Network Detection & Response (NDR) es una tecnología emergente desarrollada para cerrar las brechas de seguridad siguiendo las soluciones de seguridad convencionales que los piratas informáticos han explotado para obtener soporte en las redes de destino.

Hoy en día, las empresas utilizan una gran variedad de soluciones de seguridad para proteger sus redes de las ciberamenazas. Los más destacados son Firewalls, IPS/IDS, SIEM, EDR y XDR (que combinan las funciones de EDR y SIEM). Sin embargo, todas estas soluciones adolecen de brechas de seguridad que les impiden detener efectivamente los ataques cibernéticos avanzados.

El GDR fue desarrollado en base al Sistema de Detección de Intrusos (IDS). La solución IDS se instala en el perímetro de la red y supervisa el tráfico de la red en busca de actividades sospechosas.

Los sistemas IDS tienen muchas desventajas que los hacen ineficaces para detener los ataques cibernéticos modernos: IDS utiliza técnicas de detección basadas en firmas para detectar actividades anormales, por lo que no pueden detectar ataques desconocidos.

Además, los sistemas IDS activan una gran cantidad de alertas de seguridad. Esto da como resultado una pérdida de tiempo del equipo de seguridad y la incapacidad de investigar todas las alertas de seguridad. Finalmente, IDS no se creó para proporcionar ninguna capacidad de respuesta o investigación, por lo que no pudo responder de manera efectiva a los ataques cibernéticos en curso.

Detección y respuesta de red para extraer información del tráfico de red

El GDR fue una respuesta para mitigar las desventajas que los sistemas IDS no pueden proteger. Los sistemas GDR van más allá de la detección basada en firmas y analizan todo el tráfico de red que entra o sale de la red, creando una línea de base de la actividad normal de la red. El nivel base se utiliza posteriormente para comparar el tráfico actual con la actividad normal de la red para detectar comportamientos sospechosos.

Las soluciones GDR utilizan tecnologías avanzadas para detectar amenazas emergentes y desconocidas, como Aprendizaje automático y inteligencia artificial (IA). El uso de estas tecnologías permite a los sistemas GDR traducir la información recopilada del tráfico de la red en información útil que se utiliza para detectar y detener amenazas cibernéticas desconocidas.

La solución GDR puede ejecutarse automáticamente, independientemente de la supervisión humana, para detectar y responder a las ciberamenazas. El GDR también se puede integrar con las soluciones de seguridad existentes, como SIEM y SOAR, para una mejor detección y respuesta.

Deficiencias tradicionales de la RDA en el procesamiento de cifrado y la creciente cantidad de datos

Hasta ahora, los informes de GDR se han basado en la duplicación de tráfico, generalmente combinados con sensores de hardware para extraer información, de manera muy similar a como lo hizo el IDS. Sin embargo, hay tres jugadores que cuestionan cada vez más este enfoque:

1. Una gran parte del tráfico de Internet está encriptado, según el Informe de transparencia de Google ya el 90% del tráfico web. Por lo tanto, la duplicación de tráfico tradicional ya no puede extraer información de la carga útil y, por lo tanto, pierde eficiencia.
2. Aumento del ancho de banda y nuevas tecnologías de red que hacen que la duplicación del tráfico sea costosa o incluso imposible.
3. El cambio a redes híbridas altamente distribuidas, donde el mero análisis del tráfico en uno o dos conmutadores centrales ya no es suficiente. Es necesario monitorear muchos puntos de recolección, lo que hace que las soluciones de duplicación de tráfico sean aún más costosas de ejecutar.

Dado este desarrollo, la duplicación de red ya no es una solución de seguridad de red orientada al futuro.

ExeonTrace: una solución GDR de confianza para el futuro

ExeonTrace no requiere la duplicación del tráfico de red para detectar amenazas y descifrar el tráfico cifrado; utiliza algoritmos que no funcionan con carga útil, sino con datos de protocolo de red ligeros exportados desde la infraestructura de red existente a través de NetFlow.

Esto le permite analizar los metadatos que pasan a través de la red en muchos puntos de recopilación y descubrir canales de comunicación ocultos utilizados por actores de amenazas avanzadas como APT y ataques de ransomware.

NetFlow es un estándar abierto que permite que los dispositivos de red (como enrutadores, conmutadores o firewalls) exporten metadatos para todas las conexiones que pasan a través de ellos (red física, entorno virtualizado y entorno de nube privada, o norte-sur y este). -Capacidad de monitoreo occidental). Por lo tanto, este enfoque es óptimo para redes distribuidas que incluyen entornos de nube.

ExeonTrace La solución proporciona una vista integral de todo su entorno de TI, incluidos los servicios en la nube interconectados, los dispositivos de TI en la sombra, y puede detectar ataques que no son de malware, como amenazas internas, uso indebido de credenciales y filtrado de datos. La visibilidad completa de la red le permite controlar todo el tráfico de red que ingresa o sale de la red corporativa.

ExeonTrace no se detendrá aquí porque monitoreará todas las interacciones internas entre todos los dispositivos en su red corporativa para detectar actores de amenazas avanzados que se esconden en sus redes, como APT y Ransomware.

ExeonTrace El uso de modelos de aprendizaje automático supervisados ​​y no supervisados ​​le permite detectar amenazas que no son malware, como amenazas internas, movimiento lateral, fuga de datos y reconocimiento interno. ExeonTrace también le permite agregar conjuntos de reglas personalizadas basadas en la red para verificar que todos los usuarios cumplan con las políticas de seguridad implementadas (p. ej., evitar que los usuarios usen protocolos específicos). En la parte superior, ExeonTrace puede integrarse con los canales de amenazas disponibles o usarse con un canal de amenazas específico del cliente para detectar amenazas conocidas.

Conclusión

Los sistemas GDR se han convertido en una necesidad para detener el creciente número de ciberataques. Sin embargo, las soluciones GDR tradicionales deben reflejar el tráfico de red completo para analizar las cargas útiles de los paquetes, lo que ya no es efectivo para prevenir las amenazas cibernéticas modernas que usan el cifrado para ocultar sus actividades. Además, duplicar el tráfico de red completo se está volviendo más inconveniente, especialmente con el aumento masivo de datos que pasan a través de las redes corporativas. Un GDR preparado para el futuro como ExeonTrace, que se basa en el análisis de metadatos, hace posible aliviar estas desventajas y, por lo tanto, debería ser un medio para proteger las redes corporativas de manera eficaz y eficiente.