puede poner automáticamente en cuarentena archivos sospechosos, informar a los administradores de seguridad sobre información crítica y correlacionar las alertas con sus incidentes de seguridad más amplios.

¿Cuál es el papel de NDR en la ciberseguridad?

Tradicionalmente, la ciberseguridad de las organizaciones dependía de herramientas de detección de amenazas estáticas, como antivirus y firewalls: estas se basaban en la detección basada en firmas, evaluando los archivos que se introducían o compartían a través de una red frente a los indicadores de compromiso dentro de la base de datos de cada herramienta.

Sin embargo, esta configuración, ahora conocida como ciberseguridad perimetral, presentaba algunas deficiencias inherentes. Por ejemplo, si el firewall no se actualiza constantemente, un atacante puede infiltrarse. Una vez comprometido un dispositivo o servicio, se explota la confianza inherente entre los dispositivos de una red interna, ya que el atacante inicia la escalada de privilegios.

Los NDR aprovechan esta cadena de ataque y reconocen que casi todos los ataques afectan al menos a una red interna. Los equipos de ciberseguridad pueden implementar una solución NDR A través del tráfico norte-sur y este-oeste, lo que les otorga visibilidad del tráfico que ingresa a la organización y del que se comparte entre dispositivos internos, respectivamente. Esto bloquea una de las principales vías de ataque de las que se valen los atacantes. Guía de compradores de NDR detalla cómo se manejan y analizan estos datos de tráfico para detectar posible actividad maliciosa.

¿Cuál es el papel del NDR en el Centro de Operaciones de Seguridad (SOC)?

El SOC moderno necesita estar presente en todas partes a la vez: dada la proliferación inherente a las redes modernas, esto no es tarea fácil. Por ello, el NDR desempeña un papel fundamental en los SOC eficientes actuales, al ser una plataforma de detección centralizada. Un NDR adecuado puede proporcionar las siguientes capacidades a un SOC.

Visibilidad completa de la red

Un componente fundamental de un SOC es su capacidad para detectar y responder a amenazas en todo el espectro de dispositivos, usuarios y servicios. Los datos de red son una valiosa fuente de inteligencia, pero los especialistas en triaje y los cazadores de amenazas suelen verse ralentizados por su gran cantidad. La arquitectura NDR le permite recopilar automáticamente datos de paquetes, flujos y registros de la infraestructura de red y los firewalls. También analiza el tráfico cifrado sin necesidad de interceptarlo. Esto permite un análisis exhaustivo que incorpora una mayor variedad de fuentes, proporcionando así al SOC una visión más completa de sus redes.

Alertas conectadas

Los especialistas en triaje desempeñan un papel fundamental en la gestión de alertas de seguridad, recopilando datos sin procesar y analizando las alarmas entrantes. Sus responsabilidades incluyen validar las alertas, evaluar o ajustar su gravedad y enriquecerlas con información contextual. Los NDR modernos aceleran este proceso al integrarse con otras herramientas de seguridad y detectar automáticamente anomalías de la red en su contexto más amplio, desde correos electrónicos de phishing hasta descargas de archivos sospechosos.

Conciencia rápida de la red

Los gerentes del SOC son conscientes de la necesidad de un profundo conocimiento de redes. Esta demanda puede dificultar y consumir mucho tiempo la contratación y capacitación de nuevos miembros del equipo del SOC. Con la NDR en el SOC, incluso los nuevos miembros del equipo que carecen de experiencia en redes pueden... implementar una solución NDR y comenzar a identificar amenazas.

Respuesta rápida de la red

El poder analítico de NDR se ofrece a los analistas en un panel intuitivo. Esta interfaz de usuario permite priorizar las alertas automáticamente y permite que las funciones de respuesta manual de la red comiencen mucho antes.

NDR frente a detección y respuesta en puntos finales (EDR)

La ciberseguridad moderna exige visibilidad que va más allá de las actividades de red: EDR es la solución correspondiente, que se centra en el comportamiento de los endpoints. La detección de red vs. endpoints es bastante sencilla: al igual que NDR registra cada acción en una red y la ubica en un gráfico de tendencias más amplio, EDR analiza cada acción a nivel de dispositivo en relación con su comportamiento histórico o específico de rol.

Los productos EDR suelen distribuirse mediante un agente de endpoint implementable en cada endpoint. Gracias a su presencia local, EDR puede recopilar información de procesos, lo que ayuda a identificar programas potencialmente maliciosos al supervisar los procesos que se ejecutan en el sistema. También se examina la información de los archivos para validar su integridad, mientras que la información del usuario verifica la legitimidad de cada cuenta. Finalmente, se recopila información del sistema para mantener una visión completa del estado del endpoint.

En lugar de NDR vs. EDR, la mayoría de las organizaciones implementan NDR junto con EDR, lo que permite el seguimiento y la monitorización de una cadena de ataque completa. Desde la vulneración inicial de la cuenta hasta la escalada de privilegios a nivel de red y la eventual implementación de malware, es posible detectar con antelación la totalidad de los ataques complejos. Viendo su potencial, algunos proveedores de ciberseguridad han comenzado a ofrecer otra capa de análisis y orquestación entre ambos: la detección y respuesta extendidas (XDR).

