La detección y respuesta de red (NDR) es un tipo de tecnología de ciberseguridad que utiliza métodos no basados en firmas, como la inteligencia artificial, el machine learning y el análisis del comportamiento, para detectar actividades sospechosas o maliciosas en la red y responder a ciberamenazas.
La NDR evolucionó a partir del análisis del tráfico de red (NTA), una tecnología desarrollada originalmente para extraer modelos de tráfico de red a partir de datos brutos de tráfico de red. Como las soluciones NTA añadieron capacidades de análisis de comportamiento y respuesta a amenazas, el analista del sector Gartner cambió el nombre de la categoría a NDR en 2020.
Las redes son la base del mundo conectado actual y los principales objetivos de los actores de amenazas.
Tradicionalmente, las organizaciones confiaban en herramientas de detección de amenazas como software antivirus, sistemas de detección de intrusiones (IDS) y firewalls para garantizar la seguridad de la red.
Muchas de estas herramientas utilizan un enfoque de detección basado en firmas, que identifica las amenazas comparando los indicadores de compromiso (IOC) con una base de datos de firmas de ciberamenazas.
Una firma puede ser cualquier característica asociada con un ciberataque conocido, como una línea de código de una cepa particular de malware o una línea de asunto de correo electrónico de phishing específica. Las herramientas basadas en firmas monitorizan las redes en busca de firmas descubiertas previamente y generan alertas cuando las encuentran.
Aunque son eficaces para bloquear las ciberamenazas conocidas, las herramientas basadas en firmas tienen dificultades para detectar las amenazas nuevas, desconocidas o emergentes. También les cuesta detectar amenazas que carecen de firmas únicas o que se asemejan a comportamientos legítimos, como:
- Hackers que utilizan credenciales robadas para acceder a la red.
- Ataques de correo electrónico empresarial (BEC), en los que los hackers se hacen pasar por la cuenta de correo electrónico de un ejecutivo o la secuestran
- Los empleados incurren involuntariamente en conductas de riesgo, como guardar datos de la empresa en una unidad USB personal o pulsar en enlaces de correo electrónico maliciosos.
Las bandas de ransomware y otras amenazas avanzadas y persistentes pueden aprovechar estas brechas de visibilidad para infiltrarse en las redes, llevar a cabo la vigilancia, aumentar los privilegios y lanzar ataques en el momento oportuno.
NDR puede ayudar a las organizaciones a llenar los vacíos dejados por las soluciones basadas en firmas y proteger las redes modernas y cada vez más complejas.
Mediante el uso de análisis avanzados, machine learning y análisis de comportamiento, NDR puede detectar incluso amenazas potenciales sin firmas conocidas. De esta manera, NDR proporciona una capa de seguridad en tiempo real, lo que ayuda a las organizaciones a detectar vulnerabilidades y ataques que otras herramientas de seguridad podrían pasar por alto.
Obtenga información para prepararse y responder a los ciberataques con mayor velocidad y eficacia con el IBM Security X-Force Threat Intelligence Index.
Las soluciones de detección y respuesta de redes adoptan un enfoque proactivo y de respuesta dinámica para gestionar las amenazas de red. Las herramientas de NDR monitorizan y analizan continuamente la actividad de la red y los patrones de tráfico en tiempo real para identificar actividades sospechosas que puedan indicar una ciberamenaza.
La detección de amenazas con una solución NDR suele implicar estos cinco pasos:
- Recopilar datos
- Establecer una línea base de comportamiento de red
- Monitorizar la actividad maliciosa
- Responder a incidentes
- Refinar con el tiempo
Las soluciones NDR ingieren datos y metadatos de tráfico de red sin procesar a través de la telemetría, la práctica de utilizar la automatización para recopilar y transmitir datos de fuentes remotas.
Las herramientas NDR suelen recopilar datos de endpoints, infraestructura de red, firewalls y otras fuentes para obtener una visión integral de la red. Los datos recopilados pueden incluir datos de paquetes de red, datos de flujo y datos de registro.
