En el informe de investigación de Gartner "Applying Network-Centric Approaches for Threat Detection and Response" publicado el 18 de marzo de 2019 (ID: G00373460), Augusto Barros, Anton Chuvakin y Anna Belak introdujeron el concepto del centro de operaciones de seguridad (SOC_ Visibility Triad.
La investigación ofrece el siguiente gráfico que muestra la "tríada nuclear de la visibilidad", en concreto:
1. Gestión de la información sobre eventos de seguridad (SIEM) / Análisis del comportamiento de las entidades usuarias (UEBA)
La gestión de la información sobre eventos de seguridad (SIEM) / análisis del comportamiento de las entidades usuarias (UEBA) permite recopilar y analizar los registros generados por la infraestructura informática, las aplicaciones y otras herramientas de seguridad.
2. Detección y respuesta de puntos finales (EDR)
Endpoint detection and response (EDR) ofrece la posibilidad de capturar la ejecución, las conexiones locales, los cambios en el sistema, las actividades de memoria y otras operaciones de los endpoints.
3. Detección y respuesta centradas en la red (NDR, NTA, NFT e IDPS)
La detección y respuesta centradas en la red (NDR, NTA, NFT e IDPS) la proporcionan las herramientas centradas en la captura y/o análisis del tráfico de red, tal y como se aborda en esta investigación."
La investigación continúa diciendo: "Su tríada SOC busca reducir significativamente la posibilidad de que los atacantes operen en su red el tiempo suficiente para lograr sus objetivos." En la investigación, los autores escriben que "EDR proporciona un seguimiento detallado de las actividades maliciosas en un endpoint. Sin embargo, los atacantes pueden ocultar sus herramientas del EDR. Pero, su actividad será visible por las herramientas de red tan pronto como interactúen con cualquier otro sistema a través de la red."
La investigación continúa: "Los registros pueden proporcionar la visibilidad necesaria en capas superiores. Por ejemplo, pueden proporcionar visibilidad sobre lo que hacen los usuarios en la capa de aplicación. La EDR y los registros también pueden mitigar los problemas relacionados con las conexiones de red cifradas, una causa común de puntos ciegos en las tecnologías centradas en la red."
Los equipos de operaciones de seguridad han formulado a Vectra preguntas muy similares durante sus actividades de respuesta o de caza de amenazas: ¿Qué hacía este activo o cuenta antes de la alerta? ¿Qué hizo después de la alerta? ¿Podemos averiguar cuándo empezaron a ir mal las cosas?
El historial de amenazas suele estar disponible en tres lugares: detección y respuesta de red (NDR), EDR y SIEM. EDR proporciona una visión detallada a nivel del suelo de los procesos que se ejecutan en un host y las interacciones entre ellos. NDR proporciona una vista aérea de las interacciones entre todos los dispositivos de la red, independientemente de si EDR se está ejecutando en ellos o no.
Los equipos de seguridad que despliegan la tríada de NDR, EDR y SIEM pueden responder a una gama más amplia de preguntas cuando responden a un incidente o buscan amenazas. Por ejemplo, pueden responder:
- ¿Otro activo comenzó a comportarse de manera extraña después de comunicarse con el activo potencialmente comprometido?
- ¿Qué servicio y protocolo se utilizaron?
- ¿Qué otros activos o cuentas pueden estar implicados?
- ¿Algún otro activo se ha puesto en contacto con la misma dirección IP externa de mando y control?
- ¿Se ha utilizado la cuenta de usuario de forma inesperada en otros dispositivos?
Aunque NDR y EDR pueden proporcionar una perspectiva al respecto, NDR es más crítico porque proporciona una perspectiva donde EDR no puede. Por ejemplo, los exploits que operan a nivel de la BIOS de un dispositivo pueden subvertir la EDR. Ejemplos de estos exploits son los que el grupo de piratas informáticos Shadow Brokers habría robado al Equation Group. Cuando a EDR se le pide una lista de dispositivos con los que se comunicó un host, puede informar de los dispositivos B, C y E. Mientras tanto, NDR informaría de que el mismo host se comunicó con los dispositivos A, B, C, E y F.
Este enfoque de un centro de operaciones de seguridad moderno es también la razón por la que Vectra tiene capacidades de integración clave con socios tecnológicos líderes del sector, como CrowdStrike, Carbon Black y Splunk.
Para obtener más información, póngase en contacto con Vectra para una consulta sobre estas integraciones o programe una consulta con los autores de la nota de investigación de Gartner (Barros, Chuvakin y Belak) para obtener más información sobre cómo conseguir visibilidad en toda su infraestructura.
Para más información sobre la tríada de visibilidad SOC, consulte el resumen de la solución, "Lo último en visibilidad SOC".