La detección y respuesta de red (NDR) utiliza una combinación de tecnologías y metodologías de ciberseguridad avanzadas para identificar anomalías y responder a amenazas que otras medidas de seguridad pueden pasar por alto.
Los equipos del centro de operaciones de seguridad (SOC) están sometidos a una intensa presión para proteger a sus organizaciones frente a ciberamenazas. Estas amenazas continúan evolucionando y proliferando mientras la red se vuelve cada vez más sin fronteras, creando una superficie de ataque más grande y compleja a la que enfrentarse. El aumento del trabajo remoto e híbrido ha contribuido significativamente a esto desde los años de pandemia, y McKinsey estima que al menos el 58 % de la fuerza laboral estadounidense ya es remota.
Dentro de la red en expansión hay un gran número de activos no gestionados: dispositivos que no tienen agentes de seguridad instalados o cuya configuración de seguridad está mal configurada o desactualizada. Según algunas estimaciones, los activos no gestionados pueden superar a los activos gestionados en una proporción 2:1.
Los activos no gestionados son difíciles de parchear. También rara vez, si es que alguna vez, se analizan en busca de vulnerabilidades, y es posible que no se puedan analizar en absoluto. Con los dispositivos más antiguos especialmente, los fabricantes pueden tardar en emitir actualizaciones de seguridad. Y para que los equipos de TI los actualicen, es posible que primero tengan que volver a implementarlos o añadir primero licencias, lo que requiere esfuerzos y costes que no son fáciles de justificar, incluso si esos dispositivos representan una responsabilidad de seguridad.
Por todos estos motivos, los cibercriminales se ven atraídos por dispositivos no gestionados. Proporcionan excelentes lugares para esconderse: oportunidades de “vivir fuera de la tierra”. Los atacantes pueden utilizar herramientas autorizadas y completamente legítimas para moverse por la red entre dispositivos no gestionados sin atraer la atención, sin dejarse llevar durante semanas o meses.
Las tecnologías y los enfoques de seguridad como la detección y respuesta extendidas (EDR), la detección y respuesta ante amenazas de identidad (ITDR) y la gestión de la superficie de ataque (ASM) no están diseñados para encontrar amenazas que acechen en activos no gestionados ni ver el tráfico de la red. NDR llena esa brecha, exponiendo y correlacionando incluso anomalías sutiles causadas por amenazas que de otro modo podrían deslizarse por las grietas.
Algunas proyecciones sugieren que el planeta podría acabar con más de 18 000 millones de dispositivos ya en 2025. Incluso si un pequeño porcentaje de esos dispositivos no están gestionados, las implicaciones de seguridad serán enormes. Pocos equipos de SOC hoy en día tienen visibilidad en toda la superficie de ataque o en cada último endpoint, especialmente activos no gestionados. Es difícil defenderse donde no se puede llegar e imposible gestionar lo que no se puede ver.
Los SOC también se ven notablemente abrumados por las alertas, lo que conduce a un montón de falsas alarmas y ataques perdidos. Incluso con esa inundación, a menudo carecen de los datos que necesitan para comprender completamente los incidentes. Hay demasiado ruido y muy poca información precisa, precisa y procesable.
NDR aborda estas dificultades supervisando el tráfico de la red y los comportamientos de los dispositivos dentro de la red. Cualquier actividad en torno a un dispositivo no gestionado puede detectarse, analizarse y determinarse como anómala, incluso si el dispositivo en sí es oscuro. Y las capacidades de correlación de NDR hacen el trabajo de examinar patrones y conectar los puntos para diferenciar con mayor precisión entre amenazas potenciales legítimas y actividad inofensiva.
Con una solución de NDR eficaz, los equipos de SOC pueden descubrir activos no gestionados en la red y detectar y correlacionar lo que de otro modo serían “señales débiles” para bloquear amenazas y erradicar atacantes. Las señales débiles son esencialmente alertas de baja confianza o eventos sobre los que no hay suficiente información para saber si un ataque está presente o no.