Las herramientas NDR utilizan análisis de comportamiento, IA y machine learning para evaluar los datos y establecer un modelo de referencia del comportamiento y la actividad normales de la red.
Después de establecer una línea de base, el sistema monitoriza continuamente el tráfico de red en tiempo real. La NDR compara la actividad actual de la red con esa línea de base para detectar desviaciones que podrían indicar la exfiltración de datos y otras amenazas potenciales.
Tales desviaciones podrían incluir intentos de acceso no autorizados, transferencias de datos inusuales, patrones de inicio de sesión anómalos (como acceder a los datos fuera del horario habitual) o comunicaciones con servidores web desconocidos.
Al detectar actividad sospechosa, las soluciones NDR alertan a los equipos de seguridad para que actúen. Algunas herramientas NDR también pueden tomar medidas automatizadas para mitigar la amenaza. Estas respuestas automáticas pueden incluir el bloqueo de direcciones IP malintencionadas, el aislamiento de los dispositivos comprometidos o la limitación del tráfico sospechoso para evitar más daños.
Los sistemas NDR adaptan continuamente sus modelos de actividad de red incorporando los comentarios de las amenazas y respuestas detectadas. También integran las aportaciones de los analistas de seguridad y las fuentes de inteligencia de amenazas. Este perfeccionamiento continuo mejora la precisión y la eficacia de las herramientas NDR para detectar y responder a amenazas nuevas y en evolución.
Las soluciones NDR ofrecen una gama de capacidades que pueden proporcionar ventajas sobre las herramientas tradicionales de detección de amenazas basadas en firmas. Estas capacidades incluyen:
Las soluciones NDR proporcionan monitorización y análisis en tiempo real, lo que permite una identificación y respuesta más rápidas a posibles amenazas. Algunas herramientas de NDR también pueden priorizar y generar alertas a los equipos de seguridad o a los centros de operaciones de seguridad (SOC) según la gravedad potencial de la amenaza.
La NDR puede ofrecer visibilidad de todas las actividades de red en las instalaciones y en entornos de nube híbrida. Esta visibilidad integral puede ayudar a las organizaciones a interceptar más incidentes de seguridad.
Dado que las soluciones NDR monitorizan tanto el tráfico de red norte-sur (salida y entrada) como el este (interno), pueden detectar tanto intrusiones en el perímetro de la red como en el movimiento lateral dentro de la red. La capacidad de detectar anomalías dentro de la red puede ayudar a NDR a detectar amenazas avanzadas al acecho. Algunas herramientas de NDR también pueden detectar amenazas que se ocultan en el tráfico cifrado.
NDR aprovecha la IA y los algoritmos avanzados de machine learning para analizar los datos de la red, identificar patrones y detectar posibles amenazas, incluidas amenazas previamente desconocidas que las herramientas tradicionales a menudo pasan por alto.
Algunas soluciones NDR cuentan con capacidades de respuesta automatizada, como la terminación de una conexión de red sospechosa, que pueden detener un ataque en el momento en que se está produciendo. Las herramientas NDR también pueden integrarse con otras herramientas de seguridad para ejecutar planes de respuesta a incidentes más complejos. Por ejemplo, tras detectar una amenaza, una NDR podría solicitar a una plataforma de orquestación, automatización y respuesta de seguridad (SOAR) que ejecute una guía de estrategias de respuesta predefinido.
Muchas herramientas NDR pueden integrarse con fuentes de inteligencia de amenazas y bases de datos, como el marco MITRE ATT&CK . Estas integraciones pueden mejorar los modelos de comportamiento y mejorar la precisión de la detección de amenazas. Como resultado, las herramientas NDR pueden ser menos propensas a falsos positivos.
Las soluciones de NDR proporcionan datos contextuales y funcionalidades que los equipos de seguridad pueden utilizar para actividades de búsqueda de amenazas que buscan de forma proactiva amenazas no detectadas anteriormente.
