Fui uno de los primeros defensores del enfoque de Gartner, que aboga por combinar la detección y respuesta de puntos finales (EDR), la detección y respuesta de redes (NDR) y la gestión de eventos e información de seguridad (SIEM ) para lograr la tríada de visibilidad del SOC. Pero el accidentado camino hacia la visibilidad del centro de operaciones de seguridad (SOC) ha estado plagado de dificultades a la hora de implantar herramientas de detección de atacantes
Una observación sobre la tríada de visibilidad de los SOC fue que los SIEM tradicionales podrían ser incapaces de gestionar el alto volumen de eventos, ciertos tipos de datos y una variedad de otros desafíos. Esto es algo que he observado muchas veces al trabajar con empresas. A los equipos de seguridad les cuesta crear casos de uso de SIEM o mantenerlos, incluso cuando funcionan perfectamente con tamaños de conjuntos de datos manejables.
Los recursos técnicos y humanos necesarios para seleccionar, construir y mantener casos de uso SIEM complejos son inmensos. Los costes operativos son considerables mucho antes de tener en cuenta los recursos necesarios para realizar operaciones de seguridad con un SIEM.
Saint Gobain, cliente de Vectra , se enfrentó a estos problemas hace unos años y llegó a la siguiente conclusión:
- Automatice las detecciones de atacantes mediante NDR y EDR. Consulte el MITRE ATT&CK de MITRE para garantizar una cobertura completa de las amenazas que se adapte al crecimiento de las direcciones IP.
- Considere la posibilidad de crear modelos personalizados de detección de amenazas basados en casos de uso específicos que sean relevantes para su empresa. Un enfoque único para NDR, EDR y SIEM no funcionará.
- Para las detecciones SIEM, cree casos de uso que sean relevantes para su empresa y que no estén cubiertos por otros proveedores de seguridad. Esto garantiza la coherencia en la calidad de las detecciones a lo largo del tiempo.
En cuanto a la priorización de la inversión en SOC, he observado una tendencia clara: La gente que estaba pensando en su SIEM se ha pasado a un enfoque que da prioridad a la EDR. Sin embargo, EDR nunca puede cubrir todos los dispositivos o cargas de trabajo de una empresa y su ubicación de despliegue sólo proporciona una visión local de archivos y procesos. Se necesita un enfoque diferente pero complementario.
Esta necesidad está impulsando la rápida adopción de NDR en la actualidad. La NDR añade un valor incalculable a las operaciones de seguridad al proporcionar una visibilidad completa dentro de las redes -desde los flujos de trabajo de cloud y los centros de datos hasta los dispositivos de los usuarios y el IoT- y aporta claridad a los flujos de trabajo de EDR y SIEM.
El enfoque sin agentes de NDR proporciona una visión panorámica y se centra en las interacciones entre diferentes hosts y cuentas. Esto se consigue en cloud, el centro de datos, el IoT y las redes empresariales, donde NDR identifica los comportamientos inmutables de los atacantes ocultos.
Esta visibilidad omnipresente, junto con el nivel de automatización y la significativa reducción de la carga de trabajo que NDR aporta al SOC, deja claro por qué los equipos de seguridad con visión de futuro están adoptando un enfoque que da prioridad a NDR:
- La integración de varios proveedores es imprescindible para garantizar la coherencia y la facilidad de la investigación.
- Obtener más contexto de detección expone el alcance completo de un ataque y permite acciones de respuesta más rápidas y mejor informadas.
Los equipos de seguridad están cambiando sus respuestas a la pregunta de cómo priorizar y equilibrar sus inversiones en detección:
- EDR: Más preciso pero con menos cobertura (probablemente hasta el 40% de las máquinas tendrán alguna vez un agente; es mucho menos si se tienen en cuenta IoT y OT).
- NDR: más cobertura, pero sin visión a nivel de máquina de las actividades maliciosas.
Para obtener más información, consulte la tríada de visibilidad del SOC y cómo le permite pasar de la prevención a la detección.