¿Qué es la detección y respuesta de red (NDR)?

Autores

Annie Badman

Staff Writer

IBM Think

Matthew Kosinski

Staff Editor

IBM Think

¿Qué es NDR?

La detección y respuesta de red (NDR) es un tipo de tecnología de ciberseguridad que utiliza métodos no basados en firmas, como la inteligencia artificial, el machine learning y el análisis del comportamiento, para detectar actividades sospechosas o maliciosas en la red y responder a ciberamenazas.

La NDR evolucionó a partir del análisis del tráfico de red (NTA), una tecnología desarrollada originalmente para extraer modelos de tráfico de red a partir de datos brutos de tráfico de red. A medida que las soluciones de NTA añadieron capacidades de análisis del comportamiento y respuesta a las amenazas, los analistas del sector de Gartner cambiaron el nombre de la categoría por el de "detección y respuesta en red" en 2020.

Por qué es importante la NDR

Las redes son la base del mundo conectado actual y los principales objetivos de los actores de amenazas.

Tradicionalmente, las organizaciones confiaban en herramientas de detección de amenazas como software antivirus, sistemas de detección de intrusiones (IDS) y firewalls para garantizar la seguridad de la red.

Muchas de estas herramientas utilizan un enfoque de detección basado en firmas, que identifica las amenazas al comparar los indicadores de compromiso (IOC) con una base de datos de firmas de ciberamenazas.

Una firma puede ser cualquier característica asociada con un ciberataque conocido, como una línea de código de una cepa particular de malware o una línea de asunto de correo electrónico de phishing específica. Las herramientas basadas en firmas monitorizan las redes en busca de firmas descubiertas previamente y generan alertas cuando las encuentran.

Aunque son eficaces para bloquear las ciberamenazas conocidas, las herramientas basadas en firmas tienen dificultades para detectar las amenazas nuevas, desconocidas o emergentes. También les cuesta detectar amenazas que carecen de firmas únicas o que se asemejan a comportamientos legítimos, como:

  • Hackers que utilizan credenciales robadas para acceder a la red.

  • Ataques de correo electrónico empresarial (BEC), en los que los hackers se hacen pasar por la cuenta de correo electrónico de un ejecutivo o la secuestran

  • Los empleados incurren involuntariamente en conductas de riesgo, como guardar datos de la empresa en una unidad USB personal o pulsar en enlaces de correo electrónico maliciosos.

Las bandas de ransomware y otras amenazas avanzadas y persistentes pueden aprovechar estas brechas de visibilidad para infiltrarse en las redes, realizar tareas de vigilancia, escalar privilegios y lanzar ataques en los momentos oportunos.

NDR puede ayudar a las organizaciones a llenar los vacíos dejados por las soluciones basadas en firmas y proteger las redes modernas y cada vez más complejas.

Mediante el uso de análisis avanzados, machine learning y análisis de comportamiento, NDR puede detectar incluso amenazas potenciales sin firmas conocidas. De esta manera, NDR proporciona una capa de seguridad en tiempo real, lo que ayuda a las organizaciones a detectar vulnerabilidades y ataques que otras herramientas de seguridad podrían pasar por alto.

Boletín de Think

¿Su equipo detectaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprenda rápidamente de tutoriales de expertos y artículos explicativos, directamente en su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/es-es/privacy

¿Cómo funcionan las herramientas NDR?

Las soluciones de detección y respuesta de redes adoptan un enfoque proactivo y de respuesta dinámica para gestionar las amenazas de red. Las herramientas de NDR monitorizan y analizan continuamente la actividad de la red y los patrones de tráfico en tiempo real para identificar actividades sospechosas que puedan indicar una ciberamenaza.

La detección de amenazas con una solución NDR suele implicar estos cinco pasos:

  1. Recopilar datos
  2. Establecer una línea base de comportamiento de red
  3. Monitorizar la actividad maliciosa
  4. Responder a incidentes
  5. Refinar con el tiempo
1. Recopilar datos

Las soluciones NDR ingieren datos y metadatos de tráfico de red sin procesar a través de la telemetría, la práctica de utilizar la automatización para recopilar y transmitir datos de fuentes remotas.