¿Cómo se compara NDR con EDR y XDR?

NDR, EDR y XDR son tecnologías sutilmente distintas, cada una enfocada en diferentes facetas de los procesos de identificación y respuesta a amenazas. También tienen distintos alcances, desde específicos de la red hasta la superficie de ataque completa de la organización.

NDR (detección y respuesta de red)

EDR (detección y respuesta de terminales)

XDR (detección y respuesta extendidas)
<b></b><b></b> Tráfico de red. Puntos finales (portátiles, servidores, dispositivos). Todos (puntos finales, red, nube).
Fuentes de datos primarios Metadatos de red, flujos de tráfico. Telemetría de puntos finales, comportamiento de archivos y procesos. Telemetría agregada en múltiples dominios.
Capacidades de respuesta Limitado a acciones a nivel de red, ofreciendo cada vez más respuestas automatizadas. Aislado de respuestas específicas del punto final, como la cuarentena. Ofrece total libertad de respuesta automatizada multiplataforma.
Complejidad de implementación Medio (requiere integración de red). Medio (requiere instalación del agente en los puntos finales). Alto (requiere integración en todas las plataformas de seguridad o fuentes de datos primarias).
Mejor caso de uso Detectando movimientos laterales, amenazas sigilosas. Identificación de puntos finales comprometidos. Detección y respuesta integral ante amenazas.

Técnicas utilizadas en soluciones NDR

Dado que los NDR manejan y analizan continuamente grandes cantidades de datos, es importante comprender las diferentes estrategias que emplean contra amenazas complejas.

Análisis de tráfico cifrado

La protección del tráfico cifrado ha sido tradicionalmente un tema delicado: dado que la gran mayoría del tráfico actual está cifrado, no poder analizarlo adecuadamente puede ser un grave descuido. Sin embargo, descifrar todos los paquetes de red durante la transferencia puede aumentar drásticamente el riesgo de exposición de datos y tokens.

Para solucionar esto, las herramientas líderes del mercado suelen recurrir a un conjunto de técnicas de NDR. Para evitar fugas de tokens o datos descifrados, se pueden implementar sensores detrás de servidores proxy. Esto emplea la detección de tráfico cifrado y lo enruta a través de un proxy: el tráfico se descifra de forma normal y los sensores retransmiten toda la información al motor central de NDR. Obtenga más información sobre nuestras capacidades de NDR aquí.

Si los servidores proxy no son adecuados para un caso de uso específico, es posible detectar con precisión la legitimidad del tráfico mediante sus patrones. El tráfico completamente cifrado puede evaluarse en busca de malware mediante la identificación JA3, sin romper su cifrado. Además, los patrones y los metadatos pueden combinarse para detectar la intención detrás de un paquete cifrado, ya que el sensor puede extraer el certificado del servidor, las direcciones IP, los nombres de dominio, la duración de la sesión y el número de bytes del encabezado del paquete y el protocolo de enlace TLS/SSL.

Finalmente, si el descifrado de tráfico es totalmente necesario, los NDR modernos pueden integrarse con servicios de descifrado de paquetes. Los datos de red resultantes se envían al motor de análisis central de forma habitual.

Descubrimiento automatizado de activos

Saber qué dispositivos transfieren datos dentro y fuera de una red es vital. Los NDR rastrean y añaden automáticamente activos al panel de gestión de activos, según la dirección MAC, la dirección IP y el nombre de host correspondientes. Esto permite visualizar los riesgos a nivel de red según los activos afectados.

Decodificación de protocolo

Los protocolos de red son conjuntos de reglas establecidas que definen cómo se formatean, transmiten, reciben e interpretan los datos entre los dispositivos de una red. Son piezas vitales del rompecabezas contextual; por ello, los NDR básicamente reconstruyen los datos sin procesar para determinar el protocolo adecuado. Luego, comparan los datos reales de la red con este protocolo esperado, lo que permite detectar rápidamente cualquier desviación del tráfico.

Análisis de comportamiento

Junto con los protocolos que rigen cada flujo de tráfico, los NDR pueden construir un modelo del funcionamiento diario de cada red. Por ejemplo, durante varios meses, puede observar que un empleado sube datos a un sitio específico mediante SFTP a las 10:5 a. m. Si, de repente, ese empleado sube un archivo a otros cinco dispositivos internos a las 2:XNUMX a. m., sabe que debe marcar esta acción sospechosa para su posterior análisis.

Cómo implementar la detección y respuesta de red

La implementación de un NDR debe cubrir todas las redes de las que depende su organización, ya sean en la nube, completamente locales o una combinación de ambas. Los siguientes métodos de implementación le brindarán una visión detallada de cómo se implementan técnicamente los NDR en una organización.

