Con casi el 80% de las amenazas cibernéticas que ahora imitan el comportamiento permitido del favorecido, ¿cómo determinan los mejores SOC qué es el tráfico permitido y qué es potencialmente peligroso?
¿A dónde excursión cuando los firewalls y la detección y respuesta de punto final (EDR) se quedan cortos para detectar las amenazas más importantes para su estructura? Las infracciones en los dispositivos Edge y las puertas de enlace VPN han aumentado del 3% al 22%, según el final noticia de Investigaciones de violaciones de datos de Verizon. Las soluciones EDR están luchando por atrapar exploits de día cero, técnicas de vida y ataques sin malware. Casi el 80% de las amenazas detectadas utilizan técnicas sin malware que imitan el comportamiento natural del favorecido, como se destaca en el noticia de amenaza entero 2025 de CrowdStrike. La clara existencia es que los métodos de detección convencionales ya no son suficientes ya que los actores de amenaza adaptan sus estrategias, utilizando técnicas inteligentes como el robo de credenciales o el secuestro de DLL para evitar el descubrimiento.
En respuesta, los centros de operaciones de seguridad (SOC) están recurriendo a un detección de múltiples capas Enfoque que utiliza datos de red para exponer la actividad Los adversarios no pueden ocultar.
Se están adoptando tecnologías como la detección de redes y la respuesta (NDR) para proporcionar visibilidad que complementa EDR al exponer comportamientos que tienen más probabilidades de perderse con las soluciones basadas en el punto final. A diferencia de EDR, NDR opera sin implementación de agentes, por lo que identifica efectivamente amenazas que utilizan técnicas comunes y herramientas legítimas de modo maliciosa. La conclusión son las técnicas evasivas que funcionan contra dispositivos de borde y EDR tienen menos probabilidades de tener éxito cuando NDR todavía está atento.
Capas: la logística de detección de amenazas más rápida
Al igual que las capas para un clima impredecible, los SOC de élite aumentan la resiliencia a través de una logística de detección de múltiples capas centrada en las ideas de la red. Al consolidar las detecciones en un solo sistema, NDR agiliza la mandato y faculta a los equipos a centrarse en los riesgos de adhesión prioridad y los casos de uso.
Los equipos pueden adaptarse rápidamente a las condiciones de ataque en cambio, detectar amenazas más rápido y minimizar el daño. Ahora, preparemos y echemos un vistazo más de cerca a las capas que componen esta pila dinámica:
La capa saco
Baladí y rápido para aplicar, estas fácilmente capturan amenazas conocidas para formar la saco de la defensa:
- Detección de redes basada en la firma Sirve como la primera capa de protección oportuno a su naturaleza ligera y tiempos de respuesta rápidos. Las firmas líderes en la industria, como las de PruebaPpoint ET Pro que se ejecutan en los motores Suricata, pueden identificar rápidamente amenazas y patrones de ataque conocidos.
- Inteligencia de amenazas, A menudo compuestos por indicadores de compromiso (COI), indagación entidades de red conocidas (por ejemplo, direcciones IP, nombres de dominio, hash) observados en ataques reales. Al igual que con las firmas, los COI son fáciles de compartir, livianos y rápidos de implementar, ofreciendo una detección más rápida.
La capa de malware
Pensar en detección de malware Como una barrera impermeable, protegiendo contra “gotas” de las cargas bártulos de malware mediante la identificación de familias de malware. Las detecciones como las reglas de Yara, un tipificado para el descomposición de archivos estáticos en la comunidad de descomposición de malware, pueden identificar a las familias de malware que comparten estructuras de código comunes. Es crucial para detectar malware polimórfico que altera su firma mientras retiene las características de comportamiento del núcleo.
La capa adaptativa
Construidas para las condiciones en cambio del clima, las capas más sofisticadas utilizan algoritmos de detección de comportamiento y estudios automotriz que identifican amenazas conocidas, desconocidas y evasivas:
- Detección de comportamiento Identifica actividades peligrosas como algoritmos de vivientes de dominio (DGA), comunicaciones de comando y control, y patrones de exfiltración de datos inusuales. Sigue siendo efectivo incluso cuando los atacantes cambian sus COI (o incluso componentes del ataque), ya que los comportamientos subyacentes no cambian, lo que permite una detección más rápida de amenazas desconocidas.
- Ml Los modelos, tanto supervisados como sin supervisión, pueden detectar patrones de ataque conocidos y comportamientos anómalos que podrían indicar nuevas amenazas. Pueden atacar ataques que abarcan mayores longitudes de tiempo y complejidad que las detecciones conductuales.
- Detección de anomalías Utiliza el estudios automotriz no supervisado para detectar desviaciones del comportamiento de la red de remisión. Esto alerta a SOCS sobre anomalías como servicios inesperados, software de cliente inusual, inicios de sesión sospechosos y tráfico de mandato maliciosa. Ayuda a las organizaciones a descubrir las amenazas que se esconden en la actividad de la red natural y minimizan el tiempo de permanencia del atacante.
La capa de consulta
Finalmente, en algunas situaciones, simplemente no hay una forma más rápida de difundir una alerta que consultar los datos de red existentes. Detección basada en la búsqueda – Las consultas de búsqueda de registro que generan alertas y detecciones, funciones como una capa Snap-On que está tira para una respuesta rápida a corto plazo.
Armonizar capas de detección de amenazas con NDR
La verdadera fuerza en las detecciones de múltiples capas es cómo trabajan juntos. Los principales SOC están implementando la detección y respuesta de la red (NDR) para proporcionar una visión unificada de las amenazas en toda la red. NDR correlaciona las detecciones de múltiples motores para ofrecer una visión de amenaza completa, la visibilidad de la red centralizada y el contexto que impulsa la respuesta de incidentes en tiempo vivo.
Más allá de las detecciones en capas, Soluciones NDR avanzadas Incluso puede ofrecer varias ventajas esencia que mejoran las capacidades generales de respuesta a la amenaza:
- Detección de vectores de ataque emergentes y técnicas novedosas que aún no se han incorporado en los sistemas de detección tradicionales basados en la firma EDR.
- Dominar las tasas falsas positivas en ~ 25%, según un noticia de FireEye 2022
- Tiempos de respuesta a incidentes de corte con triaje impulsado por IA y flujos de trabajo automatizados
- Cobertura integral de herramientas, técnicas y procedimientos basados en red MITER ATT & CK (TTPS)
- Aprovechando la inteligencia compartida y las detecciones impulsadas por la comunidad (soluciones de código campechano)
El camino cerca de delante para los socs modernos
La combinación de ataques cada vez más sofisticados, superficies de ataque en expansión y restricciones de bienes adicionales requiere un cambio cerca de estrategias de detección de múltiples capas. En un entorno donde los ataques tienen éxito en segundos, la ventana para apoyar ciberseguridad efectiva sin una alternativa NDR se está cerrando rápidamente. Los equipos de Elite SOC obtienen esto y ya he colocado en capas. La pregunta no es si implementar la detección de múltiples capas, es la forma en que las organizaciones pueden hacer esta transición.
Detección y respuesta de la red CoreLight
La plataforma NDR abierta integrada de CoreLight combina los siete tipos de detección de red mencionados anteriormente y se apoyo en una saco de software de código campechano como Zeek®, lo que le permite usar el poder de la inteligencia de detección impulsada por la comunidad. Para más información: Enchufe.