Las herramientas NDR suelen recopilar datos de endpoints, infraestructura de red, firewalls y otras fuentes para obtener una visión integral de la red. Los datos recopilados pueden incluir datos de paquetes de red, datos de flujo y datos de registro.
2. Establecer una línea de base de comportamiento de la red

Las herramientas NDR utilizan análisis de comportamiento, IA y machine learning para evaluar los datos y establecer un modelo de referencia del comportamiento y la actividad normales de la red.
3. Monitorizar la actividad maliciosa

Después de establecer una línea de base, el sistema monitoriza continuamente el tráfico de red en tiempo real. La NDR compara la actividad actual de la red con esa línea de base para detectar desviaciones que podrían indicar la exfiltración de datos y otras amenazas potenciales.

Tales desviaciones podrían incluir intentos de acceso no autorizados, transferencias de datos inusuales, patrones de inicio de sesión anómalos (como acceder a los datos fuera del horario habitual) o comunicaciones con servidores web desconocidos.
4. Responder a incidentes

Al detectar actividad sospechosa, las soluciones NDR alertan a los equipos de seguridad para que actúen. Algunas herramientas NDR también pueden tomar medidas automatizadas para mitigar la amenaza. Estas respuestas automáticas pueden incluir el bloqueo de direcciones IP malintencionadas, el aislamiento de los dispositivos comprometidos o la limitación del tráfico sospechoso para evitar más daños.
5. Refinar con el tiempo

Los sistemas NDR adaptan continuamente sus modelos de actividad de red incorporando los comentarios de las amenazas y respuestas detectadas. También integran las aportaciones de los analistas de seguridad y las fuentes de inteligencia de amenazas. Este perfeccionamiento continuo mejora la precisión y la eficacia de las herramientas NDR para detectar y responder a amenazas nuevas y en evolución.

Beneficios de NDR

Las soluciones NDR ofrecen una gama de capacidades que pueden proporcionar ventajas sobre las herramientas tradicionales de detección de amenazas basadas en firmas. Estas capacidades incluyen: 

Capacidades de detección de amenazas en tiempo real

Las soluciones NDR proporcionan monitorización y análisis en tiempo real, lo que permite una identificación y respuesta más rápidas a posibles amenazas. Algunas herramientas de NDR también pueden priorizar y generar alertas a los equipos de seguridad o a los centros de operaciones de seguridad (SOC) según la gravedad potencial de la amenaza.

Visibilidad completa en el perímetro y dentro de la red

La NDR puede ofrecer visibilidad de todas las actividades de red en las instalaciones y en entornos de nube híbrida. Esta visibilidad integral puede ayudar a las organizaciones a interceptar más incidentes de seguridad.

Dado que las soluciones NDR monitorizan tanto el tráfico de red norte-sur (salida y entrada) como el este (interno), pueden detectar tanto intrusiones en el perímetro de la red como en el movimiento lateral dentro de la red. La capacidad de detectar anomalías dentro de la red puede ayudar a NDR a detectar amenazas avanzadas al acecho. Algunas herramientas de NDR también pueden detectar amenazas que se ocultan en el tráfico cifrado.

Análisis de amenazas impulsado por IA

NDR aprovecha la IA y los algoritmos avanzados de machine learning para analizar los datos de la red, identificar patrones y detectar posibles amenazas, incluidas amenazas previamente desconocidas que las herramientas tradicionales a menudo pasan por alto.

Respuesta automatizada a incidentes

Algunas soluciones NDR cuentan con capacidades de respuesta automatizada, como la terminación de una conexión de red sospechosa, que pueden detener un ataque en el momento en que se está produciendo. Las herramientas NDR también pueden integrarse con otras herramientas de seguridad para ejecutar planes de respuesta a incidentes más complejos. Por ejemplo, tras detectar una amenaza, una NDR podría solicitar a una plataforma de orquestación, automatización y respuesta de seguridad (SOAR) que ejecute una guía de estrategias de respuesta predefinido.

Integración con inteligencia de amenazas

Muchas herramientas NDR pueden integrarse con fuentes de inteligencia de amenazas y bases de datos, como el marco MITRE ATT&CK . Estas integraciones pueden mejorar los modelos de comportamiento y mejorar la precisión de la detección de amenazas. Como resultado, las herramientas NDR pueden ser menos propensas a falsos positivos.

Búsqueda de amenazas

Las soluciones de NDR proporcionan datos contextuales y funcionalidades que los equipos de seguridad pueden utilizar para actividades de búsqueda de amenazas que buscan de forma proactiva amenazas no detectadas anteriormente.

