La detección y respuesta de red (NDR) es un tipo de tecnología de ciberseguridad que utiliza métodos no basados en firmas, como la inteligencia artificial, el machine learning y el análisis del comportamiento, para detectar actividades sospechosas o maliciosas en la red y responder a amenazas cibernéticas. 

NDR evolucionó a partir del análisis del tráfico de red (NTA), una tecnología desarrollada originalmente para extraer modelos del tráfico de red a partir de datos de tráfico de red sin procesar. Teniendo en cuenta que las soluciones de NTA han incorporado capacidades de análisis de comportamiento y respuesta a amenazas, el analista del sector Gartner rebautizó la categoría como NDR en 2020.

Muchas de las herramientas tradicionales de detección de amenazas (programas antivirus, sistemas de prevención y detección temprana de intrusiones o IDPS y algunos tipos de firewalls) identifican y previenen amenazas buscando indicadores únicos de compromiso (IOC) o firmas.

Una firma puede ser cualquier característica asociada con un ciberataque conocido, por ejemplo, una línea de código, hash de archivo o tamaño de archivo de una variante particular de malware, un encabezado de paquete específico o una línea de asunto de un correo electrónico de phishing o ingeniería social. Las herramientas basadas en firmas mantienen bases de datos actualizadas periódicamente de firmas conocidas y detectan amenazas escaneando la presencia de estas firmas en el tráfico de la red.

Como resultado, estas herramientas basadas en firmas evitan que amenazas conocidas entren o acechen en la red. Pero no pueden detectar amenazas o malware nuevos, desconocidos o emergentes. Y también les cuesta identificar amenazas sin firmas, como:

• Piratas informáticos que utilizan credenciales robadas para acceder a la red.
• Ataques de correo electrónico empresarial comprometido (BEC) en los que los hackers suplantan o secuestran la cuenta de correo electrónico de un ejecutivo.
• Empleados que participan en comportamientos arriesgados involuntariamente, como guardar datos de la empresa en una unidad USB personal o hacer clic en enlaces de correos electrónicos hacia sitios web maliciosos.
  

El ransomware y otras amenazas persistentes avanzadas explotan estos puntos ciegos para colarse en las redes, llevar a cabo tareas de reconocimiento, escalar privilegios y esperar el momento adecuado para lanzar un ataque. 

Si bien las herramientas basadas en firmas son principalmente preventivas, NDR adopta una estrategia de respuesta dinámica ante las amenazas de red. En lugar de buscar firmas conocidas, las soluciones NDR monitorizan y analizan el tráfico y la actividad de la red en tiempo real para identificar cualquier actividad sospechosa, fuera o dentro de la red, que pueda indicar una amenaza cibernética conocida o desconocida.

Las soluciones NDR logran esto mediante lo siguiente:

Modelado del comportamiento de referencia de la red. Las soluciones NDR consumen datos y metadatos de actividad de red sin procesar procedentes de sensores dedicados y agentes de aplicación en toda la red, y de infraestructuras de red como firewalls y enrutadores. Luego, las herramientas NDR aplican el análisis de comportamiento, la IA y el machine learning a los datos para generar un modelo de referencia del comportamiento y la actividad normal de la red. 

Detección de actividades sospechosas y potencialmente maliciosas. NDR monitoriza la red continuamente y utiliza las mismas capacidades de análisis e IA para identificar desviaciones del comportamiento de referencia en tiempo real. Por ejemplo, un usuario que accede a datos confidenciales fuera del horario laboral, un endpoint que se comunica con un servidor externo desconocido o un puerto que recibe paquetes de datos inusuales.

Debido a que las soluciones NDR monitorizan el tráfico de red tanto de norte a sur (salida y entrada) como de este a oeste (interno), pueden detectar y rastrear el movimiento lateral de amenazas, un comportamiento común de usuarios internos negligentes y amenazas avanzadas. Algunas soluciones NDR incluyen capacidades para detectar amenazas ocultas en el tráfico cifrado.

NDR también puede generar modelos de comportamiento de amenazas mediante la correlación de datos procedentes de fuentes de inteligencia de amenazas, el marco MITRE ATT&CK y otras fuentes de datos sobre tácticas, técnicas y procedimientos (TTP) de ciberdelincuentes. Estos modelos ayudan a la solución NDR a separar las señales del ruido, es decir, a distinguir entre probables ciberataques y actividades inusuales pero inofensivas o "falsos positivos".

Automatización y herramientas de respuesta a incidentes. Cuando una solución NDR detecta un ciberataque o un comportamiento que podría indicar un ciberataque, puede hacer lo siguiente:

• Priorizar y enviar alertas al equipo de seguridad o o al centro de operaciones de seguridad (SOC) en tiempo real.
• Automatizar la respuesta a las incidencias. Las soluciones NDR pueden tomar medidas automáticamente (como cortar una conexión de red sospechosa) para interrumpir o detener un ataque en el momento en que se está produciendo. NDR también puede aprovechar la integración con otras herramientas de seguridad para activar la respuesta a incidentes. Por ejemplo, podría hacer que el sistema SOAR (orquestación, automatización y respuesta de seguridad) de una organización ejecute una guía de estrategias de respuesta predefinida.
• Optimizar las investigaciones de amenazas. Las soluciones NDR proporcionan datos contextuales y funcionalidades que los equipos de seguridad y los SOC pueden utilizar para acelerar las investigaciones de amenazas en curso y las investigaciones proactivas o amenazas desconocidas o no detectadas (lo que se conoce como búsqueda de amenazas).

Hoy en día, las redes empresariales están muy descentralizadas y expandidas, y conectan instalaciones y centros de datos en la nube, hardware, software, dispositivos IoT y cargas de trabajo. Para obtener una visibilidad total de estas redes distribuidas e interconectadas, los SOC a menudo dependen de NDR junto con otras soluciones de seguridad como parte de su estrategia de seguridad en la nube. 

Por ejemplo, NDR es uno de los tres pilares de la tríada de visibilidad SOC de Gartner, junto con la detección y respuesta de endpoints o EDR y la gestión de eventos e información de seguridad (SIEM). EDR es un software diseñado para proteger automáticamente a los usuarios finales, los endpoints y los activos de TI de una organización contra ciberamenazas que eluden los programas antivirus y otras herramientas tradicionales de seguridad de endpoints. Proporciona una vista "a nivel del suelo" de la actividad que se produce en endpoints individuales y que complementa la "vista aérea" del tráfico de red que proporciona NDR. SIEM combina y correlaciona datos de eventos y registros relacionados con la seguridad procedentes de herramientas de seguridad dispares y otras fuentes en la red (servidores, aplicaciones, dispositivos). Las herramientas NDR pueden transmitir datos y análisis del tráfico de red a un SIEM, lo que contribuye aún más al valor de SIEM para los flujos de trabajo de seguridad y cumplimiento normativo.

Desde no hace mucho, los SOC están adoptando soluciones avanzadas de detección y respuesta (XDR). XDR integra herramientas de ciberseguridad en toda la infraestructura de TI híbrida de una organización (endpoints, redes, cargas de trabajo en la nube y más) para que puedan interoperar y coordinarse en la prevención, detección y respuesta a ciberamenazas. Muchas soluciones XDR incorporan capacidades NDR; las soluciones XDR abiertas pueden utilizar las capacidades NDR que una organización ya tiene implementadas.