NDR (Network Detección y Respuesta) ahora se considera una tecnología de seguridad en seguridad de TI que no debe faltar en ninguna red empresarial. Pero ¿quién evalúa todos los datos y lidera la respuesta? La palabra mágica aquí es MDR: Servicios gestionados de detección y respuesta. Una entrevista con Michael Veit, experto en seguridad de Sophos.
Las soluciones de seguridad eficaces incluyen componentes tecnológicos como la protección de terminales en red y un firewall de próxima generación, ambos combinados con inteligencia artificial y experiencia humana en forma de servicios de seguridad.
Mientras que las soluciones de seguridad clásicas detectan y previenen un gran número de ataques y anomalías maliciosas, la protección directa de la red se ha descuidado durante mucho tiempo. Sin embargo, una vez que los atacantes han encontrado acceso a la red, es difícil localizarlos. Ni la protección de endpoints ni el firewall detectan de forma fiable a los atacantes que ya están en la red. De esta manera, los atacantes pueden moverse libremente y en secreto durante mucho tiempo lateralmente a través de la red (movimiento lateral) para preparar su ataque real o el robo de datos.
NDR es bueno – MDR es mejor
Michael Veit, experto en seguridad de Sophos (Imagen: Sophos).
NDR (Detección y respuesta de red) ahora es indispensable para una seguridad sólida de la red. Aunque las tecnologías de detección NDR proporcionan una muy buena visión general del estado y la protección de la red, también es necesario comprender los mensajes inofensivos y peligrosos. Por último, también es importante cumplir el punto de “Respuesta” en NDR, es decir, tomar las acciones correctas tras las indicaciones de un ataque o incidente.
Sophos aborda exactamente este punto en sus soluciones y ofrece a las empresas detección y respuesta gestionadas como ciberseguridad como servicio las 24 horas del día, los 7 días de la semana, los 365 días del año. Michael Veit, experto en seguridad de Sophos, nos responde en una entrevista sobre cómo funciona exactamente MDR con Sophos, qué puede hacer y cuáles son los puntos importantes.
Los puntos fuertes de NDR en combinación con MDR – Ciberseguridad como servicio
Ciberseguridad B2B: ¿Qué fortalezas tiene NDR para las empresas?
Michael Veit, Sophos: “Una solución NDR moderna detecta ataques incluso en lo más profundo de la red. Supervisa el tráfico y también detecta actividad de sistemas no administrados, dispositivos IoT, usuarios o activos no autorizados y cualquier otra fuente de tráfico de red. Incluso puede inspeccionar paquetes de datos cifrados sin poner en riesgo los datos personales”.
La nueva generación de NDR, como la de Sophos, es una solución avanzada de monitoreo de red diseñada para abordar el panorama de amenazas complejo y en constante evolución. Combina cinco motores de detección patentados con análisis de aprendizaje profundo para brindar inteligencia procesable en tiempo real sobre una amplia gama de amenazas de red. Los motores de detección clasifican el tráfico de red en función de más de 330 protocolos, 50 riesgos de flujo y miles de IOC. Estos motores también incluyen múltiples modelos de aprendizaje profundo que brindan nuevos niveles de precisión en la detección de amenazas y al mismo tiempo minimizan los falsos positivos”.
Ciberseguridad B2B: ¿Por qué las empresas deberían confiar en MDR en combinación con NDR?
Michael Veit, Sophos: “Detectar una anomalía o patrón de ataque en la red es sólo el primer paso. Un sistema NDR advierte a la empresa y también proporciona información relevante sobre el problema o ataque. Estos deben interpretarse correctamente y luego la parte de “respuesta” debe cumplirse perfectamente. Y aquí es exactamente donde radica el problema de muchas empresas, que no disponen de expertos. Con MDR las cosas funcionan de otra manera: una vez detectados, hay que eliminar a los atacantes de la red y cerrar las lagunas. Esto se hace automáticamente a través de otro componente crucial en el ecosistema de seguridad: MDR (Servicios Gestionados de Detección y Respuesta). La solución NDR informa automáticamente a los servicios MDR de que un atacante no detectado previamente puede estar en la red de la empresa.
Con esta información, el equipo del Centro de operaciones de seguridad MDR de Sophos toma medidas de inmediato, investiga el informe NDR y elimina a los atacantes. Al mismo tiempo, los expertos forenses investigan las rutas de ataque para descubrir malware residual o detectar y corregir manipulaciones y cambios de derechos en la red. Sólo el procesamiento preciso de tal cadena de incidentes es una respuesta perfecta a un ataque”.
Ciberseguridad B2B: ¿Cuáles son las características especiales de un NDR?
Michael Veit, Sophos: “Las tecnologías NDR aportan a una empresa mucha luz en una red que de otro modo sería oscura. Esto ayuda a identificar dispositivos de red desconocidos o desprotegidos, incluidos dispositivos IoT u OT legítimos que no se pueden administrar completamente con un sensor de terminal. Estos incluyen, por ejemplo, dispositivos IoT, impresoras o sistemas obsoletos que se encuentran en la red. Los dispositivos de red que han sido olvidados y, por lo tanto, no son tenidos en cuenta ni protegidos por la seguridad informática, también son populares entre los piratas informáticos. NDR identifica y monitorea dichos dispositivos en busca de comportamientos sospechosos o maliciosos que puedan indicar un ataque.
Además, Sophos NDR puede detectar y monitorear fácilmente los activos no autorizados introducidos en la red que pueden estar ya comprometidos o utilizados para lanzar un ataque”.
Ciberseguridad B2B: ¿Sophos NDR también detecta los ataques más modernos?
Michael Veit, Sophos: “Ese es un punto muy interesante. La solución también detecta actividades de Comando y Control (C2) nunca antes vistas. Porque muchos ataques y brechas de seguridad se controlan de forma remota. A primera vista, algunas comunicaciones entre el atacante y sus procesos remotos dentro de la red parecen legítimas. NDR puede detectar nuevas actividades C2 de día cero y, por tanto, detectar en una fase temprana ataques dirigidos y altamente especializados.
Otra característica especial de la solución es la detección temprana de flujos de tráfico de red sospechosos. Sophos es capaz incluso de identificar patrones de tráfico inusuales y así detectar tráfico dañino generado por malware conocido. Un ejemplo: Sophos analizó el patrón de tráfico de QBot o Qakbot y lo comparó con flujos de tráfico de red sospechosos. Así también se identificó un ataque de QBot. La tecnología detrás de esto: El modelo Sophos NDR EPA (Encrypted Payload Analytics) convierte flujos de paquetes en imágenes y utiliza una red neuronal para determinar si la imagen coincide con lo que esperamos de un flujo de datos de Qakbot u otra familia de malware (por ejemplo, Bumblebee, Cobalt Strike, Emotet, Dridex)”.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.