Posibles inconvenientes de NDR

A pesar de sus ventajas, las soluciones NDR no están exentas de limitaciones. Algunas debilidades comunes de las actuales herramientas NDR pueden incluir:

Complejidad y coste

Las herramientas NDR pueden requerir una inversión significativa en hardware, software y personal de ciberseguridad. Por ejemplo, la configuración inicial puede implicar la implementación de sensores en los segmentos de la red y la inversión en un almacenamiento de datos de alta capacidad para grandes volúmenes de datos de tráfico de red.

Problemas de escalabilidad

Escalar las soluciones NDR para redes en crecimiento puede ser un desafío. El aumento del flujo de datos puede agotar los recursos y crear cuellos de botella, lo que hace que las soluciones de detección y respuesta a las amenazas sean menos eficaces en las grandes empresas.

Falsos positivos

Las herramientas de NDR pueden generar muchos falsos positivos y abrumar a los equipos de seguridad con fatiga por alertas. Incluso las más mínimas desviaciones de los patrones normales pueden marcarse como sospechosas, lo que lleva a una pérdida de tiempo y potencialmente a pasar por alto amenazas reales.

Preocupaciones regulatorias y de privacidad

La monitorización continua del tráfico de red, incluidas las comunicaciones cifradas, puede plantear problemas de privacidad. El incumplimiento de las regulaciones como el Reglamento General de Protección de Datos (RGPD) y el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) pueden dar lugar a multas y sanciones pronunciadas.

NDR y otras soluciones de seguridad

Las redes empresariales actuales son descentralizadas y expansivas, y conectan centros de datos, hardware, software, dispositivos IoT y cargas de trabajo tanto en las instalaciones como en entornos de nube.

Las organizaciones y sus centros de operaciones de seguridad (SOC) necesitan un sólido conjunto de herramientas para obtener una visibilidad completa de estas complejas redes. Cada vez recurren más a una combinación de NDR con otras soluciones de seguridad.

Por ejemplo, NDR es uno de los tres pilares de la tríada de visibilidad SOC de Gartner, junto con la detección y respuesta de endpoints (EDR) y la gestión de eventos de seguridad (SIEM).

  • La EDR es un software diseñado para proteger automáticamente a los usuarios finales, los dispositivos finales y los activos de TI de una organización contra las ciberamenazas. Mientras que la NDR proporciona una "vista aérea" del tráfico de la red, el EDR puede proporcionar una vista complementaria "a ras de suelo" de la actividad en puntos finales individuales.

  • SIEM combina y correlaciona datos de registros y eventos relacionados con la seguridad de herramientas de seguridad y fuentes de red dispares, como servidores, aplicaciones y dispositivos. Las herramientas NDR pueden complementar estos esfuerzos mediante la transmisión de sus datos y análisis de tráfico de red a los sistemas SIEM, lo que mejora la seguridad del SIEM y la eficacia del cumplimiento normativo.

Últimamente, los SOC también han adoptado soluciones de detección y respuesta extendidas (XDR). XDR integra herramientas de ciberseguridad en toda la infraestructura de TI híbrida de una organización, incluidos endpoints, redes y cargas de trabajo en la nube. Muchos proveedores de XDR incluyen capacidades NDR, mientras que las soluciones XDR abiertas pueden aprovechar las capacidades NDR existentes de una organización, adaptándose a los flujos de trabajo de seguridad existentes.
Soluciones relacionadas
Soluciones de seguridad para la empresa

Transforme su programa de seguridad con las soluciones del mayor proveedor de seguridad empresarial.

 Explore las soluciones de ciberseguridad
Servicios de ciberseguridad

Transforme su negocio y gestione el riesgo con servicios de consultoría de ciberseguridad, nube y seguridad gestionada.

         Explore los servicios de ciberseguridad
    Ciberseguridad de la inteligencia artificial (IA)

    Mejore la velocidad, la precisión y la productividad de los equipos de seguridad con soluciones de ciberseguridad basadas en IA.

         Explore la ciberseguridad de la IA
    Dé el siguiente paso

    Utilice las soluciones de detección y respuesta a amenazas de IBM para reforzar su seguridad y acelerar la detección de amenazas.

     

         Explore las soluciones de detección de amenazas Explore IBM Verify