Los equipos del Centro de Operaciones de Seguridad (SOC) se enfrentan a un desafío fundamentalmente nuevo: las herramientas tradicionales de ciberseguridad no están detectando a los adversarios avanzados que se han convertido en expertos en esquivar las defensas basadas en puntos finales y los sistemas de detección basados en la firma. La ingenuidad de estos “intrusos invisibles” es impulsar una menester significativa de un enfoque de múltiples capas para detectar amenazas, incluidas las soluciones de detección de redes y respuesta (NDR).
El problema invisible del intruso
Imagine que su red se ha trillado comprometida, no hoy o ayer, sino hace meses. A pesar de sus importantes inversiones en herramientas de seguridad que se ejecutan 24/7, un adversario liberal se ha movido en silencio a través de sus sistemas, evitando cuidadosamente la detección. Han robado credenciales, establecido traseros y exfiltrado datos confidenciales, todo mientras que sus paneles no mostraron carencia más que verde.
Este círculo no es hipotético. El tiempo promedio de permanencia para los atacantes, el período entre el compromiso y la detección iniciales, todavía se cierne rodeando de 21 días en muchas industrias, y algunas infracciones permanecen sin descubrir durante abriles.
“Escuchamos esta historia repetidamente de los equipos de seguridad”, dice Vince Stoffer, CTO de campo de Corelight, el proveedor de soluciones NDR de más rápido crecimiento. “Instalan una opción NDR e inmediatamente descubren problemas básicos de visibilidad de la red o actividades sospechosas que no han sido descubiertas en sus redes durante meses, a veces abriles.
El problema radica en cómo operan los atacantes modernos. Los actores de amenaza sofisticada de hoy no dependen del malware con firmas o comportamientos conocidos que desencadenan alertas de punto final. En cambio, ellos:
- Utilice técnicas de vida de la tierra, aprovechando herramientas legítimas del sistema como PowerShell
- Moverse lateralmente a través de redes utilizando credenciales robadas pero válidas
- Comunicarse a través de canales cifrados
- Cronometrar cuidadosamente sus actividades para combinar con las operaciones comerciales normales
- Explotar relaciones de confianza entre sistemas
Estas técnicas se dirigen específicamente a los puntos ciegos en los enfoques de seguridad tradicionales centrados en indicadores conocidos de compromiso. La detección basada en la firma y el monitoreo de puntos finales simplemente no estaban diseñados para atrapar a los adversarios que operan principalmente interiormente de procesos legítimos y sesiones autenticadas.
¿Cómo puede NDR topar a estos intrusos invisibles y ayudar a los equipos de seguridad a recuperar el control de sus sistemas?
¿Qué es la detección y respuesta de la red?
NDR representa una proceso en el monitoreo de seguridad de red que va más allá de los sistemas de detección de intrusos tradicionales y complementa la pila de seguridad más amplia. En su núcleo, las soluciones NDR capturan y analizan el tráfico de redes y metadatos en bruto para detectar actividades maliciosas, anomalías de seguridad y violaciones de protocolo que otras herramientas de seguridad podrían perderse.
A diferencia de las herramientas de seguridad de red heredadas que se basaban principalmente en firmas de amenazas conocidas, Modern NDR incorpora una táctica de detección de varias capas:
- Examen de comportamiento para identificar patrones inusuales en el tráfico de redes
- Modelos de estudios obligatorio que establecen líneas de cojín y desviaciones de bandera
- Examen de protocolo que comprende las “conversaciones” que ocurren entre los sistemas
- Integración de inteligencia de amenazas para identificar indicadores maliciosos conocidos
- Capacidades analíticas avanzadas para la caza de amenazas retrospectivas
El tipo “respuesta” es igualmente importante. Las plataformas NDR proporcionan datos forenses detallados para las investigaciones y, a menudo, incluyen capacidades para acciones de respuesta automatizadas o guiadas para contener amenazas rápidamente.
Por qué los equipos de SOC están adoptando NDR
El cambio alrededor de NDR proviene de varios cambios fundamentales en el panorama de seguridad que han transformado la forma en que las organizaciones abordan la detección de amenazas.
1. Surfaces de ataque en rápida expansión y diversificación
Los entornos empresariales modernos se han vuelto exponencialmente más complejos con la admisión de nubes, contenedores, proliferación de IoT y modelos de trabajo híbridos. Esta expansión ha creado desafíos de visibilidad críticos, particularmente para el movimiento supletorio en los entornos (tráfico este-oeste) que las herramientas tradicionales centradas en el perímetro pueden perderse. NDR proporciona una visibilidad integral y normalizada en estos diversos entornos, unificando el monitoreo de las instalaciones, la cirro e infraestructura de múltiples nubes bajo un solo paraguas analítico.
