Cuando se trata de proteger físicamente un edificio, hay dos defensas principales: la prevención y la detección. Puedes evitar que la gente entre en tu propiedad sin tu permiso, o puedes detectar cuando ya han entrado en tu propiedad. La mayoría de la gente preferiría evitar cualquier entrada, pero un delincuente decidido siempre podrá acceder a su edificio, si dispone de tiempo y recursos suficientes. En este caso, la detección se convierte en la única alternativa.
Lo mismo ocurre con la protección de los activos en el mundo digital. Tenemos las mismas dos defensas principales: prevención y detección. Y al igual que en el mundo físico, un delincuente decidido va a acceder a sus activos digitales, si se le das el tiempo y los recursos suficientes. La cuestión será: ¿Con qué rapidez eres capaz de determinar que un ciberdelincuente ha penetrado en tu red?
Si no se puede prevenir, hay que descubrir
Aquí es donde entra la detección. ¿Tienes las herramientas y los procedimientos adecuados para descubrir rápidamente los ataques cuando se producen? La mayoría de las empresas no lo hacen. Pasan días, semanas y a menudo incluso meses antes de que se descubra un ataque. La brecha entre la vulneración y el descubrimiento se conoce como tiempo de permanencia, que se estima en más de 200 días en la mayoría de los casos y, según IBM, hasta 280 días en algunos casos. Si se tarda tanto tiempo en descubrir que se está produciendo un ataque, puede ser imposible determinar la causa principal si no se dispone de suficientes datos históricos que revisar.
Por lo tanto, es igual de importante, y tal vez incluso más, gastar dinero en aumentar tu capacidad para detectar cuando se ha producido una brecha en lugar de determinar cuándo se está produciendo activamente o ver que las reglas específicas del cortafuegos (FW) o del sistema de detección de intrusiones (IDS) han impedido activamente un ataque. Todo el tiempo se producen nuevos ataques, y los ciberdelincuentes inventan constantemente nuevas formas de infiltrarse en la red. Es importante entender que, en algún momento, un ciberdelincuente va a conseguir y penetrar en tu red. Lo que será de vital importancia es si eres capaz de ver el ataque cuando se está produciendo, o poco después, o si por el contrario el ataque se descubrirá semanas o meses después del hecho. En este último caso, ¿cuentas con suficientes datos históricos para retroceder y determinar cuándo empezó el ataque, o esos datos habrán desaparecido hace tiempo cuando te des cuenta de que algo va mal?
Guardando los datos red que necesitas
Es importante tener datos de varios meses para poder volver atrás y determinar el compromiso inicial de tu red. Disponer de una herramienta avanzada de detección y respuesta a la red (NDR), como Omnis Cyber Intelligence (OCI) de NETSCOUT, puede asegurarte todos los datos que necesita. OCI almacena toda la información relevante, incluyendo los metadatos de capa 2-7 y los paquetes que necesitas para determinar la causa raíz de un ataque – no sólo los datos de flujo que no ayudarán en esta situación.
¿Cuánto tráfico de red histórico está almacenando? ¿Tienes suficientes datos para volver atrás e investigar el inicio de un ataque si se produjo hace 200 días? ¿O vas a confiar en atrapar a los ciberdelincuentes más rápido que la media del sector? Es importante comprender la necesidad de aprovechar tanto las capacidades de prevención como las de detección y asegurarse de que tienes suficiente almacenamiento para investigar a fondo un ataque cuando se produce.
Artículo original: Prevention or Detection: Which Is More Important for Defending Your Network?
Autor: Netscout
Adaptación: Ayscom
