Céntrate en la visibilidad para mejorar tu nivel de seguridad.
La prevención al 100% es un mito y nunca se conseguirá realmente. A medida que los atacantes se vuelven más sofisticados y la superficie de ataque crece exponencialmente, el sector de la seguridad va a tener que pasar de una ideología puramente preventiva a centrarse en la detección y respuesta tempranas.
No estoy diciendo que debamos eliminar todas las herramientas de prevención de nuestro arsenal de seguridad, pero tenemos que aceptar el hecho de que la seguridad no tiene línea de meta: Es un juego sin fin, y a veces los ciberdelincuentes ganan y consiguen acceder a nuestras redes. La única forma de aumentar la seguridad es tener la capacidad de detectar comportamientos sospechosos, investigarlos y corregirlos, si es necesario, lo antes posible. Las brechas ocurrirán pase lo que pase, pero en el tiempo de espera es donde realmente podemos marcar la diferencia. Cuando se producen infracciones importantes, a menudo realizamos un análisis para saber dónde y cómo se iniciaron y, con frecuencia, descubrimos que estos malhechores han tenido acceso a nuestros sistemas durante semanas y, a veces, muchos meses sin ser detectados.
Herramientas y enfoques de visibilidad
Entonces, ¿cómo solucionamos esto? ¿Qué herramientas o ideología nos ayudarán a detectar antes los comportamientos sospechosos? La respuesta es centrarse en la visibilidad, porque no puedes protegerte de lo que no puedes ver.
Gartner introdujo la tríada de la visibilidad en un informe titulado «Applying Network-Centric Approaches for Threat Detection and Response«. En este informe, Gartner aconseja: «La creciente sofisticación de las amenazas exige que las organizaciones utilicen múltiples fuentes de datos para la detección de amenazas y la respuesta a las mismas. Las tecnologías basadas en redes permiten a los profesionales técnicos obtener una rápida visibilidad de las amenazas en todo un entorno sin necesidad de utilizar agentes.»
Desglosemos qué aporta cada una de estas herramientas y porqué deben complementarse entre sí.
- Información de seguridad y gestión de eventos (SIEM): El SIEM (Security information and event management) recopila datos de registro, es decir, una lista de eventos que se producen en un sistema informático, como conexiones, errores o cualquier otro problema. Un sistema SIEM analiza estos datos y, si los recopila durante largos periodos de tiempo, como uno o dos años, puede crear sus propias reglas de detección personalizadas. Algunas de las desventajas son que es extremadamente costoso y lleva mucho tiempo implementarlo, y requiere un alto nivel de experiencia para escribir reglas personalizadas. Pero la recopilación de datos de registro es importante para comprender las operaciones de sus sistemas, depurar cualquier problema que se produzca o incluso realizar una auditoría de sus sistemas.
- Detección y respuesta de puntos finales (EDR): EDR (Endpoint detection and response) captura la ejecución, las conexiones locales, los cambios del sistema, las actividades de memoria y otras operaciones de los puntos finales. Los puntos finales son dispositivos móviles como teléfonos, ordenadores portátiles y servidores. Los dispositivos móviles son las amenazas más comunes debido a que los usuarios desatentos hacen clic accidentalmente en un enlace incorrecto, utilizan credenciales incorrectas o vulnerabilidades sin parches, como software obsoleto. Estos terminales «infectados» se conectan de forma rutinaria a la red corporativa y, al hacerlo, dan a los malos actores la capacidad de moverse a través de la red y acceder a la información que desean.
- Detección y respuesta a la red (NDR): La NDR (Network detection and response) aborda la visibilidad de la red mediante herramientas centradas en la captura y el análisis del tráfico de red. Las soluciones NDR están demostrando ser una de las tecnologías más importantes de la pila de seguridad porque los malos actores necesitan conectarse a la red para acceder a la información que desean, y la red sigue siendo el único lugar donde un atacante no puede esconderse. Es el único lugar donde se puede obtener una captura de paquetes (PCAP), que contiene la verdad absoluta de una posible brecha. Algunas empresas creen que todo lo que necesitan es una solución SIEM y EDR, pero esto crea lagunas de visibilidad y la única forma de reunirlo todo es disponer de una solución de supervisión de la red.
Cada una de estas soluciones es necesaria, pero como todo lo demás, cada una de estas soluciones tiene inconvenientes, como que los datos de registro no proporcionan datos altamente contextuales, que EDR necesita cientos, si no miles, de agentes, la creciente sofisticación del malware que evade EDR o la falta de capacidad para desplegar agentes en dispositivos IoT. Incluso algunas soluciones NDR tienen inconvenientes en cuanto a la calidad de los datos, como los datos NetFlow frente a los datos de paquetes o los procesos de captura de paquetes.
¿Cómo lograr visibilidad de extremo a extremo?
NETSCOUT complementa esta tríada de visibilidad y es un proveedor líder de visibilidad de red. La principal competencia de NETSCOUT durante más de 30 años ha sido la captura de paquetes y la inspección profunda de paquetes (DPI) a escala. La tecnología patentada Adaptive Service Intelligence (ASI) de NETSCOUT convierte esos paquetes en una rica fuente de metadatos únicos de capa 2-7 que denominamos Smart Data.
La solución de Inteligencia Cibernética Omnis de NETSCOUT proporciona captura continua de paquetes completos, dándole la visibilidad en el punto de intrusión, en lugar de detección, para ver el incidente antes, durante y después de un ataque y permitiéndole detener y prevenir cualquier ataque futuro.
La solución NDR basada en DPI de NETSCOUT puede darle visibilidad sin fronteras y aumentar su postura de seguridad.
Artículo original: Breaking Down the SOC Visibility Triad
Autor: Netscout
Adaptación: Ayscom
