¿Qué es NDR?

¿Qué es NDR?

NDR (detección y respuesta de la red) es una categoría de tecnologías de ciberseguridad que utiliza métodos no basados en firmas, como IA, machine learning y análisis de comportamiento, a fin de detectar actividades sospechosas o maliciosas en la red y responder a amenazas cibernéticas.

La NDR evolucionó del análisis de tráfico de red (NTA), una tecnología desarrollada originalmente para extraer modelos de tráfico de red a partir de datos de tráfico de red sin procesar. A medida que las soluciones de NTA agregaron capacidades de análisis de comportamiento y respuesta a amenazas, los analistas de la industria de Gartner cambiaron el nombre de la categoría a “detección y respuesta de red” en 2020.

Importancia de NDR

Las redes son la base del mundo conectado actual y los principales principales objetivos de los actores de amenazas. Tradicionalmente, las organizaciones confiaban en herramientas de detección de amenazas, como el software antivirus, los sistemas de detección de intrusiones (IDS) y los cortafuegos para garantizar la seguridad de la red

Muchas de estas herramientas emplean un enfoque de detección basado en firmas, que identifica amenazas haciendo coincidir indicadores de compromiso (IOC) con una base de datos de firmas de ciberamenazas.

Una firma puede ser cualquier característica asociada con un ataque cibernético conocido, como una línea de código de una cepa particular de malware o una línea de asunto específica de correo electrónico de phishing. Las herramientas basadas en firmas monitorean las redes en busca de estas firmas previamente descubiertas y generan alertas cuando las encuentran.

Si bien son eficaces para bloquear amenazas cibernéticas conocidas, las herramientas basadas en firmas tienen dificultades para detectar amenazas nuevas, desconocidas o emergentes. También tienen dificultades para detectar amenazas que carecen de firmas únicas o se asemejan a un comportamiento legítimo, como:

  • Atacantes cibernéticos que utilizan credenciales robadas para acceder a la red
  • Ataques de business email compromise (BEC), en los que los hackers se hacen pasar por la cuenta de correo electrónico de un ejecutivo o se apropian de ella
  • Los empleados incurren involuntariamente en comportamientos riesgosos, como guardar datos de la empresa en una unidad USB personal o hacer clic en enlaces de correo electrónico maliciosos

Las bandas de ransomware y otras amenazas persistentes avanzadas pueden aprovechar estas brechas de visibilidad para infiltrarse en redes, realizar vigilancia, escalar privilegios y lanzar ataques en los momentos oportunos.

La NDR puede ayudar a las organizaciones a subsanar las deficiencias que dejan las soluciones basadas en firmas, y proteger redes modernas y cada vez más complejas. Mediante analytics avanzados, machine learning y análisis de comportamiento, la NDR puede detectar incluso amenazas potenciales sin firmas conocidas. De esta manera, la NDR proporciona una capa de seguridad en tiempo real, lo que ayuda a las organizaciones a detectar vulnerabilidades y ataques que otras herramientas de seguridad podrían pasar por alto.

Boletín de noticias Think

¿Su equipo captaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprende rápido con tutoriales de expertos y documentos explicativos, que se envían directamente a su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su subscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/mx-es/privacy

Herramientas de NDR

Las soluciones de detección y respuesta de red adoptan un enfoque proactivo y de respuesta dinámica para gestionar las amenazas de red. Las herramientas de NDR monitorean y analizan continuamente la actividad de la red y los patrones de tráfico en tiempo real para identificar actividades sospechosas que puedan indicar una ciberamenaza.

La detección de amenazas con una solución de NDR suele implicar estos cinco pasos:

Recopilar datos

Las soluciones de NDR ingieren datos y metadatos de tráfico de red sin procesar a través de la telemetría, la práctica de emplear la automatización para recopilar y transmitir datos desde fuentes remotas.

Las herramientas de NDR a menudo recopilan datos de endpoints, infraestructura de red, cortafuegos y otras fuentes para obtener una vista completa de la red. Los datos recopilados pueden incluir datos de paquetes de red, de flujo y de registro.

Establecer una referencia del comportamiento de la red

Las herramientas de NDR emplean analytics de comportamiento, IA y machine learning para evaluar los datos y establecer un modelo de referencia del comportamiento y la actividad normales de la red.

