La detección y respuesta de la red (NDR) es una categoría de tecnologías de ciberseguridad que utiliza métodos no basados en firmas, como inteligencia artificial, aprendizaje automático y análisis de comportamiento, a fin de detectar actividades sospechosas o maliciosas en la red y responder a amenazas cibernéticas.
La NDR evolucionó del análisis de tráfico de red (NTA), una tecnología desarrollada originalmente para extraer modelos de tráfico de red a partir de datos de tráfico de red sin procesar. Cuando las soluciones de NTA incorporaron capacidades de análisis de comportamiento y respuesta a amenazas, Gartner, analista de la industria, cambió el nombre de la categoría a NDR en 2020.
Las redes son la base del mundo conectado actual y los principales objetivos de los actores de amenazas.
Tradicionalmente, las organizaciones confiaban en herramientas de detección de amenazas, como el software antivirus, los sistemas de detección de intrusiones (IDS) y los cortafuegos para garantizar la seguridad de la red.
Muchas de estas herramientas emplean un enfoque de detección basado en firmas, que identifica amenazas haciendo coincidir indicadores de compromiso (IOC) con una base de datos de firmas de ciberamenazas.
Una firma puede ser cualquier característica asociada con un ataque cibernético conocido, como una línea de código de una cepa particular de malware o una línea de asunto específica de correo electrónico de phishing. Las herramientas basadas en firmas monitorean las redes en busca de estas firmas previamente descubiertas y generan alertas cuando las encuentran.
Si bien son eficaces para bloquear amenazas cibernéticas conocidas, las herramientas basadas en firmas tienen dificultades para detectar amenazas nuevas, desconocidas o emergentes. También tienen dificultades para detectar amenazas que carecen de firmas únicas o se asemejan a un comportamiento legítimo, como:
- Atacantes cibernéticos que utilizan credenciales robadas para acceder a la red
- Ataques de business email compromise (BEC), en los que los hackers se hacen pasar por la cuenta de correo electrónico de un ejecutivo o se apropian de ella
- Los empleados incurren involuntariamente en comportamientos riesgosos, como guardar datos de la empresa en una unidad USB personal o hacer clic en enlaces de correo electrónico maliciosos
Las bandas de ransomware y otras amenazas persistentes avanzadas pueden aprovechar estas brechas de visibilidad para infiltrarse en redes, realizar vigilancia, escalar privilegios y lanzar ataques en los momentos oportunos.
La NDR puede ayudar a las organizaciones a subsanar las deficiencias que dejan las soluciones basadas en firmas, y proteger redes modernas y cada vez más complejas.
Mediante analytics avanzados, aprendizaje automático y análisis de comportamiento, la NDR puede detectar incluso amenazas potenciales sin firmas conocidas. De esta manera, la NDR proporciona una capa de seguridad en tiempo real, lo que ayuda a las organizaciones a detectar vulnerabilidades y ataques que otras herramientas de seguridad podrían pasar por alto.
Obtenga insights para prepararse y responder ante los ciberataques con mayor rapidez y eficacia con IBM Security X-Force Threat Intelligence.
Las soluciones de detección y respuesta de red adoptan un enfoque proactivo y de respuesta dinámica para gestionar las amenazas de red. Las herramientas de NDR monitorean y analizan continuamente la actividad de la red y los patrones de tráfico en tiempo real para identificar actividades sospechosas que puedan indicar una ciberamenaza.
La detección de amenazas con una solución de NDR suele implicar estos cinco pasos:
- Recopilar datos
- Establecer una referencia del comportamiento de la red
- Monitorear la actividad maliciosa
- Responder a los incidentes
- Refinar con el tiempo
Las soluciones de NDR ingieren datos y metadatos de tráfico de red sin procesar a través de la telemetría, la práctica de emplear la automatización para recopilar y transmitir datos desde fuentes remotas.
Las herramientas de NDR a menudo recopilan datos de endpoints, infraestructura de red, cortafuegos y otras fuentes para obtener una vista completa de la red. Los datos recopilados pueden incluir datos de paquetes de red, de flujo y de registro.
