17.3 C
Madrid
viernes, octubre 24, 2025
spot_img
spot_img
InicioCiberseguridad
Ciberseguridad

Por qué los mejores equipos de SOC están cambiando a la detección y respuesta de la red

Por Conectamentado
15
Por qué los mejores equipos de SOC están cambiando a la detección y respuesta de la red

Los equipos del Centro de Operaciones de Seguridad (SOC) se enfrentan a un desafío fundamentalmente nuevo: las herramientas tradicionales de ciberseguridad no están detectando a los adversarios avanzados que se han convertido en expertos en sortear las defensas basadas en puntos finales y los sistemas de detección basados ​​en la firma. La ingenuidad de estos «intrusos invisibles» es impulsar una carencia significativa de un enfoque de múltiples capas para detectar amenazas, incluidas las soluciones de detección de redes y respuesta (NDR).

El problema invisible del intruso

Imagine que su red se ha trillado comprometida, no hoy o ayer, sino hace meses. A pesar de sus importantes inversiones en herramientas de seguridad que se ejecutan 24/7, un adversario liberal se ha movido en silencio a través de sus sistemas, evitando cuidadosamente la detección. Han robado credenciales, establecido traseros y exfiltrado datos confidenciales, todo mientras que sus paneles no mostraron ausencia más que verde.

Este decorado no es hipotético. El tiempo promedio de permanencia para los atacantes, el período entre el compromiso y la detección iniciales, todavía se cierne cerca de de 21 días en muchas industrias, y algunas infracciones permanecen sin descubrir durante primaveras.

«Escuchamos esta historia repetidamente de los equipos de seguridad», dice Vince Stoffer, CTO de campo de Corelight, el proveedor de soluciones NDR de más rápido crecimiento. «Instalan una posibilidad NDR e inmediatamente descubren problemas básicos de visibilidad de la red o actividades sospechosas que no han sido descubiertas en sus redes durante meses, a veces primaveras.

El problema radica en cómo operan los atacantes modernos. Los actores de amenaza sofisticada de hoy no dependen del malware con firmas o comportamientos conocidos que desencadenan alertas de punto final. En cambio, ellos:

  • Utilice técnicas de vida de la tierra, aprovechando herramientas legítimas del sistema como PowerShell
  • Moverse lateralmente a través de redes utilizando credenciales robadas pero válidas
  • Comunicarse a través de canales cifrados
  • Cronometrar cuidadosamente sus actividades para combinar con las operaciones comerciales normales
  • Explotar relaciones de confianza entre sistemas
LEER  La vulnerabilidad de Apache Tomcat explotó activamente solo 30 horas después de la divulgación pública

Estas técnicas se dirigen específicamente a los puntos ciegos en los enfoques de seguridad tradicionales centrados en indicadores conocidos de compromiso. La detección basada en la firma y el monitoreo de puntos finales simplemente no estaban diseñados para atrapar a los adversarios que operan principalmente en el interior de procesos legítimos y sesiones autenticadas.

¿Cómo puede NDR invadir a estos intrusos invisibles y ayudar a los equipos de seguridad a recuperar el control de sus sistemas?

¿Qué es la detección y respuesta de la red?

NDR representa una progreso en el monitoreo de seguridad de red que va más allá de los sistemas de detección de intrusos tradicionales y complementa la pila de seguridad más amplia. En su núcleo, las soluciones NDR capturan y analizan el tráfico de redes y metadatos en bruto para detectar actividades maliciosas, anomalías de seguridad y violaciones de protocolo que otras herramientas de seguridad podrían perderse.

A diferencia de las herramientas de seguridad de red heredadas que se basaban principalmente en firmas de amenazas conocidas, Modern NDR incorpora una táctica de detección de varias capas:

  • Estudio de comportamiento para identificar patrones inusuales en el tráfico de redes
  • Modelos de enseñanza obligatorio que establecen líneas de colchoneta y desviaciones de bandera
  • Estudio de protocolo que comprende las «conversaciones» que ocurren entre los sistemas
  • Integración de inteligencia de amenazas para identificar indicadores maliciosos conocidos
  • Capacidades analíticas avanzadas para la caza de amenazas retrospectivas

El punto «respuesta» es igualmente importante. Las plataformas NDR proporcionan datos forenses detallados para las investigaciones y, a menudo, incluyen capacidades para acciones de respuesta automatizadas o guiadas para contener amenazas rápidamente.

Por qué los equipos de SOC están adoptando NDR

El cambio alrededor de NDR proviene de varios cambios fundamentales en el panorama de seguridad que han transformado la forma en que las organizaciones abordan la detección de amenazas.

1. Surfaces de ataque en rápida expansión y diversificación

Los entornos empresariales modernos se han vuelto exponencialmente más complejos con la admisión de nubes, contenedores, proliferación de IoT y modelos de trabajo híbridos. Esta expansión ha creado desafíos de visibilidad críticos, particularmente para el movimiento colateral en los entornos (tráfico este-oeste) que las herramientas tradicionales centradas en el perímetro pueden perderse. NDR proporciona una visibilidad integral y normalizada en estos diversos entornos, unificando el monitoreo de las instalaciones, la cirro e infraestructura de múltiples nubes bajo un solo paraguas analítico.

LEER  Cisco confirma exploits activos dirigidos a fallas de ISE que habilitan el acceso a la raíz no autenticado

2. Transformación tecnológica centrada en la privacidad

La admisión generalizada del secreto ha cambiado fundamentalmente el monitoreo de seguridad. Con más del 90% del tráfico web ahora encriptado, los enfoques de inspección tradicionales se han vuelto ineficaces. Las soluciones NDR avanzadas han evolucionado para analizar los patrones de tráfico cifrados sin descifrado, manteniendo la visibilidad de seguridad al tiempo que respeta la privacidad a través del estudio de metadatos, las huellas dactilares JA3/JA3S y otras técnicas que no requieren el secreto de ruptura.

