Prueba con "investigadoras"
Tecnología
Aactualidad Mundial
spot_img

Por qué los mejores equipos de SOC están cambiando a la detección y respuesta de la red

Por qué los mejores equipos de SOC están cambiando a la detección y respuesta de la red

Los equipos del Centro de Operaciones de Seguridad (SOC) se enfrentan a un desafío fundamentalmente nuevo: las herramientas tradicionales de ciberseguridad no están detectando a los adversarios avanzados que se han convertido en expertos en evadir las defensas basadas en puntos finales y los sistemas de detección basados ​​en la firma. La realidad de estos «intrusos invisibles» es impulsar una necesidad significativa de un enfoque de múltiples capas para detectar amenazas, incluidas las soluciones de detección de redes y respuesta (NDR).

El problema invisible del intruso

Imagine que su red se ha visto comprometida, no hoy o ayer, sino hace meses. A pesar de sus importantes inversiones en herramientas de seguridad que se ejecutan 24/7, un adversario avanzado se ha movido en silencio a través de sus sistemas, evitando cuidadosamente la detección. Han robado credenciales, establecido traseros y exfiltrado datos confidenciales, todo mientras que sus paneles no mostraron nada más que verde.

Este escenario no es hipotético. El tiempo promedio de permanencia para los atacantes, el período entre el compromiso y la detección iniciales, todavía se cierne alrededor de 21 días en muchas industrias, y algunas infracciones permanecen sin descubrir durante años.

«Escuchamos esta historia repetidamente de los equipos de seguridad», dice Vince Stoffer, CTO de campo de Corelight, el proveedor de soluciones NDR de más rápido crecimiento. «Instalan una solución NDR e inmediatamente descubren problemas básicos de visibilidad de la red o actividades sospechosas que no han sido descubiertas en sus redes durante meses, a veces años.

El problema radica en cómo operan los atacantes modernos. Los actores de amenaza sofisticada de hoy no dependen del malware con firmas o comportamientos conocidos que desencadenan alertas de punto final. En cambio, ellos:

  • Utilice técnicas de vida de la tierra, aprovechando herramientas legítimas del sistema como PowerShell
  • Moverse lateralmente a través de redes utilizando credenciales robadas pero válidas
  • Comunicarse a través de canales cifrados
  • Cronometrar cuidadosamente sus actividades para combinar con las operaciones comerciales normales
  • Explotar relaciones de confianza entre sistemas

Estas técnicas se dirigen específicamente a los puntos ciegos en los enfoques de seguridad tradicionales centrados en indicadores conocidos de compromiso. La detección basada en la firma y el monitoreo de puntos finales simplemente no estaban diseñados para atrapar a los adversarios que operan principalmente dentro de procesos legítimos y sesiones autenticadas.

¿Cómo puede NDR abordar a estos intrusos invisibles y ayudar a los equipos de seguridad a recuperar el control de sus sistemas?

LEER  Apache Activemq Flaw explotado para implementar malware Dripdropper en los sistemas de la nube Linux

¿Qué es la detección y respuesta de la red?

NDR representa una evolución en el monitoreo de seguridad de red que va más allá de los sistemas de detección de intrusos tradicionales y complementa la pila de seguridad más amplia. En su núcleo, las soluciones NDR capturan y analizan el tráfico de redes y metadatos en bruto para detectar actividades maliciosas, anomalías de seguridad y violaciones de protocolo que otras herramientas de seguridad podrían perderse.

A diferencia de las herramientas de seguridad de red heredadas que se basaban principalmente en firmas de amenazas conocidas, Modern NDR incorpora una estrategia de detección de varias capas:

  • Análisis de comportamiento para identificar patrones inusuales en el tráfico de redes
  • Modelos de aprendizaje automático que establecen líneas de base y desviaciones de bandera
  • Análisis de protocolo que comprende las «conversaciones» que ocurren entre los sistemas
  • Integración de inteligencia de amenazas para identificar indicadores maliciosos conocidos
  • Capacidades analíticas avanzadas para la caza de amenazas retrospectivas

El elemento «respuesta» es igualmente importante. Las plataformas NDR proporcionan datos forenses detallados para las investigaciones y, a menudo, incluyen capacidades para acciones de respuesta automatizadas o guiadas para contener amenazas rápidamente.

Por qué los equipos de SOC están adoptando NDR

El cambio hacia NDR proviene de varios cambios fundamentales en el panorama de seguridad que han transformado la forma en que las organizaciones abordan la detección de amenazas.

1. Surfaces de ataque en rápida expansión y diversificación

Los entornos empresariales modernos se han vuelto exponencialmente más complejos con la adopción de nubes, contenedores, proliferación de IoT y modelos de trabajo híbridos. Esta expansión ha creado desafíos de visibilidad críticos, particularmente para el movimiento lateral en los entornos (tráfico este-oeste) que las herramientas tradicionales centradas en el perímetro pueden perderse. NDR proporciona una visibilidad integral y normalizada en estos diversos entornos, unificando el monitoreo de las instalaciones, la nube e infraestructura de múltiples nubes bajo un solo paraguas analítico.

2. Evolución tecnológica centrada en la privacidad

La adopción generalizada del cifrado ha cambiado fundamentalmente el monitoreo de seguridad. Con más del 90% del tráfico web ahora encriptado, los enfoques de inspección tradicionales se han vuelto ineficaces. Las soluciones NDR avanzadas han evolucionado para analizar los patrones de tráfico cifrados sin descifrado, manteniendo la visibilidad de seguridad al tiempo que respeta la privacidad a través del análisis de metadatos, las huellas dactilares JA3/JA3S y otras técnicas que no requieren el cifrado de ruptura.

