Cómo se benefician las pymes de la detección y respuesta de red

10. septiembre 2021
| No hay comentarios

Compartir publicación

La tecnología avanzada contra el ciberdelito que han utilizado las grandes organizaciones durante años ahora está al alcance de las empresas más pequeñas: Detección y respuesta de red.

Protegerse de la actual tormenta de delitos cibernéticos es un desafío para las pequeñas y medianas empresas, a menudo con presupuestos y recursos limitados. Las amenazas están evolucionando más rápido que las soluciones de seguridad cibernética existentes, y los pequeños departamentos de TI no pueden mantenerse al día.

El ransomware puede afectar a cualquiera

Los ataques de ransomware son omnipresentes, pero el panorama de amenazas no se detiene allí: las amenazas persistentes avanzadas, las amenazas internas y los ataques a la cadena de suministro se encuentran entre las muchas amenazas cotidianas. Los atacantes utilizan las mismas tecnologías de vanguardia que los proveedores de ciberseguridad, como la inteligencia artificial (IA), el cifrado y el análisis de vulnerabilidades. Se beneficia de un mercado negro maduro de malware y ransomware como servicio. Se benefician de una superficie de ataque en constante expansión, que crece debido a la rápida adopción de soluciones en la nube, IoT y federación de identidades. Por ejemplo, los ataques recientes a la cadena de suministro, como los de Solarwinds y Kaseya, parecen perfectamente legítimos para las herramientas de seguridad tradicionales. Los dispositivos IoT, los dispositivos personales o no administrados y las máquinas virtuales o contenedores olvidados crean puntos ciegos de seguridad.

Recursos agrupados en un tablero

Cuando las pequeñas empresas tienen la suerte de contar con analistas de seguridad, esos recursos deben consultar varios paneles para detectar y comprender una amenaza o un ataque complejo. Estas son las frases típicas que uno escucha de los responsables de seguridad informática en las empresas más pequeñas: "Soy muy consciente de que tenemos puntos ciegos en la red y grandes brechas en nuestra arquitectura de seguridad. Solo vemos parte de la red y de los dispositivos”. Con tantas herramientas de seguridad disponibles, no saben cómo priorizar las alertas: "¿Qué debo hacer primero y qué debo ignorar?" Y al responder a las amenazas, tienen que buscar manualmente en diferentes sistemas y registros para obtener un resultado significativo. "Es muy ineficiente y lleva demasiado tiempo investigar la causa raíz de un incidente de seguridad".

Detección de amenazas en la red.

Una cosa se ha mantenido igual a lo largo de los años: todas las brechas de seguridad importantes involucran tráfico de red. Por ejemplo, si los piratas informáticos quieren robar datos, deben llevar su botín a una ubicación específica. Los ataques recientes, como el ataque "Sunburst" en la cadena de suministro, solo pueden detectarse (a) reconociendo que algo anda mal con el tráfico de la red y (b) siendo capaz de reaccionar inmediatamente a esa actividad y detenerla.

Esto requiere detección y respuesta automatizada en la capa de red, que muy pocas organizaciones, generalmente grandes empresas, han implementado en la actualidad. Gartner define la detección y respuesta de red (NDR) como soluciones que "principalmente utilizan técnicas no basadas en firmas... para detectar tráfico sospechoso en redes empresariales". Según los analistas, las herramientas de NDR "analizan continuamente el tráfico sin procesar y/o las grabaciones de flujos... para construir modelos que reflejen el comportamiento normal de la red", y el sistema emite alertas "cuando detecta patrones de tráfico sospechosos". Otras funciones clave de las soluciones NDR son las respuestas automáticas o manuales (consulte Gartner, “Market Guide for Network Detection and Response”, publicado el 11 de junio de 2020).

La solución NDR identifica activos en la red

En otras palabras, una solución NDR identifica todos los activos en la red, incluidos los dispositivos IoT y los dispositivos no administrados. Analiza metadatos de red completos y tráfico de red, tanto tráfico este/oeste como norte/sur (es decir, tráfico interno y tráfico que cruza el perímetro de la red). Usando sensores colocados en la red, monitorea el tráfico, realiza un seguimiento de todos los metadatos de la red e integra estos datos con registros de otras soluciones de seguridad existentes, como soluciones de seguridad de punto final, EDR, firewall, SIEM y SOAR. Dado que NDR funciona con copias de estos datos, no se requieren agentes ni otros cambios en la red.