3. Proliferación de dispositivos inmanejables

La golpe de dispositivos conectados, desde sensores de IoT hasta tecnología operativa, ha creado entornos donde la seguridad tradicional basada en agentes no es ejercicio o increíble. El enfoque sin agente de NDR proporciona visibilidad en dispositivos donde las soluciones de punto final no se pueden implementar, abordando los puntos ciegos de seguridad que dominan cada vez más las redes modernas a medida que los tipos de dispositivos se multiplican más rápido de lo que los equipos de seguridad pueden administrarlos.

4. Enfoque de detección complementaria

Los equipos de SOC han obligado que diferentes tecnologías de seguridad se destacan en la detección de diferentes tipos de amenazas. Si adecuadamente EDR sobresale en la detección de actividades de nivel de proceso en puntos finales administrados, NDR monitorea el tráfico de la red para un registro objetivo de comunicaciones que es difícil para los atacantes manipular o borrar. Si adecuadamente se pueden alterar los registros y la telemetría de punto final se puede deshabilitar, las comunicaciones de red deben ocurrir para que los atacantes logren sus objetivos. Esta calidad de «verdad fundamental» hace que los datos de la red sea particularmente valiosos para la detección de amenazas e investigaciones forenses. Este enfoque complementario cierra las brechas de visibilidad crítica que los atacantes explotan.

5. Crisis de la fuerza sindical de ciberseguridad

La escasez entero de profesionales de la seguridad (estimados en más de 3.5 millones de puestos no cubiertos) ha impulsado a las organizaciones a adoptar tecnologías que maximicen la efectividad del analista. NDR ayuda a invadir esta brecha de talento proporcionando detecciones de ingreso fidelidad con un contexto rico que reduce la trabajo alerta y aceleran los procesos de investigación. Al consolidar actividades relacionadas y proporcionar puntos de presencia integrales de posibles secuencias de ataque, NDR reduce la carga cognitiva en los equipos de seguridad ya estirados, lo que les permite manejar más incidentes con el personal existente.

LEER  Dos Botnets distintos explotan la vulnerabilidad del servidor Wazuh para lanzar ataques basados ​​en Mirai

6. Landscape regulatorio en progreso

Las organizaciones enfrentan requisitos de cumplimiento cada vez más estrictos con plazos de informes más cortos. Las regulaciones como GDPR, CCPA, NIS2 y los marcos específicos de la industria exigen una notificación rápida de incidentes (a menudo en el interior de 72 horas o menos) y requieren evidencia forense detallada. Las soluciones NDR proporcionan los senderos de auditoría integrales y los datos forenses necesarios para cumplir con estos requisitos, permitiendo a las organizaciones demostrar la diligencia debida y proporcionar la documentación requerida para los informes regulatorios. Estos datos además son críticos para ayudar al equipo de seguridad a afirmar con confianza que la amenaza ha sido completamente contenida y mitigada y para comprender el seguro radio y la escalera de lo que los atacantes tocaron cuando estaban en el interior de la red.

El futuro de NDR

A medida que más organizaciones reconocen las limitaciones de los enfoques de seguridad tradicionales, la admisión de NDR continúa acelerando. Si adecuadamente la innovación de NDR se está moviendo rápidamente para mantenerse por delante de los atacantes, las capacidades críticas para cualquier posibilidad NDR deben incluir:

  • Soluciones nativas de la cirro que proporcionan visibilidad en entornos de múltiples nubes
  • Integración con plataformas SOAR (orquestación de seguridad, automatización y respuesta) para flujos de trabajo simplificados
  • Capacidades analíticas avanzadas para la caza de amenazas proactivas
  • Arquitecturas abiertas que facilitan la integración con ecosistemas de seguridad más amplios

Para los equipos de SOC que se ocupan de amenazas cada vez más complejas, NDR se ha convertido solo en otra útil de seguridad, sino además en una capacidad fundamental que proporciona la visibilidad necesaria para detectar y replicar a los atacantes sofisticados de hoy. Si adecuadamente ninguna tecnología única puede resolver todos los desafíos de seguridad, NDR aborda puntos ciegos críticos que han sido explotados repetidamente en infracciones importantes.

A medida que las superficies de ataque continúan expandiéndose y los adversarios se vuelven más creativos en la forma en que se infiltran en un entorno seguro, la capacidad de ver y comprender las comunicaciones de la red se ha vuelto esencial para las organizaciones serias sobre la seguridad. La red, a posteriori de todo, no miente, y esa verdad se ha vuelto invaluable en una era en la que el simulación es la táctica principal de un atacante.

CoreLight proporciona a los defensores de élite de todas las formas y tamaños con las herramientas y capital que necesitan para asegurar la visibilidad integral de la red y las capacidades avanzadas de NDR, basadas en la plataforma de monitoreo de red Zeek de código franco. Visite corelight.com para obtener más información.

spot_img
Artículo anterior
¿Cuánta energía usa un solo mensaje de chatbot? Esta herramienta de IA puede mostrarte
Artículo siguiente
Synaptics presenta la familia First Vera-Fi 7 a medida para el IoT
Conectamentado
Conectamentadohttps://conectamentado.com

Artículos relacionados

spot_img

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Últimos artículos

Cargar más

Bienvenido a Conectamentado, tu fuente confiable de noticias y tendencias en el mundo de la tecnología. Nos dedicamos a ofrecer información actualizada y análisis profundos sobre los avances más relevantes del sector, manteniéndote siempre al día con la evolución digital.

© 2025 Todos los derechos reservados, Protegido por Conectamentado