La detección y la respuesta en la red (NDR) usa una combinación de tecnologías y metodologías de ciberseguridad para identificar anomalías y responder ante las amenazas que pudiesen pasar inadvertidas en otras medidas de seguridad.
Los equipos del centro de operaciones de seguridad (SOC) están bajo una inmensa presión para proteger a sus organizaciones contra las ciberamenazas. Esas amenazas continúan evolucionando y proliferándose mientras que el perímetro de la red se vuelve más amplio, creando una superficie de ataque más grande y más compleja. El incremento en usuarios que trabajan de manera remota o híbrida ha contribuido de forma significativa a este tema desde el inicio de la pandemia. McKinsey estima que al menos el 58% de la fuerza laboral en los Estados Unidos ya es remota.
Dentro de la red, existen también los activos no administrados: dispositivos que no cuentan con agentes de seguridad instalados, o cuyas configuraciones de seguridad están desactualizadas o incluso erróneas. De acuerdo con algunas estimaciones, los activos no administrados pueden superar en número a los gestionados en un índice de 2 a 1.
Los activos no gestionados son difíciles de parchar. También muy difícilmente se les llega a escanear para detectar vulnerabilidades, si es que se les puede escanear en primer lugar. Específicamente con dispositivos más antiguos, es posible que los fabricantes no liberen rápido o con frecuencia actualizaciones de seguridad. Y, para que los equipos de TI puedan actualizarlos, posiblemente deben volver a desplegarlos primero o agregarles licencias, lo cual requiere de esfuerzo y costos que no son fáciles de justificar, incluso si esos dispositivos llegaran a representar un problema de seguridad.
Por todas estas razones, los cibercriminales han desarrollado un gusto por los dispositivos no gestionados. Son excelentes lugares para esconderse, y buenas oportunidades para ingresar a la infraestructura. Los atacantes pueden usar herramientas completamente legítimas y autorizadas para moverse dentro de la red sin llamar la atención usando los dispositivos no gestionados, a veces pasando incluso semanas o meses.
Las tecnologías de seguridad y los enfoques como la detección y respuesta extendidas (EDR), la detección y respuesta de amenazas en identidades (ITDR) y la gestión de la superficie de ataque (ASM) no fueron diseñados para encontrar a las amenazas que se ocultan en los activos no administrados o ver dentro del tráfico de la red. NDR puede cerrar esa brecha, exponiendo y correlacionando incluso las anomalías más sutiles causadas por las amenazas que de otra forma podrían pasar desapercibidas.
Algunas estimaciones sugieren que el planeta podría albergar más de 18 mil millones de dispositivos en 2025. Incluso si un pequeño porcentaje de estos no está administrado, las implicaciones para la seguridad pueden ser enormes. Pocos equipos SOC actualmente cuentan con visibilidad de toda la superficie de ataque o de cada endpoint individual, especialmente de los no administrados. Es difícil defender donde no puede ver e imposible gestionarlo.
Los SOCs también se ven abrumados por las alertas, incrementando el número de falsas alarmas e incluso ataques que pasan desapercibidos. Incluso con toda esos datos, a menudo les hace falta la información que necesitan para comprender los incidentes. Hay mucho ruido y muy poca información precisa y accionable.
NDR aborda estos problemas por medio del monitoreo del tráfico web y el comportamiento de los dispositivos dentro de la red. Se puede detectar, analizar y clasificar cualquier actividad alrededor de un dispositivo no gestionado, incluso si no se puede “ver” el dispositivo en sí. Las capacidades de correlación de NDR realizan todo el trabajo de encontrar patrones y unir los puntos para diferenciar de forma más precisa entre las amenazas legítimas y las actividades benignas.
Con una solución NDR efectiva, los equipos SOC pueden descubrir los activos no gestionados en la red y detectar y correlacionar lo que de otra forma serían “señales débiles” para encontrar a las amenazas y detener a los atacantes. Las señales débiles son esencialmente alertas de baja confianza o eventos sobre los cuales no hay suficiente información para determinar si existe un ataque o no.