Vista de 360 ​​grados de la red.

Como resultado, las organizaciones obtienen una vista de 360 ​​grados para comprender las amenazas externas o internas. Ven cuando los datos salen de su red a una ubicación sospechosa en el extranjero. Se dan cuenta cuando una PC accede a dominios o URL maliciosos. Se da cuenta cuando el malware coloca copias cifradas de datos en la red. Notifican a los analistas de seguridad cuando se descubre que el servidor web de la cámara IP es vulnerable. Y pueden detener y mitigar instantáneamente muchas de estas amenazas con capacidades de respuesta automatizada.

Thomas Krause, Director Regional DACH-NL en ForeNova Technologies (Imagen: ForeNova).

NDR no es nuevo y ya ha pasado por algunos cambios. Solía ​​​​llamarse NTA (Análisis de tráfico de red) o NTSA (Análisis de seguridad de tráfico de red). El enfoque ahora ha madurado y tiene un elemento de respuesta más sofisticado. Sin embargo, todavía es una herramienta bastante rara que ahora se usa casi exclusivamente en empresas muy grandes. ¿Porqué es eso?

Grandes cantidades de datos pueden generar falsos positivos

El punto clave es que estas grandes empresas saben exactamente lo que está en juego. Conscientes del riesgo existencial al que se enfrenta su negocio y de la interminable superficie de ataque, simplemente no están dispuestos a pagar ningún precio por una solución que realmente ayude. También proporcionan la mano de obra necesaria para que los expertos los ejecuten. Un desafío importante es que las herramientas NDR tienden a arrojar muchos falsos positivos debido a la gran cantidad de datos que examinan. Entonces, hasta ahora, para financiar un equipo que se encargue de la avalancha de falsos positivos, si deseaba beneficiarse de NDR, necesitaba un presupuesto de seguridad cibernética sustancial. Además, solo las grandes empresas estaban dispuestas y eran capaces de hacer frente a esta avalancha de falsos positivos.

Haga que NDR sea manejable y asequible para las pymes

Los avances recientes hacen que NDR sea más manejable para las empresas más pequeñas. En pocas palabras, las siguientes siete innovaciones de NDR están cambiando el juego:

  • Inteligencia artificial: las herramientas NDR tradicionales han detectado muchas desviaciones del comportamiento de la red modelada. Pero no todos estos plantearon amenazas reales, de hecho, la mayoría de ellos fueron falsas alarmas. Fueron necesarios muchos especialistas para encargarse de estos falsos positivos. Mediante el uso de inteligencia artificial, las herramientas modernas de NDR ahora pueden funcionar para las pymes al limitar las alertas a aquellos eventos sobre los que realmente es necesario actuar automáticamente o que deben ser investigados por un especialista humano.
  • Aprendizaje automático: el aprendizaje automático actual puede modelar el comportamiento normal del tráfico de red con mucha más precisión que las generaciones anteriores. Diferentes algoritmos de aprendizaje identifican y correlacionan cientos de factores en los datos de la red, lo que lleva a modelos mucho más granulares.
  • Interfaz de usuario altamente visualizada: nada ahorra más tiempo a los analistas de seguridad que una interfaz de usuario limpia y visualizada. Es mucho más fácil para usted obtener una visión general de lo que es importante y lo que debe hacerse. Además, es mucho más fácil para ellos explicar a la gerencia lo que sucedió cuando reciben informes claros y visualizados.
  • Detección automática de todos los activos en la red: los puntos ciegos en la red son el punto de entrada perfecto para piratas informáticos y malware. No puedes proteger lo que no puedes ver. Con la ayuda de la detección automática, las herramientas NDR modernas eliminan los puntos ciegos desde el principio y brindan a los analistas de seguridad información en tiempo real sobre la red.
  • Integración con endpoint protection, firewall, SIEM, EDR y otras herramientas: La integración funciona de dos formas. Por un lado, la agregación de archivos de registro de las tecnologías de seguridad existentes ayuda a modelar el estado normal. Por otro lado, puede acelerar la reacción. Por ejemplo, los libros de jugadas predefinidos pueden automatizar una cuarentena inmediata para un punto final infectado o la interrupción del tráfico saliente en el firewall. Si te piratean, el tiempo es esencial para mitigar los efectos. Y la integración con otros sistemas de seguridad puede ahorrar tiempo.
  • Investigación automatizada de incidentes y correlación de eventos: Un ataque sofisticado siempre consiste en una cadena de ataque compleja. Cuando su sistema ha sido violado o algo parece sospechoso, los analistas de seguridad deben averiguar de dónde proviene la amenaza mientras el tiempo corre. Con los motores de correlación modernos, pueden rastrear fácilmente cualquier evento hasta su causa raíz y cerrar cualquier vulnerabilidad o brecha.
  • Medidas de respuesta estándar: dado que los recursos de seguridad de TI son limitados, como es el caso de casi todas las pequeñas y medianas empresas, las empresas deben automatizar la respuesta a las amenazas tanto como sea posible. El uso de respuestas predeterminadas predefinidas, como poner en cuarentena los recursos de red infectados, puede mitigar los ataques casi en tiempo real. Las herramientas NDR pueden definir libros de jugadas que activan múltiples acciones a la vez, desde correos electrónicos y SMS a los miembros del equipo hasta restablecer contraseñas y actualizar las reglas del firewall.

