Su red no es finita, con un principio o un final claros. Su red está siempre en expansión, conectándose a dispositivos de Internet de las cosas (IoT), aplicaciones e infraestructuras cloud , redes de tecnología operativa (OT), socios y proveedores. El cambio y el crecimiento constantes son necesarios para ofrecer nuevos servicios y productos y mantener la productividad de los empleados.
Muchas organizaciones están explorando la IoT. Entre los factores que impulsan el negocio se encuentran la accesibilidad a los análisis de datos, una toma de decisiones mejor informada, el descubrimiento de nuevas oportunidades de negocio, la creación de un lugar de trabajo más seguro y productivo, y la supervisión y optimización de procesos o comportamientos.
IoT es una nueva fuente de riesgo
Controlar el riesgo y la exposición en dispositivos IoT con sistemas operativos integrados plantea nuevos retos. La seguridad y la aplicación de parches en los puntos finales tradicionales son a menudo imposibles a través de los procedimientos operativos normales, y los dispositivos IoT suelen tener una superficie de ataque abierta. Las herramientas de seguridad centradas en el código malicioso o la defensa perimetral ofrecen una visibilidad limitada una vez que el atacante se ha infiltrado con éxito en el entorno. Los analistas de seguridad van a ciegas cuando se trata de dispositivos IoT comprometidos.
Una tríada poderosa
Pero hay una forma mejor de obtener una visibilidad completa de las amenazas: La tríada de visibilidad del centro de operaciones de seguridad (SOC), presentada recientemente por Gartner.
La tríada de visibilidad del SOC se compone de detección y respuesta de redes (NDR), detección y respuesta de endpoints (EDR) y gestión de eventos de información de seguridad (SIEM) o detección basada en registros. La tríada, una combinación excepcionalmente potente, ofrece la mejor cobertura de todos los vectores de amenazas en cargas de trabajo cloud e infraestructuras empresariales y dispositivos de usuario e IoT. Con esta combinación, el análisis de amenazas no depende de firmas o listas de reputación o negras. En su lugar, la detección se centra en los comportamientos de los atacantes y en los patrones maliciosos desde el interior de la red, tanto si el atacante interno es un empleado deshonesto como si se trata de un intruso.
EDR proporciona una visibilidad clara de la actividad a nivel de host, pero requiere una visibilidad ampliada para los hosts que no pueden instalar agentes en absoluto, como IoT o hosts que admiten una instalación selectiva de agentes. Las herramientas SIEM y basadas en registros son excelentes para la inteligencia empresarial, la generación de informes y la correlación entre fuentes de datos, pero requieren información adicional para los casos de uso de movimiento lateral, detección de redes y respuesta. Con NDR, la red proporciona visibilidad en la capa de defensa de todos los dispositivos IP que actúan de forma sospechosa. Esta capa de defensa le ayuda a detectar las verdaderas amenazas desconocidas en su entorno de TI centrándose en la agenda que tiene el atacante y qué acciones necesita realizar para tener éxito.
Detección y respuesta a la red basadas en IA
La plataforma Cognito de Vectra es un elemento clave de la tríada de visibilidad del SOC. Los analistas de seguridad utilizan Vectra para detectar amenazas y llevar a cabo investigaciones concluyentes de incidentes. La plataforma Cognito, basada en IA, detecta amenazas activas en tiempo real en toda la empresa, desde cargas de trabajo cloud y centros de datos hasta dispositivos de usuario e IoT. Vectra analiza el tráfico de cloud y de la red, enriquece los metadatos con información de seguridad y prioriza las amenazas de mayor riesgo en tiempo real.
Para obtener más información sobre la tríada de visibilidad SOC, consulte nuestro resumen de la solución o póngase en contacto con nosotros para programar una demostración.