[ACTUALIZADA EL 30/11/23 - La Guía de Mercados 2020 ha sido eliminada y ya no está disponible para su descarga.]
La tan esperada Guía de Mercado de Gartner para la Detección y Respuesta de Redes (NDR) ha sido publicada y hay algunas cosas de importancia crítica que creemos que debe tener en cuenta antes de sumergirse en el documento y la categoría redefinida. A medida que el mercado se aleja del simple análisis y se acerca a la respuesta práctica, la "R" de NDR debe reconocerse como lo que realmente es: una oportunidad para que su organización cuente con una estrategia claramente definida de respuesta automática y manual. Anteriormente, esta categoría se conocía como Análisis del tráfico de red (NTA), pero ha evolucionado más allá de esta definición y se le ha cambiado el nombre para reflejar con mayor precisión la funcionalidad de estas soluciones.
Dentro de esta categoría redefinida, el mercado reconoce ahora la utilización de respuestas automáticas y manuales como elementos comunes de las soluciones NDR, lo que incluye cualquier cosa, desde enviar comandos a un cortafuegos para que elimine el tráfico sospechoso, hasta proporcionar capacidades de caza de amenazas y respuesta a incidentes. Sin embargo, distinguir las verdaderas soluciones NDR de las que simplemente buscan marcar la casilla con funciones adicionales es fundamental para armar a sus equipos de seguridad contra futuros ataques.
La Guía de Mercado de Gartner define un mercado y explica lo que los clientes pueden esperar de él a corto plazo. Al centrarse en los primeros mercados, más caóticos, una Guía de Mercado no califica ni posiciona a los proveedores dentro del mercado, sino que más bien suele esbozar los atributos de los proveedores representativos que ofrecen ofertas en el mercado para dar una visión más profunda del propio mercado.
Me encanta el término "caótico". La lista de proveedores que afirman ser NDR es larga y diversa; muchos de ellos utilizan la seguridad "bolt-on" o "check-box" para hacer la afirmación de NDR. Gartner fue capaz de reducir la lista a 18, pero incluso algunos de ellos me hacen rascarme la cabeza; sólo puedo imaginar lo larga que era la lista cuando empezaron, así que me quito el sombrero ante Gartner porque estoy seguro de que reducir el mercado a 18 proveedores no fue tarea fácil.
En Vectra, sabemos que la respuesta es fundamental para reducir las brechas, aumentar la eficiencia del centro de operaciones de seguridad (SOC), garantizar el cumplimiento y proporcionar seguridad en la cloud... sin embargo, la tecnología y los procedimientos que son la base de la aplicación de la seguridad se basan en la calidad y el volumen de las anomalías de seguridad detectadas por una organización. Por lo tanto, es fundamental evitar las alertas de falsos positivos, que conducen rápidamente a la fatiga de las alertas y a la degradación de la eficiencia de los analistas, que se ven obligados a luchar para priorizar la respuesta. Si las respuestas automatizadas no se ejecutan correctamente, los efectos de estos falsos positivos se agravan, provocando interrupciones y cortes de servicio.
Una vez que disponga de alertas de calidad y alta fidelidad, estará listo para responder.
- Responda basándose en comportamientos, no en volúmenes de anomalías: Evite el ruido y los falsos positivos de los sistemas basados en anomalías. Ancle su respuesta a un enfoque que cubre un número líder en la industria de los comportamientos de red en el marco MITRE ATT&CK .
- Priorice la respuesta en función de los privilegios y el riesgo: Piense como un atacante. Céntrese en los activos de respuesta que serán su objetivo. Priorice aquellos con elevados niveles de privilegio, riesgo y probabilidad de amenaza.
- Aplicación a nivel de identidad: ¿Qué hay más preciso que la aplicación a nivel de identidad? Nada. Elimine inmediatamente el acceso malintencionado a los recursos críticos para su organización.
Una de las funciones de respuesta favoritas es elbloqueo de cuentas de Vectra . Permite el control inmediato y personalizable de las cuentas mediante la integración con Active Directory. Puede congelar quirúrgicamente el acceso a las cuentas y evitar la interrupción del servicio deshabilitando las cuentas en lugar de la red. Al desactivar la cuenta de un atacante, puede limitar su progresión a lo largo de la cadena de ataque.