Monitorear la actividad maliciosa

Luego de establecer una referencia, el sistema monitorea continuamente el tráfico de red en tiempo real. La NDR compara la actividad actual de la red con esa referencia para detectar desviaciones que puedan indicar la exfiltración de datos y otras amenazas potenciales.

Dichas desviaciones pueden incluir intentos de acceso no autorizados, transferencias de datos inusuales, patrones de inicio de sesión anómalos (como acceder a datos fuera del horario habitual) o comunicaciones con servidores web desconocidos.

Responder a los incidentes

Al detectar actividades sospechosas, las soluciones de NDR alertan a los equipos de seguridad para que actúen. Algunas herramientas de NDR también pueden tomar medidas automatizadas para mitigar la amenaza.

Estas respuestas automatizadas pueden incluir el bloqueo de direcciones IP maliciosas, el aislamiento de los dispositivos comprometidos o la limitación del tráfico sospechoso para evitar daños mayores.

Perfeccionar con el tiempo

Los sistemas de NDR adaptan continuamente sus modelos de actividad de red incorporando retroalimentación de las amenazas y respuestas detectadas. También integran entradas de analistas de seguridad y fuentes de inteligencia de amenazas.

Este refinamiento continuo mejora la precisión y la eficacia de las herramientas de NDR para detectar amenazas nuevas y en evolución, y responder a ellas.
Beneficios de NDR

Beneficios de NDR

Las soluciones de NDR ofrecen una gama de capacidades que pueden proporcionar beneficios con respecto a las herramientas tradicionales de detección de amenazas basadas en firmas. Estas capacidades incluyen: 

Capacidades de detección de amenazas en tiempo real

Las soluciones de NDR proporcionan monitoreo y análisis en tiempo real, lo que permite una identificación y respuesta más rápidas a posibles amenazas. Algunas herramientas de NDR también pueden priorizar y generar alertas a los equipos de seguridad o a los centros de operaciones de seguridad (SOC) en función de la gravedad potencial de la amenaza.

Visibilidad integral en el perímetro y dentro de la red

La NDR puede ofrecer visibilidad de todas las actividades de red on premises y en entornos de nube híbrida. Esta visibilidad integral puede ayudar a las organizaciones a interceptar más incidentes de seguridad.

Debido a que las soluciones de NDR monitorean tanto el tráfico de red norte-sur (salida y entrada) como este-oeste (interno), pueden detectar tanto intrusiones en el perímetro de la red como movimientos laterales dentro de esta. La capacidad de detectar anomalías dentro de la red puede ayudar a la NDR a detectar amenazas avanzadas al acecho. Algunas herramientas de NDR también pueden detectar amenazas que se ocultan en el tráfico cifrado.

Análisis de amenazas impulsado por IA

La NDR aprovecha la IA y los algoritmos avanzados de machine learning para analizar datos de red, identificar patrones y detectar amenazas potenciales, incluidas amenazas previamente desconocidas que las herramientas tradicionales suelen pasar por alto.

Respuesta automatizada a incidentes

Algunas soluciones de NDR cuentan con capacidades de respuesta automatizada, como la terminación de una conexión de red sospechosa, que pueden detener un ataque a medida que ocurre. Las herramientas de NDR también pueden integrarse con otras herramientas de seguridad para ejecutar planes de respuesta ante incidentes más complejos. Por ejemplo, luego de detectar una amenaza, una NDR podría indicar a una plataforma de orquestación, automatización y respuesta de seguridad (SOAR) que ejecute un playbook de respuesta predefinido.

Integración con inteligencia de amenazas

Muchas herramientas de NDR pueden integrarse con bases de datos y fuentes de inteligencia de amenazas, como el marco MITRE ATT&CK. Estas integraciones pueden mejorar los modelos de comportamiento y la precisión de la detección de amenazas. Como resultado, las herramientas de NDR pueden ser menos propensas a generar falsos positivos.

Búsqueda de amenazas

Las soluciones de NDR proporcionan datos contextuales y funcionalidad que los equipos de seguridad pueden usar para actividades de caza de amenazas que buscan de manera proactiva amenazas previamente no detectadas.