Seguimiento del ataque de extremo a extremo
NDR proporciona a los equipos de SOC una mayor visibilidad de lo que está sucediendo en la red extrayendo metadatos de red de todo el tráfico, sospechoso o de otro modo. Estos metadatos están correlacionados con posibles amenazas, lo que proporciona a los equipos de SOC una forma de visualizar la huella de un ataque. Pueden ver cadenas de ataque completas, identificar las causas raíz y determinar el alcance completo de un incidente en toda la pila de seguridad.
NDR también proporciona una forma de descubrir vulnerabilidades latentes proporcionando una plataforma en la que los resultados de las herramientas de análisis de terceros se pueden satisfacer con conocimientos de seguridad expertos para que las posibles debilidades se parcheen de forma preventiva, antes de que se exploten.
Todo esto, especialmente cuando está en línea con otras soluciones de seguridad como EDR, ITDM y ASM, permite una acción casi en tiempo real con un tiempo de detección más rápido, menores costes y menos falsos positivos.
NDR proporciona supervisión y análisis continuos del tráfico de red mediante una inspección profunda de paquetes, análisis de comportamiento y machine learning. Detecta anomalías e identifica posibles amenazas, integrándose con fuentes de información sobre amenazas para una máxima eficacia. Al combinar la supervisión en tiempo real con la respuesta y mitigación automatizadas, NDR hace posible que los equipos de SOC se defiendan proactivamente frente a ciberamenazas sofisticadas y minimicen el impacto potencial de los incidentes de seguridad.
Para realizar esas funciones, NDR necesita un conjunto completo de capacidades interrelacionadas. Estas incluyen:
Las soluciones de detección y respuesta de redes también deben ser capaces de escalar a medida que las redes se expanden y más dispositivos se conectan dentro de ellas, y para ofrecer un rendimiento constante y fiable. Idealmente, también se incorporaría cierta capacidad para la mejora continua, para que la solución NDR pueda volverse más precisa y efectiva con el tiempo.
¿Qué capacidades adicionales podría necesitar NDR?
Empresas de analistas de ciberseguridad como Gartner y Forrester han sugerido que, además de las capacidades principales descritas anteriormente, las soluciones de NDR también necesitan otros rasgos para desarrollar el alcance completo de protección requerido.
Estas capacidades avanzadas incluyen:
¿Cuál es el enfoque de Trend Micro para NDR?
Trend utiliza telemetría nativa de todos los vectores de seguridad para proporcionar detecciones de alta fidelidad con correlaciones sólidas y contexto enriquecido. El enfoque de Trend para NDR permite que los SOC incorporen soluciones automatizadas mientras trabajan con soluciones de terceros y plataformas de orquestación, automatización y respuesta de seguridad (SOAR) para evitar futuros ataques.
La tecnología NDR de Trend identifica los riesgos asociados tanto con los dispositivos no gestionados como con los gestionados, detectando anomalías y modelando el comportamiento para detectar incluso patrones débiles que pueden indicar una amenaza.
Si bien muchas soluciones NDR dependen casi exclusivamente de la IA, el machine learning y la detección de anomalías, Trend también incorpora más de 35 años de información sobre amenazas, así como análisis de comportamiento altamente sofisticados para detectar amenazas de forma precisa con tasas de falsos positivos extremadamente bajas.
NDR es una adición esencial al kit de herramientas de ciberseguridad de una organización, que complementa a EDR, ITDR y ASM para cubrir las vulnerabilidades de la red y proporcionar XDR completo. Trend cumple los requisitos principales de NDR y los requisitos de capacidades adicionales identificadas por los principales analistas de ciberseguridad para una solución de detección y respuesta de red completa y fiable.
Detecte lo desconocido y proteja lo no gestionado. No deje nada al descubierto con Network Detection and Response (NDR)