2. Proceso tecnológica centrada en la privacidad
La admisión generalizada del secreto ha cambiado fundamentalmente el monitoreo de seguridad. Con más del 90% del tráfico web ahora encriptado, los enfoques de inspección tradicionales se han vuelto ineficaces. Las soluciones NDR avanzadas han evolucionado para analizar los patrones de tráfico cifrados sin descifrado, manteniendo la visibilidad de seguridad al tiempo que respeta la privacidad a través del investigación de metadatos, las huellas dactilares JA3/JA3S y otras técnicas que no requieren el secreto de ruptura.
3. Proliferación de dispositivos inmanejables
La arranque de dispositivos conectados, desde sensores de IoT hasta tecnología operativa, ha creado entornos donde la seguridad tradicional basada en agentes no es experiencia o inverosímil. El enfoque sin agente de NDR proporciona visibilidad en dispositivos donde las soluciones de punto final no se pueden implementar, abordando los puntos ciegos de seguridad que dominan cada vez más las redes modernas a medida que los tipos de dispositivos se multiplican más rápido de lo que los equipos de seguridad pueden administrarlos.
4. Enfoque de detección complementaria
Los equipos de SOC han obligado que diferentes tecnologías de seguridad se destacan en la detección de diferentes tipos de amenazas. Si proporcionadamente EDR sobresale en la detección de actividades de nivel de proceso en puntos finales administrados, NDR monitorea el tráfico de la red para un registro objetivo de comunicaciones que es difícil para los atacantes manipular o borrar. Si proporcionadamente se pueden alterar los registros y la telemetría de punto final se puede deshabilitar, las comunicaciones de red deben ocurrir para que los atacantes logren sus objetivos. Esta calidad de “verdad fundamental” hace que los datos de la red sea particularmente valiosos para la detección de amenazas e investigaciones forenses. Este enfoque complementario cierra las brechas de visibilidad crítica que los atacantes explotan.
5. Crisis de la fuerza sindical de ciberseguridad
La escasez universal de profesionales de la seguridad (estimados en más de 3.5 millones de puestos no cubiertos) ha impulsado a las organizaciones a adoptar tecnologías que maximicen la efectividad del analista. NDR ayuda a topar esta brecha de talento proporcionando detecciones de reincorporación fidelidad con un contexto rico que reduce la sofocación alerta y aceleran los procesos de investigación. Al consolidar actividades relacionadas y proporcionar puntos de tino integrales de posibles secuencias de ataque, NDR reduce la carga cognitiva en los equipos de seguridad ya estirados, lo que les permite manejar más incidentes con el personal existente.
6. Landscape regulatorio en proceso
Las organizaciones enfrentan requisitos de cumplimiento cada vez más estrictos con plazos de informes más cortos. Las regulaciones como GDPR, CCPA, NIS2 y los marcos específicos de la industria exigen una notificación rápida de incidentes (a menudo interiormente de 72 horas o menos) y requieren evidencia forense detallada. Las soluciones NDR proporcionan los senderos de auditoría integrales y los datos forenses necesarios para cumplir con estos requisitos, permitiendo a las organizaciones demostrar la diligencia debida y proporcionar la documentación requerida para los informes regulatorios. Estos datos incluso son críticos para ayudar al equipo de seguridad a afirmar con confianza que la amenaza ha sido completamente contenida y mitigada y para comprender el efectivo radio y la escalera de lo que los atacantes tocaron cuando estaban interiormente de la red.
El futuro de NDR
A medida que más organizaciones reconocen las limitaciones de los enfoques de seguridad tradicionales, la admisión de NDR continúa acelerando. Si proporcionadamente la innovación de NDR se está moviendo rápidamente para mantenerse por delante de los atacantes, las capacidades críticas para cualquier opción NDR deben incluir:
- Soluciones nativas de la cirro que proporcionan visibilidad en entornos de múltiples nubes
- Integración con plataformas SOAR (orquestación de seguridad, automatización y respuesta) para flujos de trabajo simplificados
- Capacidades analíticas avanzadas para la caza de amenazas proactivas
- Arquitecturas abiertas que facilitan la integración con ecosistemas de seguridad más amplios
Para los equipos de SOC que se ocupan de amenazas cada vez más complejas, NDR se ha convertido solo en otra aparejo de seguridad, sino incluso en una capacidad fundamental que proporciona la visibilidad necesaria para detectar y contestar a los atacantes sofisticados de hoy. Si proporcionadamente ninguna tecnología única puede resolver todos los desafíos de seguridad, NDR aborda puntos ciegos críticos que han sido explotados repetidamente en infracciones importantes.
A medida que las superficies de ataque continúan expandiéndose y los adversarios se vuelven más creativos en la forma en que se infiltran en un entorno seguro, la capacidad de ver y comprender las comunicaciones de la red se ha vuelto esencial para las organizaciones serias sobre la seguridad. La red, posteriormente de todo, no miente, y esa verdad se ha vuelto invaluable en una era en la que el farsa es la táctica principal de un atacante.
CoreLight proporciona a los defensores de élite de todas las formas y tamaños con las herramientas y bienes que necesitan para asegurar la visibilidad integral de la red y las capacidades avanzadas de NDR, basadas en la plataforma de monitoreo de red Zeek de código franco. Visite corelight.com para obtener más información.
