Con la difusión de BYOD, Internet de las cosas (IoT) y la migración de activos de TI a la nube, la infraestructura actual está evolucionando mucho más allá del perímetro, desafiando las herramientas de seguridad de endpoint.
Los ataques cibernéticos a menudo logran eludir la protección del perímetro, eludir la seguridad del endpoint, producir múltiples falsos positivos y esconderse en puntos ciegos de visibilidad de la red.
Es por eso que los equipos de seguridad recurren a un modelo de seguridad que amplía la gestión de registros y la protección de terminales con herramientas de detección y respuesta de red. Conocido como la tríada de visibilidad del SOC (Centro de operaciones de seguridad), este enfoque compensa las debilidades de sus partes individuales (EDR, NDR, SIEM) y proporciona una visibilidad completa de los entornos de TI complejos.
La tríada de visibilidad SOC es un concepto creado por Anton Chuvakin en Gartner, que postula que implementar herramientas de seguridad complementarias que compensen las deficiencias de cada una reducirá significativamente las posibilidades de un atacante de lograr sus objetivos.
La Tríada se compone de tres pilares:
EDR para seguridad de endpoint.
SIEM para el procesamiento de registros y eventos correlacionados,
NDR para análisis de comportamiento desde una perspectiva de red.
Según Gartner , la principal razón para crear este nuevo concepto de visibilidad es:
La creciente sofisticación de las amenazas requiere que las organizaciones utilicen múltiples fuentes de datos para la detección y respuesta a amenazas. Las tecnologías basadas en red permiten a los profesionales técnicos obtener una visibilidad rápida de las amenazas en todo un entorno sin utilizar agentes.
EDR - Endpoint Detection and Response
O EDR (Detección y respuesta de endpoint) es una tecnología de seguridad predominantemente orientada al comportamiento que se enfoca en detectar actividad maliciosa que ocurre directamente en un punto final (servidor, computadora de escritorio, computadora portátil, etc.).
Es una solución que combina la recopilación de datos de punto final y el monitoreo de amenazas en tiempo real con capacidades de análisis y remediación automatizadas, lo que brinda protección de día cero.
Sin embargo, por sí solo, EDR no es una solución completamente escalable. Con más datos y visibilidad, EDR a menudo requiere tiempo, dinero, ancho de banda y una fuerza laboral altamente calificada para lograr la visibilidad completa requerida.
SIEM - Security Information and Event Management
O SIEM (Información de Seguridad y Gestión de Eventos)tiene sus fortalezas y beneficios, pero también tiene algunas debilidades cuando se trata de lidiar con amenazas de seguridad avanzadas. El método se basa principalmente en mecanismos de registro para detectar amenazas y vulnerabilidades. El problema es que ciertas vulnerabilidades del sistema rara vez aparecen en los registros. Además, ciertas tecnologías y sistemas no permiten ni admiten la recopilación de registros.
Si bien una solución SIEM moderna es una buena herramienta para una primera línea de defensa de la red, debe complementarse con una capa adicional de seguridad. Cada SIEM es tan poderoso como su fuente de datos. Sin feeds confiables y cobertura suficiente, SIEM pierde su efectividad.
NDR - Network Detection and Response
El NDR (Detección y respuesta de red)complementa el análisis de registros que realiza una solución SIEM. Lo hace correlacionando las amenazas detectadas con la actividad de la red, cubriendo así las brechas de registro (potenciales). NDR proporciona los datos de red críticos que SIEM necesita para agregar contexto a las diversas amenazas y vulnerabilidades que detecta.
La combinación de la moderna tecnología SIEM y NDR le permite utilizar datos de una amplia variedad de fuentes. ¿El resultado? Mejor visibilidad de la red, análisis más completos y la capacidad de responder más rápidamente a posibles amenazas e infracciones de seguridad. NDR lo ayuda a aumentar el alcance de la protección que ofrece una solución SIEM independiente.
Visibilidad continua para encontrar indicadores de compromiso
Flowmon es uno de los pilares de la tríada de visibilidad del SOC. Hace que todo el proceso de respuesta y gestión de incidentes sea más efectivo, brindando a los expertos en seguridad una visibilidad continua de las redes mientras detecta anomalías e indicadores que apuntan a ataques de ransomware, por ejemplo. La solución de detección y respuesta de red (NDR) alerta a los administradores sobre comportamientos anormales en el tráfico de la red, lo que les brinda la capacidad de detectar ransomware antes de que se bloqueen los activos digitales, investigar el incidente y rastrear a los intrusos en todo el sistema.
Flowmon usa múltiples motores de detección, todos trabajando al mismo tiempo. Cubren una gran cantidad de escenarios al examinar la red desde varios puntos de vista. Por ejemplo, las amenazas que escaparían a la detección de las bases de datos de reputación serán reveladas por el modelo de entropía. Dado que la solución utiliza metadatos de tráfico de red para su análisis, también está bien proporcionar el mismo nivel de precisión de detección en el tráfico cifrado.
Utilice la Inteligencia Artificial y vaya un paso por delante
Flowmon es una herramienta de detección y respuesta de red (NDR) que utiliza un motor impulsado por IA combinado con varias técnicas avanzadas para detectar un ataque en curso en sus primeras etapas. Esto ayuda a aislar el problema y responder antes de que el malware comience a propagarse a través de sus activos digitales y afecte su negocio.
Entre en contacto con Internacional IT para obtener más detalles o una demostración gratuita de Flowmon en su entorno.
Descubra nuestras soluciones avanzadas, robustas y seguras NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoreo de Red, Transferencia de Archivos Gerenciados, Consultoria de TIC, Entrenamentos, Soporte de Aplicaciones, Outsourcing, Licencias Generales e Help Desk.