Ya que los ataques multi-capa complejos pueden ocultarse con movimientos incrementales entre distintas capas de la red, y ninguno de ellos individualmente siendo suficiente para justificar una intervención, es posible que otras tecnologías y marcos de seguridad los pasen por alto. NDR con su correlación entre capas puede unir las piezas para entregar una evaluación completa.
Rastreando el ataque de punta a punta
NDR le brinda a los equipos del SOC mayor visibilidad sobre lo que está sucediendo en la red por medio de la extracción de metadatos de la red de todo el tráfico, sin importar si es sospechoso o no. Los metadatos están correlacionados con las amenazas potenciales, dándole a los equipos del SOC una forma de visualizar la huella completa del ataque. Podrán ver cadenas completas de ataque, identificar sus causa raíz y determinar el alcance completo de un incidente a través de todo el stack de seguridad.
NDR también brinda una forma de descubrir las vulnerabilidades latentes al ofrecer una plataforma donde los resultados de los escaneos de las herramientas de terceros pueden unirse a los conocimientos de expertos para que las vulnerabilidades potenciales se puedan parchar preventivamente, antes de que puedan ser explotadas.
Todo esto, especialmente cuando está alineado con otras soluciones de seguridad como EDR, ITDM y ASM, permite que se actúe casi en tiempo real, dando como resultado un menor tiempo para detección, menores costos y una menor cantidad de falsos positivos.
NDR monitorea y analiza continuamente el tráfico de la red por medio de inspección profunda de paquetes, análisis de comportamiento y machine learning. Detecta anomalías e identifica las amenazas potenciales, integrándose con fuentes de inteligencia de amenazas para una máxima efectividad. Al combinar el monitoreo en tiempo real con una respuesta y mitigación automatizadas, NDR hace posible que los equipos del SOC puedan defender proactivamente contra ciberamenazas sofisticadas y minimizar el impacto de los incidentes de seguridad.
Para realizar estas funciones, NDR necesita de un conjunto integral de capacidades interrelacionadas. Estas incluyen:
Las soluciones de detección y respuesta en la red también necesitan la posibilidad de escalar conforme se expande la red y se conectan más dispositivos a ella, además de un desempeño consistente y confiable. Idealmente, también se podría integrar alguna capacidad para la mejora continua, para la solución NDR pueda volverse más precisa y efectiva conforme pasa el tiempo.
¿Qué capacidades adicionales podría necesitar la NDR?
Las empresas de analistas de ciberseguridad como Gartner y Forrester han sugerido que, además de las funcionalidades principales descritas arriba, las soluciones NDR también necesitan otras características para poder desarrollar el alcance completo de protección que requieren las empresas.
Estas funcionalidades avanzadas incluyen:
¿Cuál es el enfoque de Trend Micro?
Trend utiliza telemetría nativa de diversos vectores de seguridad para brindar detecciones de alta fidelidad con fuertes correlaciones y contextos enriquecidos. El enfoque de Trend para NDR permite que los SOCs incorporen remediación automatizada mientras trabajan con soluciones de terceros y plataformas de orquestación, automatización y respuesta de seguridad (SOAR) para prevenir ataques futuros.
La tecnología de Trend para NDR identifica los riesgos asociados tanto con dispositivos gestionados como los no gestionados, detectando anomalías y modelando el comportamiento para detectar incluso los patrones más pequeños que pudieran indicar una amenaza.
Mientras que las soluciones NDR dependen solamente de la IA, machine learning y detección de anomalías, Trend también incorpora más de 35 años de inteligencia de amenazas, así como análisis de comportamiento altamente sofisticado para detectar con precisión a las amenazas con un índice bajo de falsos positivos.
NDR es una adición esencial para el arsenal de ciberseguridad de una organización, una que complemente EDR, ITDR y ASM para cubrir las vulnerabilidades de la red y brindar un XDR completo. Trend cumple con los requisitos principales para NDR y los requisitos para funcionalidades adicionales que han sido identificados por analistas prominentes de ciberseguridad para crear una solución integral y confiable para la detección y la respuesta en la red.