A pesar de sus ventajas, las soluciones NDR no están exentas de limitaciones. Algunas debilidades comunes de las actuales herramientas NDR pueden incluir:
Las herramientas NDR pueden requerir una inversión significativa en hardware, software y personal de ciberseguridad. Por ejemplo, la configuración inicial puede implicar la implementación de sensores en los segmentos de la red y la inversión en un almacenamiento de datos de alta capacidad para grandes volúmenes de datos de tráfico de red.
Escalar las soluciones NDR para redes en crecimiento puede ser un desafío. El aumento del flujo de datos puede agotar los recursos y crear cuellos de botella, lo que hace que las soluciones de detección y respuesta a las amenazas sean menos eficaces en las grandes empresas.
Las herramientas de NDR pueden generar muchos falsos positivos y abrumar a los equipos de seguridad con fatiga por alertas. Incluso las más mínimas desviaciones de los patrones normales pueden marcarse como sospechosas, lo que lleva a una pérdida de tiempo y potencialmente a pasar por alto amenazas reales.
La monitorización continua del tráfico de red, incluidas las comunicaciones cifradas, puede plantear problemas de privacidad. El incumplimiento de las regulaciones como el Reglamento General de Protección de Datos (RGPD) y el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) pueden dar lugar a multas y sanciones pronunciadas.
Las redes empresariales actuales son descentralizadas y expansivas, y conectan centros de datos, hardware, software, dispositivos IoT y cargas de trabajo tanto en las instalaciones como en entornos de nube.
Las organizaciones y sus centros de operaciones de seguridad (SOC) necesitan un sólido conjunto de herramientas para obtener una visibilidad completa de estas complejas redes. Cada vez recurren más a una combinación de NDR con otras soluciones de seguridad.
Por ejemplo, NDR es uno de los tres pilares de la tríada de visibilidad SOC de Gartner, junto con la detección y respuesta de endpoints (EDR) y la gestión de eventos de seguridad (SIEM).
- La EDR es un software diseñado para proteger automáticamente a los usuarios finales, los dispositivos finales y los activos de TI de una organización contra las ciberamenazas. Mientras que la NDR proporciona una "vista aérea" del tráfico de la red, el EDR puede proporcionar una vista complementaria "a ras de suelo" de la actividad en puntos finales individuales.
- SIEM combina y correlaciona datos de registros y eventos relacionados con la seguridad de herramientas de seguridad y fuentes de red dispares, como servidores, aplicaciones y dispositivos. Las herramientas NDR pueden complementar estos esfuerzos mediante la transmisión de sus datos y análisis de tráfico de red a los sistemas SIEM, lo que mejora la seguridad del SIEM y la eficacia del cumplimiento normativo.
Últimamente, los SOC también han adoptado soluciones de detección y respuesta extendidas (XDR). XDR integra herramientas de ciberseguridad en toda la infraestructura de TI híbrida de una organización, incluidos endpoints, redes y cargas de trabajo en la nube. Muchos proveedores de XDR incluyen capacidades NDR, mientras que las soluciones XDR abiertas pueden aprovechar las capacidades NDR existentes de una organización, adaptándose a los flujos de trabajo de seguridad existentes.
Aproveche las soluciones de detección y respuesta a amenazas de IBM para reforzar su seguridad y acelerar la detección de amenazas.
Haga el cambio al multicloud híbrido con confianza e integre la seguridad en todas las fases de la transición a la nube.
Proteja su infraestructura y su red de las sofisticadas amenazas de ciberseguridad con conocimientos de seguridad probados, experiencia y soluciones modernas.
Prepárese mejor para las vulneraciones comprendiendo sus causas y los factores que aumentan o reducen los costes.
Descubra cómo está cambiando el panorama actual de la seguridad y cómo afrontar los retos y aprovechar la capacidad de recuperación de la IA generativa.
La inteligencia artificial (IA) utiliza los ordenadores y las máquinas para imitar las capacidades de resolución de problemas y toma de decisiones de la mente humana.