Las herramientas de NDR emplean analytics de comportamiento, IA y aprendizaje automático para evaluar los datos y establecer un modelo de referencia del comportamiento y la actividad normales de la red.
Luego de establecer una referencia, el sistema monitorea continuamente el tráfico de red en tiempo real. La NDR compara la actividad actual de la red con esa referencia para detectar desviaciones que puedan indicar la exfiltración de datos y otras amenazas potenciales.
Dichas desviaciones pueden incluir intentos de acceso no autorizados, transferencias de datos inusuales, patrones de inicio de sesión anómalos (como acceder a datos fuera del horario habitual) o comunicaciones con servidores web desconocidos.
Al detectar actividades sospechosas, las soluciones de NDR alertan a los equipos de seguridad para que actúen. Algunas herramientas de NDR también pueden tomar medidas automatizadas para mitigar la amenaza. Estas respuestas automatizadas pueden incluir el bloqueo de direcciones IP maliciosas, el aislamiento de los dispositivos comprometidos o la limitación del tráfico sospechoso para evitar daños mayores.
Los sistemas de NDR adaptan continuamente sus modelos de actividad de red incorporando retroalimentación de las amenazas y respuestas detectadas. También integran entradas de analistas de seguridad y fuentes de inteligencia de amenazas. Este refinamiento continuo mejora la precisión y la eficacia de las herramientas de NDR para detectar amenazas nuevas y en evolución, y responder a ellas.
Las soluciones de NDR ofrecen una gama de capacidades que pueden proporcionar beneficios con respecto a las herramientas tradicionales de detección de amenazas basadas en firmas. Estas capacidades incluyen:
Las soluciones de NDR proporcionan monitoreo y análisis en tiempo real, lo que permite una identificación y respuesta más rápidas a posibles amenazas. Algunas herramientas de NDR también pueden priorizar y generar alertas a los equipos de seguridad o a los centros de operaciones de seguridad (SOC) en función de la gravedad potencial de la amenaza.
La NDR puede ofrecer visibilidad de todas las actividades de red on premises y en entornos de nube híbrida. Esta visibilidad integral puede ayudar a las organizaciones a interceptar más incidentes de seguridad.
Debido a que las soluciones de NDR monitorean tanto el tráfico de red norte-sur (salida y entrada) como este-oeste (interno), pueden detectar tanto intrusiones en el perímetro de la red como movimientos laterales dentro de esta. La capacidad de detectar anomalías dentro de la red puede ayudar a la NDR a detectar amenazas avanzadas al acecho. Algunas herramientas de NDR también pueden detectar amenazas que se ocultan en el tráfico cifrado.
La NDR aprovecha la IA y los algoritmos avanzados de aprendizaje automático para analizar datos de red, identificar patrones y detectar amenazas potenciales, incluidas amenazas previamente desconocidas que las herramientas tradicionales suelen pasar por alto.
Algunas soluciones de NDR cuentan con capacidades de respuesta automatizada, como la terminación de una conexión de red sospechosa, que pueden detener un ataque a medida que ocurre. Las herramientas de NDR también pueden integrarse con otras herramientas de seguridad para ejecutar planes de respuesta ante incidentes más complejos. Por ejemplo, luego de detectar una amenaza, una NDR podría indicar a una plataforma de orquestación, automatización y respuesta de seguridad (SOAR) que ejecute un playbook de respuesta predefinido.
Muchas herramientas de NDR pueden integrarse con bases de datos y fuentes de inteligencia de amenazas, como el marco MITRE ATT&CK. Estas integraciones pueden mejorar los modelos de comportamiento y la precisión de la detección de amenazas. Como resultado, las herramientas de NDR pueden ser menos propensas a generar falsos positivos.
Las soluciones de NDR proporcionan datos contextuales y funcionalidad que los equipos de seguridad pueden usar para actividades de caza de amenazas que buscan de manera proactiva amenazas previamente no detectadas.