Despliegue de sensores

La NDR requiere la implementación de sensores en cualquier red que se monitorice. Sin embargo, existen sensores específicos para diferentes casos de uso, y una implementación exitosa requiere el sensor adecuado. Por ejemplo, los entornos de distribución Linux necesitan un sensor de servidor Linux. Estos suelen implementarse con una cantidad predefinida de recursos de CPU disponibles que pueden usar en cualquier momento para proteger la calidad del servidor mientras recopilan ejecuciones de comandos y registros. Los servidores Windows también requieren su propio tipo de sensor; estos recopilan toda la información de Windows. tipos de eventos

Los sensores modulares son otro tipo de sensor: permiten integrar funciones personalizables junto con el sensor. Por ejemplo, pueden incluir el reenvío de registros (si fuera necesario implementarlo con un SIEM u otra herramienta de seguridad) y la ingesta de tráfico de red (según lo exija el NDR). Para requisitos de seguridad más exigentes, los sensores modulares también pueden implementarse con sistemas de sandbox y de detección de intrusiones.

Una vez identificados los sensores correctos para cada implementación, es importante configurarlos adecuadamente. Existen diversos métodos de implementación para ello: un puerto SPAN es uno de los más comunes y funciona reflejando el tráfico de red de un switch al puerto con el sensor NDR. Esto permite que la herramienta NDR capture paquetes de forma pasiva todo el tráfico que se dirige a ese puerto.

Los entornos virtuales dependen de la implementación de taps virtuales, que capturan copias de los datos que fluyen entre las máquinas virtuales dentro del host. Los TAP físicos no detectan este tráfico, ya que nunca atraviesa los cables de red físicos. La actividad de red de los endpoints remotos se puede monitorizar con recopiladores basados ​​en agentes; recopiladores ligeros que se instalan directamente en un dispositivo.

Ingestión de datos

Dado que todos los datos son monitoreados continuamente por sensores, el motor de análisis central del NDR debe procesarlos y analizarlos. Esto se realiza mediante dos procesos: receptores y conectores. El primero es una tarea en ejecución que recibe la información del sensor y la distribuye entre las direcciones IP o los números de puerto contactados, y el segundo examina los datos brutos de los paquetes de red asociados.

Descargar y configurar

La descarga y configuración de la consola de administración de NDR depende del proveedor seleccionado, pero todos deberían requerir la configuración inicial de roles de administrador, umbrales de alerta y protocolos de notificación. Una o dos semanas de capacitación suelen ser el requisito mínimo al implementar una nueva herramienta; esto ayuda a definir su integración con los flujos de trabajo de los analistas.

Habilitar y ajustar las respuestas automatizadas

Las respuestas automatizadas son una capacidad clave de las herramientas modernas de NDR: también representan un ahorro de tiempo significativo ante posibles ataques. Dependiendo del NDR, es necesario configurar sus acciones de respuesta automatizadas, como la terminación de la sesión TCP, la segmentación dinámica de la red o la limitación del tráfico, junto con el perfil de comportamiento que debe activar cada acción. Obtenga más información sobre cómo implementar un NDR aquí.

Integración de NDR con otras herramientas de seguridad

La capacidad de NDR para construir modelos heurísticos del comportamiento normal de la red y, por lo tanto, detectar cualquier desviación, complementa en gran medida la información aportada por otras tecnologías de seguridad. Si estas se integran, se puede incorporar un conocimiento a nivel de red en cada alerta. Las siguientes herramientas de seguridad son las que se integran con NDR de forma frecuente y exitosa.

EDR

Al integrar EDR con NDR, es posible no solo comprender completamente la cadena de ataque, sino también responder automáticamente a las amenazas a través del dispositivo EDR. Por ejemplo, cuando el malware se vincula a un dispositivo, una solución conjunta EDR/NDR puede aislarlo automáticamente de la red. Esta contención impide la propagación de la amenaza, a la vez que brinda a los equipos de seguridad la oportunidad de investigar el incidente y aplicar las medidas de remediación necesarias.

SIEM

Los SIEM son omnipresentes en los equipos de seguridad: permiten el análisis y la detección de registros, y son precursores de la gestión moderna de amenazas. Sin embargo, dado que gestionan tantos registros, y estos por sí solos no ofrecen la visibilidad más exhaustiva de las amenazas, son muy propensos a falsos positivos. El resultado son miles de alertas diarias, cuya revisión manual es prácticamente imposible.

Los NDR permiten establecer una capa de autenticación: cuando el SIEM detecta un posible incidente, se pueden analizar los datos de red correspondientes. Si ambas fuentes de datos apuntan a un ataque, se puede emitir la alerta a través del panel central del NDR. Esto no solo ayuda a filtrar alertas incorrectas, sino que también proporciona al analista revisor una base sólida para su trabajo.

Los cortafuegos

El NDR mejora la inteligencia de amenazas del firewall al detectar comportamientos de red inusuales o maliciosos. Al rastrear el comportamiento hasta una dirección IP específica, esta información en tiempo real se puede enviar al firewall implementado en cada red o subred. Este crea e implementa automáticamente una política relevante, bloqueando el tráfico sospechoso.

Suena demasiado bueno para...
¿ser cierto?
¡Véalo usted mismo!

SOLICITA TU DEMOSTRACIÓN
Ir al Inicio
Suscríbete a los boletines