LEER  El nuevo troyano de Android 'Herodotus' supera a los sistemas antifraude escribiendo como un humano

3. Proliferación de dispositivos inmanejables

La explosión de dispositivos conectados, desde sensores de IoT hasta tecnología operativa, ha creado entornos donde la seguridad tradicional basada en agentes no es práctica o imposible. El enfoque sin agente de NDR proporciona visibilidad en dispositivos donde las soluciones de punto final no se pueden implementar, abordando los puntos ciegos de seguridad que dominan cada vez más las redes modernas a medida que los tipos de dispositivos se multiplican más rápido de lo que los equipos de seguridad pueden administrarlos.

4. Enfoque de detección complementaria

Los equipos de SOC han reconocido que diferentes tecnologías de seguridad se destacan en la detección de diferentes tipos de amenazas. Si bien EDR sobresale en la detección de actividades de nivel de proceso en puntos finales administrados, NDR monitorea el tráfico de la red para un registro objetivo de comunicaciones que es difícil para los atacantes manipular o borrar. Si bien se pueden alterar los registros y la telemetría de punto final se puede deshabilitar, las comunicaciones de red deben ocurrir para que los atacantes logren sus objetivos. Esta calidad de «verdad fundamental» hace que los datos de la red sea particularmente valiosos para la detección de amenazas e investigaciones forenses. Este enfoque complementario cierra las brechas de visibilidad crítica que los atacantes explotan.

5. Crisis de la fuerza laboral de ciberseguridad

La escasez global de profesionales de la seguridad (estimados en más de 3.5 millones de puestos no cubiertos) ha impulsado a las organizaciones a adoptar tecnologías que maximicen la efectividad del analista. NDR ayuda a abordar esta brecha de talento proporcionando detecciones de alta fidelidad con un contexto rico que reduce la fatiga alerta y aceleran los procesos de investigación. Al consolidar actividades relacionadas y proporcionar puntos de vista integrales de posibles secuencias de ataque, NDR reduce la carga cognitiva en los equipos de seguridad ya estirados, lo que les permite manejar más incidentes con el personal existente.

6. Landscape regulatorio en evolución

Las organizaciones enfrentan requisitos de cumplimiento cada vez más estrictos con plazos de informes más cortos. Las regulaciones como GDPR, CCPA, NIS2 y los marcos específicos de la industria exigen una notificación rápida de incidentes (a menudo dentro de 72 horas o menos) y requieren evidencia forense detallada. Las soluciones NDR proporcionan los senderos de auditoría integrales y los datos forenses necesarios para cumplir con estos requisitos, permitiendo a las organizaciones demostrar la diligencia debida y proporcionar la documentación requerida para los informes regulatorios. Estos datos también son críticos para ayudar al equipo de seguridad a afirmar con confianza que la amenaza ha sido completamente contenida y mitigada y para comprender el verdadero alcance y la escala de lo que los atacantes tocaron cuando estaban dentro de la red.

LEER  SystemBC Potencias REM Proxy con 1.500 víctimas de VPS diarias en 80 servidores C2

El futuro de NDR

A medida que más organizaciones reconocen las limitaciones de los enfoques de seguridad tradicionales, la adopción de NDR continúa acelerando. Si bien la innovación de NDR se está moviendo rápidamente para mantenerse por delante de los atacantes, las capacidades críticas para cualquier solución NDR deben incluir:

  • Soluciones nativas de la nube que proporcionan visibilidad en entornos de múltiples nubes
  • Integración con plataformas SOAR (orquestación de seguridad, automatización y respuesta) para flujos de trabajo simplificados
  • Capacidades analíticas avanzadas para la caza de amenazas proactivas
  • Arquitecturas abiertas que facilitan la integración con ecosistemas de seguridad más amplios

Para los equipos de SOC que se ocupan de amenazas cada vez más complejas, NDR se ha convertido solo en otra herramienta de seguridad, sino también en una capacidad fundamental que proporciona la visibilidad necesaria para detectar y responder a los atacantes sofisticados de hoy. Si bien ninguna tecnología única puede resolver todos los desafíos de seguridad, NDR aborda puntos ciegos críticos que han sido explotados repetidamente en infracciones importantes.

A medida que las superficies de ataque continúan expandiéndose y los adversarios se vuelven más creativos en la forma en que se infiltran en un entorno seguro, la capacidad de ver y comprender las comunicaciones de la red se ha vuelto esencial para las organizaciones serias sobre la seguridad. La red, después de todo, no miente, y esa verdad se ha vuelto invaluable en una era en la que el engaño es la estrategia principal de un atacante.

CoreLight proporciona a los defensores de élite de todas las formas y tamaños con las herramientas y recursos que necesitan para garantizar la visibilidad integral de la red y las capacidades avanzadas de NDR, basadas en la plataforma de monitoreo de red Zeek de código abierto. Visite corelight.com para obtener más información.

spot_img
Artículo anterior
Convertirse en papá no me ha hecho más lento – Verstappen
Artículo siguiente
Rusia lanza más de 160 drones en Ucrania en ataques nocturnos con al menos 11 personas heridas

En Actualidadmundial, nos apasiona informar con veracidad, precisión y rapidez. Nuestro objetivo es mantener a nuestra audiencia al día con los acontecimientos más relevantes a nivel global. Creemos que la información es una herramienta poderosa que permite tomar mejores decisiones y entender el mundo en constante evolución.

Últimas noticias

Temas

© 2025 Todos los derechos reservados | Desarrollado por Actualidadmundial