A pesar de sus beneficios, las soluciones de NDR no están exentas de limitaciones. Algunas debilidades comunes de las herramientas de NDR actuales pueden incluir:
Las herramientas de NDR pueden requerir una inversión significativa en hardware, software y personal de ciberseguridad. Por ejemplo, la configuración inicial puede implicar el despliegue de sensores en todos los segmentos de red y la inversión en almacenamiento de datos de alta capacidad para grandes volúmenes de datos de tráfico de red.
Escalar las soluciones de NDR para redes en crecimiento puede ser un desafío. El aumento en el flujo de datos puede sobrecargar los recursos y crear cuellos de botella, lo que resta eficacia a las soluciones de detección y respuesta ante amenazas en las grandes empresas.
Las herramientas de NDR pueden generar muchos falsos positivos y abrumar a los equipos de seguridad con la fatiga alerta. Incluso la más mínima desviación de los patrones normales puede ser señalada como sospechosa, con la consiguiente pérdida de tiempo y la posibilidad de pasar por alto amenazas reales.
El monitoreo continuo del tráfico de red, incluidas las comunicaciones encriptadas, puede plantear problemas de privacidad. El incumplimiento de normativas, como el Reglamento General de Protección de Datos (RGPD) y el Payment Card Industry Data Security Standard (PCI DSS), puede dar lugar a multas y sanciones elevadas.
Las redes empresariales actuales son descentralizadas y expansivas, y conectan centros de datos, hardware, software, dispositivos IoT y cargas de trabajo tanto en entornos on premises como en la nube.
Las organizaciones y sus centros de operaciones de seguridad (SOC) necesitan un conjunto sólido de herramientas para obtener una visibilidad total de estas redes complejas. Cada vez más, confían en una combinación de NDR con otras soluciones de seguridad.
Por ejemplo, la NDR es uno de los tres pilares de la tríada de visibilidad de SOC, junto con la detección y respuesta de endpoints (EDR) y la información de seguridad y gestión de eventos (SIEM).
- La EDR es un software diseñado para proteger automáticamente a los usuarios finales, los dispositivos endpoint y los activos de TI de una organización contra las amenazas cibernéticas. Mientras que la NDR proporciona una "vista aérea" del tráfico de red, la EDR puede proporcionar una vista complementaria "a nivel del suelo" de la actividad en endpoints individuales.
- La SIEM combina y correlaciona datos de eventos y registros relacionados con la seguridad de herramientas y fuentes de red dispares, como servidores, aplicaciones y dispositivos. Las herramientas de NDR pueden complementar estos esfuerzos mediante la transmisión de sus datos y análisis de tráfico de red a los sistemas SIEM, mejorando la seguridad de la SIEM y la eficacia del cumplimiento normativo.
Recientemente, los SOC también han adoptado soluciones de detección y respuesta extendidas (XDR). La XDR integra herramientas de ciberseguridad en toda la infraestructura de TI híbrida de una organización, incluidos endpoints, redes y cargas de trabajo en la nube. Muchos proveedores de XDR incluyen capacidades de NDR, mientras que las soluciones de XDR abiertas pueden aprovechar las capacidades de NDR existentes de una organización, ajustándose a los flujos de trabajo de seguridad.
Aproveche las soluciones de detección y respuesta a amenazas de IBM para fortalecer su seguridad y acelerar la detección de amenazas.
Migre con confianza a la nube híbrida e integre la seguridad en cada fase de su camino hacia la nube.
Proteja su infraestructura y su red de amenazas sofisticadas de ciberseguridad con habilidades de seguridad comprobadas, experiencia y soluciones modernas
Al comprender las causas y los factores que aumentan o reducen los costos de las filtraciones, usted estará mejor preparado para enfrentarlas.
Descubra cómo está cambiando el panorama de seguridad actual y cómo afrontar los desafíos y aprovechar la resiliencia de la IA generativa.
La inteligencia artificial utiliza computadoras y máquinas para imitar las capacidades de resolución de problemas y toma de decisiones de la mente humana.