La transformación de las amenazas cibernéticas ha obligado a las organizaciones en todas las industrias a repensar sus estrategias de seguridad. A medida que los atacantes se vuelven más sofisticados, aprovechando el oculto, las técnicas de vida-de la tierra y el movimiento fronterizo para eludir las defensas tradicionales, los equipos de seguridad están encontrando más amenazas causando estragos antaño de que puedan ser detectados. Incluso luego de que se haya identificado un ataque, puede ser difícil para los equipos de seguridad demostrar a los auditores que han mitigado completamente los problemas que permitieron entrar a los atacantes.
Los equipos de seguridad en todo el mundo han priorizado la detección y respuesta del punto final (EDR), que se ha vuelto tan efectivo que los actores de amenaza han cambiado sus tácticas para evitar vectores de ataque protegidos por defensas basadas en huéspedes.
Estas amenazas avanzadas son particularmente molestas para los proveedores de infraestructura crítica en servicios financieros, energía y servicios públicos, transporte y agencias gubernamentales que pueden tener sistemas propietarios que no pueden estar protegidos por la seguridad de los puntos finales tradicionales, tienen protocolos únicos que pueden no ser reconocidos por las herramientas de seguridad existentes, o se rigen por regulaciones que requieren un disco completo y una prueba de mitigación.
Los equipos de seguridad de élite han recurrido a la verdad terreno que la red solo puede proporcionar para identificar un comportamiento sospechoso y demostrar la mitigación y el cumplimiento completos. Esta verdad terreno proporciona un registro inmutable de todas las actividades de red y permite a los cazadores de amenazas despabilarse proactivamente posibles amenazas.
Servicios financieros:
Defender contra las amenazas silenciosas a los datos financieros
La industria de los servicios financieros enfrenta una tormenta perfecta: es el sector más objetivo a nivel mundial, opera bajo estrictos requisitos regulatorios y gestiona datos mucho sensibles que ordena los precios premium en los mercados criminales. Para las instituciones financieras, la detección y respuesta de la red (NDR) es esencial para identificar el llegada a los datos no autorizados, proteger las transacciones de microsegundos y demostrar el cumplimiento regulatorio.
Detección de llegada y exfiltración de datos no autorizados
Los bancos y las empresas de inversión implementan soluciones NDR para monitorear los indicadores sutiles de robo de datos. A diferencia de muchas industrias donde los atacantes buscan interrumpir las operaciones, los atacantes de servicios financieros a menudo apuntan a permanecer sin ser detectados mientras acceden a datos valiosos. Las plataformas NDR ayudan a identificar patrones de llegada a datos sospechosos e intentos de exfiltración, incluso cuando se disfrazan de canales cifrados.
Tome un decorado hipotético en el que una importante institución financiera se trate con un atacante que ha establecido persistencia durante más de seis meses y exfiltraba lentamente los datos financieros de los clientes utilizando canales cifrados durante las horas comerciales normales. SIEM y EDR Tools podría perderse este tipo de actividad, pero NDR puede detectar patrones de tráfico anómalos que se pierden otras herramientas.
Sustentar una delantera de seguridad de microsegundos
Los entornos de comercio de suscripción frecuencia (HFT) enfrentan desafíos de seguridad únicos oportuno a los requisitos de latencia extremista bajos que hacen que las herramientas de seguridad en camino tradicionales sean poco prácticas. El hardware personalizado a menudo no puede amparar agentes de punto final, creando brechas de visibilidad, mientras que los algoritmos propietarios requieren protección contra el robo y la manipulación.
Las soluciones NDR avanzadas abordan estos desafíos a través del monitoreo pasivo que introduce una latencia cero mientras mantiene la visibilidad completa de la red. Proporcionan un examen sofisticado de protocolo para los protocolos comerciales patentados que las herramientas convencionales no pueden decodificar, encima de la campaña de precisión de microsegundos permite la detección de intentos de manipulación sutiles.
