Conecta con nosotros

Opinión

Soluciones avanzadas de seguridad: Network Detection & Response

Publicado el

Actualmente muchas organizaciones se encuentran inmersas en un proceso de transformación digital en donde ignoran los riegos existentes en el ámbito de la seguridad. 

Hospitales, compañías de seguros e incluso grandes corporaciones americanas: prácticamente cada semana conocemos un nuevo incidente de seguridad. A finales de enero la Policía Nacional volvió a advertir de un incremento en los intentos de estafas a administraciones públicas por medio de los fraudes al CEO (Chief Executive Officer) y fraudes BEC (Business Enterprise Compromise).  

Hoy en día la seguridad al 100% no existe o no podemos garantizarla. Por eso, las organizaciones deben disponer de sistemas que permitan saber qué ocurre en cada momento y disponer de una cronología del tráfico para hacer análisis forenses de la red ante un incidente de seguridad. 

Los EDR (Endpoint Detection and Response) permiten conocer el tráfico que se genera en un endpoint, pero ¿qué ocurre con los dispositivos que no son compatibles con estos EDR?

NDR: más allá del IDS

Los NDR son la evolución de los IDS (Intrusion Detection System), pero van más allá, con técnicas de nueva generación basadas en Machine Learning, que permiten la creación de una línea de base (baseline) en función del tráfico existente en la red para generar alertas cuando se detecte algún tipo de tráfico fuera de lo esperado. 

Estas soluciones han sido diseñadas para ser operadas por analistas de seguridad, a los que ayudarán en las operaciones diarias con la obtención de evidencias de comportamientos maliciosos, y les permitirá conocer qué elementos de la red se comunican con redes de comando y control, dominios maliciosos, redes TOR, etc…

Uno de los casos de uso de estas herramientas es la detección de exfiltración de datos: uno de los principales objetivos de los grupos de ciberdelincuentes en la actualidad para extorsionar o solicitar un rescate. Los NDR son la última barrera ante ataques de Día Cero (ataques nunca vistos antes) pues solo podremos detectar el comportamiento malicioso cuando se produzca un movimiento lateral desde un dispositivo comprometido o un comportamiento fuera del esperado gracias a la línea de base.

Las herramientas NDR podrán ser operadas por personal propio de las organizaciones o por personal especializado en centros dedicados a la protección de infraestructuras, como puede ser un SOC, pero cabe destacar que estas herramientas no están orientadas solo para los entornos de seguridad. Gracias a la visibilidad que ofrecen, también son de utilidad para los NOC más tradicionales, pues permiten conocer cuánto tráfico se está moviendo por la red, visualizar por medio de mapas las comunicaciones entre dos puntos de la red, o alertar si el tráfico excede o disminuye respecto del esperado. Con estas alertas se puede detectar comportamientos que herramientas de monitorización tradicionales no pueden.

Análisis de redes en tiempo real

Los NDR pueden desplegarse tanto en entornos on-premise como en entornos cloud, permitiendo ganar visibilidad y ayudando a las organizaciones con el cumplimiento de las políticas de seguridad e incluso con cumplimientos normativos. Actualmente existen diferentes fabricantes que proporcionan estas soluciones, algunos de estos fabricantes pueden llegar a incorporar la solución embebida en los propios firewalls, otros la integran en los switches, utilizándolos como sondas que analizan el tráfico que transcurre por ellos y reportándolo a una consola central, otros requieren de la instalación de sondas para el envío de copias de tráfico y otros fabricantes usan el envío de netflow a concentradores que procesan estos paquetes, procesando la información  y enviándola a una consola centralizada.

Las soluciones NDR pueden detectar toda la actividad de las redes de las organizaciones para su análisis en tiempo real o a posteriori y pueden implementarse en formato físico, en formato máquina virtual e incluso como una mezcla de ambos formatos, también existe la posibilidad de adquirir la solución con formato SaaS.

Previamente habrá que analizar en qué puntos de la red conviene instalar la solución para cubrir todas las direcciones de las comunicaciones (Norte – Sur, que atraviesan el perímetro de la red y Este – Oeste, comunicaciones laterales). Se recomienda que la copia de tráfico sea lo más cerca posible de los elementos de seguridad de la organización, como los firewalls tanto (perimetrales e internos) y del CPD, también en elementos de red que hagan el enrutado y en las comunicaciones no pasen por un firewall. Si la opción se basa en el envío de telemetría por medio de netflow, se recomienda activar este envío en el mayor número de puntos posibles de la red para asegurar la detección de los posibles flujos de comunicación. 

Con la situación actual de pandemia, la gran mayoría de las empresas han tenido que recurrir al teletrabajo para poder continuar con su operativa diaria. Las herramientas NDR nos pueden ayudar a detectar malos usos de las VPN, ya sea por parte de los usuarios de las organizaciones, o por malos usos realizados por terceras empresas que utilizan la VPN para prestar sus servicios.

Un punto también importante es el tráfico cifrado, las herramientas NDR normalmente no se encuentran en línea, sino que se realizan copias del tráfico para poder realizar un descifrado del tráfico evitando problemas de rendimiento en los elementos de la red que prestan el servicio. Del mismo modo las herramientas NDR al no estar en línea no pueden bloquear, pero sí permiten integrarse con otros dispositivos como pueden ser un NAC (Network Access Control), pudiendo mover un dispositivo infectado o comprometido a una red de cuarentena. También se puede integrar con firewalls, por medio de API que permitirán bloquear el tráfico originado o con destino un host, o la creación de nuevas reglas de seguridad debido a un flujo detectado. Destacan las integraciones con herramientas de correlación de eventos como puede ser un SIEM (Security Information and Event Management), o con herramientas de automatización, remediación y orquestación como es un SOAR (Security Orchestration, Automation and Response).

A modo de conclusión, los NDR permiten saber qué está pasando en nuestra red, conocer los flujos existentes e incluso generar alertas ante cualquier comportamiento malicioso, y es por ello que han ganado popularidad en los últimos años con un crecimiento muy notable.

Firmado:Luis De Miguel Barriga. Technology Architect en SATEC

El equipo de profesionales de MCPRO se encarga de publicar diariamente la información que interesa al sector profesional TI.

Lo más leído