Gracias a los desarrollos recientes de NDR, muchas más pequeñas empresas ahora pueden detectar las amenazas cada vez más sofisticadas en su creciente superficie de ataque. Las soluciones NDR requieren menos recursos porque diferencian entre amenazas reales y falsos positivos, priorizan acciones y automatizan la reparación de amenazas. Sigue siendo la tormenta perfecta, pero con la ayuda de NDR, las pymes están mucho mejor equipadas para defenderse.

Más en ForeNova.com

 

Acerca de ForeNova

ForeNova es un especialista en seguridad cibernética con sede en los EE. UU. que ofrece a las medianas empresas detección y respuesta de red (NDR) asequibles y completas para mitigar de manera eficiente el daño de las amenazas cibernéticas y minimizar los riesgos comerciales. ForeNova opera el centro de datos para clientes europeos en Frankfurt a. M. y diseña todas las soluciones conformes con el RGPD. La sede europea está en Ámsterdam.

 

Artículos relacionados con el tema

Seguridad informática: NIS-2 la convierte en una máxima prioridad

Sólo en una cuarta parte de las empresas alemanas la dirección asume la responsabilidad de la seguridad informática. Especialmente en empresas más pequeñas ➡ Leer más

Los ciberataques aumentarán un 104 por ciento en 2023

Una empresa de ciberseguridad ha analizado el panorama de amenazas del año pasado. Los resultados proporcionan información crucial sobre ➡ Leer más

El software espía móvil representa una amenaza para las empresas

Cada vez más personas utilizan dispositivos móviles tanto en la vida cotidiana como en las empresas. Esto también reduce el riesgo de "descarga móvil". ➡ Leer más

La seguridad colaborativa identifica muchas vulnerabilidades

La seguridad colaborativa ha aumentado significativamente en el último año. En el sector público se reportaron un 151 por ciento más de vulnerabilidades que el año anterior. ➡ Leer más

Seguridad digital: los consumidores son los que más confían en los bancos

Una encuesta sobre confianza digital mostró que los bancos, la atención médica y el gobierno son los sectores en los que más confían los consumidores. Los medios de comunicación- ➡ Leer más

Bolsa de trabajo en la Darknet: los piratas informáticos buscan información privilegiada renegada

La Darknet no es sólo un intercambio de bienes ilegales, sino también un lugar donde los hackers buscan nuevos cómplices. ➡ Leer más

Sistemas de energía solar: ¿qué tan seguros son?

Un estudio examinó la seguridad informática de los sistemas de energía solar. Los problemas incluyen falta de cifrado durante la transferencia de datos, contraseñas estándar y actualizaciones de firmware inseguras. tendencia ➡ Leer más

Nueva ola de phishing: los atacantes utilizan Adobe InDesign

Actualmente hay un aumento de los ataques de phishing que abusan de Adobe InDesign, un sistema de publicación de documentos conocido y confiable. ➡ Leer más

Stories
, , , , ,