Demostrando el cumplimiento regulatorio
Con regulaciones como la Ley de Resiliencia de Operaciones Digitales (DORA), la Directiva de Seguridad de la Red y la Información (NIS2) y las Reglas de FINRA, los bancos deben surtir pistas de auditoría integrales de la actividad de la red. Las soluciones NDR proporcionan la evidencia forense detallada necesaria tanto para la demostración de cumplimiento como para la investigación posterior al incidente.
Las implementaciones de NDR proporcionan monitoreo continuo de red y preservación de evidencia requerida por los reguladores. Cuando una institución financiera experimenta un incidente de seguridad, NDR puede demostrar exactamente qué sucedió, cómo respondieron y proporcionar evidencia de si una violación ha sido remediada completamente, lo que se está convirtiendo cada vez más en una expectativa regulatoria.
Energía y utilidades:
Bridging It/OT Security Gaps
Con los entornos tradicionales de redes de TI y entornos de tecnología operativa (OT) que controlan la infraestructura física, el sector energético se ha convertido en un objetivo principal para los actores criminales y de estado-nación. Los recientes ataques de tifón Volt ejemplifican las amenazas que comprometen activamente la infraestructura crítica al enfocarse en los sistemas que no pueden guarecerse con la seguridad tradicional del punto final.
La Comisión Federal Reguladora de Energía (FERC) emitió la Orden Núm. 887 que requiere monitoreo de seguridad de la red interna (INSM) para las pilas de seguridad del sistema eléctrico a copioso de suspensión impacto, que se expanden más allá de los controles de seguridad basados en perímetro y huéspedes para incluir la detección de la actividad de la red anómala.
Identificar el examen de la infraestructura energética
Los actores de amenaza avanzadilla generalmente realizan un amplio examen antaño de propalar ataques. Las soluciones NDR ayudan a identificar estas actividades en etapa original detectando patrones de escaneo inusuales, intentos de enumeración y otros indicadores de examen contra sistemas críticos.
Los sistemas OT no se construyeron necesariamente con la ciberseguridad en mente, aunque tienen fuertes capacidades de seguridad física. Estos sistemas no pueden ejecutar la tecnología de seguridad de punto final tradicional y asimismo tienen sus propias vulnerabilidades únicas. Adecuado a que necesitan ser accesibles rápidamente en emergencias, a menudo no tienen una seguridad más válido, como contraseñas complejas.
«A menudo he escuchado a los clientes que reflexionan sobre el hecho de que no tienen tiempo para recapacitar una contraseña compleja de 15 dígitos que cambia cada tres meses o debe restablecerse en este momento porque alguno lo olvidó», dijo Vince Stoffer, CTO de Corelight Field. «Necesitan llegada rápidamente para asaltar cualquier problema que pueda estar a la mano, lo que puede resultar en que las organizaciones configuren contraseñas predeterminadas o simples que sean fáciles de recapacitar, pero asimismo sencillo para un atacante para que se abran camino».
Monitoreo de puntos de convergencia de TI/OT
Las compañías de energía deben monitorear el tráfico entre las redes de TI y OT, observando intentos de pivotar desde redes corporativas a sistemas operativos críticos. Los equipos de seguridad no pueden poner agentes de punto final en la mayoría de los sistemas OT, pero pueden monitorear el tráfico de red en torno a y desde estos entornos.
La Asociación Franquista de Comisionados de Servicios Reguladores estableció líneas de saco de ciberseguridad para sistemas de distribución eléctrica que requieren que las organizaciones almacenen y protejan registros centrados en la seguridad de las herramientas de autenticación, los sistemas de detección de intrusos/prevención de intrusiones, firewalls y otras herramientas de seguridad para las actividades de detección y respuesta a los incidentes. Para los activos OT donde los registros no están disponibles o no están disponibles, esperan que las organizaciones recopilen y almacenen el tráfico de redes y las comunicaciones entre esos activos y otros sistemas para fines forenses, lo que NDR hace posible.