Inconvenientes de la NDR

A pesar de sus beneficios, las soluciones de NDR no están exentas de limitaciones. Algunas debilidades comunes de las herramientas de NDR actuales pueden incluir:

Complejidad y costo

Las herramientas de NDR pueden requerir una inversión significativa en hardware, software y personal de ciberseguridad. Por ejemplo, la configuración inicial puede implicar el despliegue de sensores en todos los segmentos de red y la inversión en almacenamiento de datos de alta capacidad para grandes volúmenes de datos de tráfico de red.

Problemas de escalabilidad

Escalar las soluciones de NDR para redes en crecimiento puede ser un desafío. El aumento en el flujo de datos puede sobrecargar los recursos y crear cuellos de botella, lo que resta eficacia a las soluciones de detección y respuesta ante amenazas en las grandes empresas.

Falsos positivos

Las herramientas de NDR pueden generar muchos falsos positivos y abrumar a los equipos de seguridad con la fatiga alerta. Incluso la más mínima desviación de los patrones normales puede ser señalada como sospechosa, con la consiguiente pérdida de tiempo y la posibilidad de pasar por alto amenazas reales.

Preocupaciones normativas y de privacidad

El monitoreo continuo del tráfico de red, incluidas las comunicaciones encriptadas, puede plantear problemas de privacidad. El incumplimiento de normativas, como el Reglamento General de Protección de Datos (RGPD) y el Payment Card Industry Data Security Standard (PCI DSS), puede dar lugar a multas y sanciones elevadas.

NDR y otras soluciones de seguridad

Las redes empresariales actuales son descentralizadas y expansivas, y conectan centros de datos, hardware, software, dispositivos IoT y cargas de trabajo tanto en entornos on premises como en la nube.

Las organizaciones y sus centros de operaciones de seguridad (SOC) necesitan un conjunto sólido de herramientas para obtener una visibilidad total de estas redes complejas. Cada vez más, confían en una combinación de NDR con otras soluciones de seguridad.

Por ejemplo, la NDR es uno de los tres pilares de la tríada de visibilidad de SOC, junto con la detección y respuesta de endpoints (EDR) y la información de seguridad y gestión de eventos (SIEM).

EDR

 

La EDR es un software diseñado para proteger automáticamente a los usuarios finales, los dispositivos endpoint y los activos de TI de una organización contra las amenazas cibernéticas. Mientras que la NDR proporciona una “vista aérea” del tráfico de red, la EDR puede proporcionar una vista complementaria “a nivel del suelo” de la actividad en endpoints individuales.

SIEM

La SIEM combina y correlaciona datos de eventos y registros relacionados con la seguridad de herramientas y fuentes de red dispares, como servidores, aplicaciones y dispositivos. Las herramientas de NDR pueden complementar estos esfuerzos mediante la transmisión de sus datos y análisis de tráfico de red a los sistemas SIEM, mejorando la seguridad de la SIEM y la eficacia del cumplimiento normativo.

 

Recientemente, los SOC también han adoptado soluciones de detección y respuesta extendidas (XDR). La XDR integra herramientas de ciberseguridad en toda la infraestructura de TI híbrida de una organización, incluidos endpoints, redes y cargas de trabajo en la nube. Muchos proveedores de XDR incluyen capacidades de NDR, mientras que las soluciones de XDR abiertas pueden aprovechar las capacidades de NDR existentes de una organización, ajustándose a los flujos de trabajo de seguridad.
Soluciones relacionadas
Soluciones de seguridad empresarial

Transforme su programa de seguridad con las soluciones del mayor proveedor de seguridad empresarial.

 Explore las soluciones de ciberseguridad
Servicios de Ciberseguridad

Transforme su negocio y gestione el riesgo con servicios de consultoría de ciberseguridad, nube y seguridad gestionada.

         Explore los servicios de ciberseguridad
    Ciberseguridad de la inteligencia artificial (IA)

    Aumente la velocidad, precisión y productividad de los equipos de seguridad con soluciones cibernéticas potenciadas por IA.

         Explorar la ciberseguridad de IA
    Dé el siguiente paso

    Utilice las soluciones de detección y respuesta a amenazas de IBM para fortalecer su seguridad y acelerar la detección de amenazas.

     

         Explorar las soluciones de detección de amenazas Explorar IBM Verify