Detección de anomalías de protocolo en sistemas industriales
Las compañías de energía aprovechan las capacidades de examen de protocolo de NDR para identificar anomalías en las comunicaciones del sistema de control industrial que podrían indicar comandos de manipulación o no autorizados. Por ejemplo, considere una instalación de coexistentes de energía utilizando el protocolo Modbus para controlar las operaciones de la turbina. El monitoreo de NDR podría detectar comandos inesperados que intentan establecer la velocidad de la turbina a niveles o comandos peligrosos de direcciones IP no autorizadas, marcando desviaciones de los patrones de comunicación establecidos antaño de que ocurran daños en el equipo o incidentes de seguridad.
TRANSPORTE:
Sostener sistemas cada vez más conectados
Los sistemas cada vez más interconectados interiormente de la industria del transporte crean un maduro aventura, ya que los ciberdelincuentes pueden penetrar a más datos y potencialmente interrumpir las operaciones a lo desprendido de las cadenas de suministro enteras.
Monitoreo de sistemas de trámite y control de la flota
Las organizaciones de transporte deben monitorear las comunicaciones entre los sistemas de trámite central y las flotas de vehículos, barcos o aviones. Las operaciones de transporte modernas dependen en gran medida del intercambio de datos en tiempo vivo, incluidas las coordenadas GPS, la optimización de rutas, la trámite de combustibles y las comunicaciones de emergencia. Estas comunicaciones a menudo atraviesan múltiples redes, creando numerosas oportunidades de intercepción o manipulación.
«Escuchamos de los clientes que para ayudar a surtir la eficiencia y las operaciones de racionalización, sus flotas y la infraestructura de señalización están cada vez más conectadas. NDR les da visibilidad en estas conexiones, lo que les permite detectar intentos de interferir con los sistemas críticos de seguridad antaño de que las operaciones físicas se vean afectadas», dijo Stoffer.
NDR puede identificar anomalías como los comandos de navegación de fuentes no autorizadas, intentos de falsificación del GPS o modificaciones sospechosas a los sistemas de piloto involuntario, lo que permite a los operadores de transporte replicar a las amenazas antaño de que afecten la seguridad de los pasajeros.
Protección de datos de pasajeros y sistemas de suscripción
Las compañías de transporte procesan grandes volúmenes de datos de pasajeros e información de suscripción, lo que los convierte en objetivos atractivos. NDR ayuda a monitorear el llegada no competente a estos sistemas, particularmente desde redes internas donde los atacantes pueden moverse lateralmente luego del compromiso original.
Las capacidades de examen de comportamiento de NDR pueden detectar consultas anómalas de bases de datos, patrones inusuales de llegada a archivos o conexiones de red inesperadas a sistemas de procesamiento de pagos que indican actividades de casa recoleta de datos.
Detección de intentos de interrupción operativa
Para el transporte, la interrupción operativa puede tener implicaciones de seguridad inmediatas. Los sistemas de señalización ferroviaria, las comunicaciones de control de tráfico leve y las plataformas de trámite de tráfico representan puntos de control críticos donde la interferencia maliciosa podría dar sitio a incidentes catastróficos.
Las soluciones NDR ayudan a identificar ataques diseñados para interrumpir los sistemas de programación, enrutamiento o comunicación antaño de que afecten las operaciones físicas al monitorear protocolos especializados y patrones de comunicación que controlan la infraestructura de transporte.
GOBIERNO:
Defender contra amenazas persistentes avanzadas
Las agencias gubernamentales se ven continuamente atacadas por amenazas persistentes avanzadas (APT) de adversarios en estado-nación, lo que requiere que defiendan activos de suspensión valía e información clasificada en entornos complejos, mientras que cumplen con estrictos marcos federales de ciberseguridad como NIST 800-53, CMMC y FISMA.
Identificar la persistencia a desprendido plazo y la colección de datos
Las organizaciones gubernamentales implementan NDR para identificar indicadores sutiles de APT que podrían establecer una presencia a desprendido plazo interiormente de las redes. Estos atacantes se centran en la colección de inteligencia durante períodos prolongados en sitio de una interrupción inmediata, haciéndolos particularmente peligrosos para los intereses de seguridad franquista.
«Las amenazas que enfrentamos cuando encabezé la seguridad en la Agencia de Inteligencia de Defensa fueron proporcionadamente financiadas, sigilosas, sofisticadas y persistentes», dijo Jean Schaffer, CTO Federal Corelight. «Ahora en la era de Zero Trust, donde cada adjudicatario y dispositivo debe validarse continuamente, NDR juega un papel fundamental al proporcionar la visibilidad no erasable necesaria para detectar ataques de movimiento fronterizo, incluso cuando están utilizando credenciales legítimas y técnicas de vida en la tierra que evaden la detección de puntos finales».
Las capacidades continuas de monitoreo de la red de NDR pueden analizar el comportamiento de la red de relato para identificar anomalías como flujos de datos inusuales durante las horas fuera de las horas, aumentos graduales en el tráfico saliente a destinos sospechosos o cambios sutiles en los patrones de comunicación que indican el movimiento fronterizo.
Asegurando cero cumplimiento de la confianza
Zero Trust es de dinámico importancia para las organizaciones del sector divulgado, impulsado por mandatos federales que requieren que las agencias adopten arquitecturas de confianza cero al final del año fiscal 2024. NDR juega un papel fundamental en permitir la confianza de cero al proporcionar una visibilidad de red fundacional que requieren modelos de confianza cero.
Cubo que Zero Trust asume que ya se ha producido una violación, NDR ofrece un monitoreo en tiempo vivo de todas las comunicaciones de la red, admite la firmeza de identidad y llegada, y elimina los puntos ciegos que pierden las herramientas de seguridad tradicionales.
Proporcionar evidencia de atribución
Para las agencias de seguridad franquista, comprender quién está detrás de un ataque a menudo es tan importante como detectar el ataque en sí. NDR proporciona datos forenses ricos que ayudan a los analistas a identificar tácticas, técnicas y procedimientos (TTP) asociados con actores de amenazas específicos, respaldando los esfuerzos de atribución.
La plataforma captura comunicaciones detalladas de la red, patrones de conexión y uso de infraestructura de comando y control que forman huellas digitales de comportamiento únicas para diferentes grupos adversarios, lo que permite a las agencias correlacionar los incidentes actuales con inteligencia histórica de amenazas.
Hilos comunes en todas las industrias
A pesar de sus diferentes prioridades, surgen varios temas comunes en estos sectores:
- El valía de la verdad de la red de red: Todas las industrias reconocen que el tráfico de red proporciona un registro objetivo de actividad que los atacantes luchan por falsificar o borrar.
- Enfoque de seguridad complementario: Las organizaciones en todos los sectores implementan NDR inmediato con EDR y SIEM, reconociendo que las diferentes tecnologías de seguridad se destacan en la detección de diferentes tipos de amenazas.
- Descomposición de tráfico oculto: A medida que el oculto se vuelve omnipresente, todas las industrias valoran la capacidad de NDR para proporcionar datos detallados y detección de amenazas para comunicaciones encriptadas, incluso cuando el descifrado no es una opción viable.
- Soporte para sistemas heredados: Cada sector se base en NDR para monitorear los sistemas donde los agentes no pueden implementarse oportuno a limitaciones operativas, época o naturaleza propietaria.
A medida que las amenazas cibernéticas continúan evolucionando en sofisticación, el papel de NDR en las arquitecturas de seguridad probablemente continuará creciendo. La capacidad de la tecnología para proporcionar visibilidad en diversos entornos al tiempo que detectan indicadores sutiles de compromiso hace que sea particularmente valiosa para las organizaciones que protegen la infraestructura crítica y los datos confidenciales.
Para los equipos de seguridad que evalúan las soluciones NDR, comprender estos casos de uso específicos de la industria puede ayudar a indicar las estrategias de implementación y respaldar que la tecnología aborde los desafíos de seguridad particulares de su ordenamiento. Para obtener más información sobre la plataforma Open NDR de Corelight, visite corelight.com.
