Tríada de visibilidad SOC - Lo último en visibilidad SOC

En el informe de investigación de Gartner "Applying Network-Centric Approaches for Threat Detection and Response" publicado el 18 de marzo de 2019 (ID: G00373460), Augusto Barros, Anton Chuvakin y Anna Belak introdujeron el concepto de la Triada de Visibilidad SOC. En esta nota, Gartner aconseja:

"La creciente sofisticación de las amenazas exige que las organizaciones utilicen múltiples fuentes de datos para la detección de amenazas y la respuesta a las mismas. Las tecnologías basadas en redes permiten a los profesionales técnicos obtener una rápida visibilidad de las amenazas en todo un entorno sin utilizar agentes."

Según la investigación, "las modernas herramientas de operaciones de seguridad también pueden representarse con una analogía con la 'tríada nuclear', un concepto clave de la Guerra Fría. La tríada estaba formada por bombarderos estratégicos, misiles balísticos intercontinentales (ICBM) y submarinos lanzamisiles.

Los 3 componentes de la tríada SOC

Como se muestra en la Figura 1, un SOC moderno tiene su propia tríada nuclear de visibilidad, concretamente:

1. SIEM/UEBA permite recopilar y analizar los registros generados por la infraestructura informática, las aplicaciones y otras herramientas de seguridad.

2. La detección y respuesta de puntos finales proporciona la capacidad de capturar la ejecución, las conexiones locales, los cambios del sistema, las actividades de memoria y otras operaciones de los puntos finales.

3. La detección y respuesta centradas en la red (NTA, NFT e IDPS) la proporcionan las herramientas centradas en la captura y/o análisis del tráfico de red, tal y como se contempla en esta investigación."

Este triple enfoque proporciona a los SOC una mayor visibilidad, detección, respuesta, investigación y corrección de las amenazas.

Detección y respuesta en red

Los metadatos de la red son la fuente más autorizada para encontrar amenazas. Sólo el tráfico en la red revela las amenazas ocultas con total fidelidad e independencia. Las fuentes de baja resolución, como el análisis de registros, solo muestran lo que se ha visto, no los comportamientos de amenaza fundamentales que los atacantes simplemente no pueden evitar mientras espían, propagan y roban.

Una solución NDR recopila y almacena metadatos clave de la red y los aumenta con aprendizaje automático y análisis avanzados para detectar actividades sospechosas en las redes empresariales. NDR crea modelos que reflejan el comportamiento normal y los enriquece con metadatos históricos y en tiempo real.

NDR proporciona una vista aérea de las interacciones entre todos los dispositivos de la red. Los ataques en curso se detectan, priorizan y correlacionan con los dispositivos host comprometidos.

NDR ofrece una visión de 360 grados de toda la empresa, desde las cargas de trabajo de los centros de datos públicos y privados de cloud hasta los dispositivos de los usuarios y de Internet de las cosas.

Detección y respuesta a puntos finales

Las amenazas a puntos finales son demasiado frecuentes, ya sea por malware, vulnerabilidades sin parches o usuarios desatentos. Los dispositivos móviles pueden verse fácilmente comprometidos en redes públicas y luego volver a conectarse a la red corporativa, donde se propaga la infección. Los dispositivos de Internet de las cosas (IoT) son notoriamente inseguros.

Una solución EDR ofrece capacidades más sofisticadas que un antivirus tradicional, con un seguimiento detallado de las actividades maliciosas en un endpoint o dispositivo host. EDR proporciona una visión en tiempo real de los procesos que se ejecutan en un host o dispositivo y de las interacciones entre ellos.

EDR captura la ejecución, las actividades de memoria, así como los cambios, actividades y modificaciones del sistema. Esta visibilidad ayuda a los analistas de seguridad a detectar patrones, comportamientos, indicadores de peligro u otras pistas ocultas. Estos datos pueden compararse con otros datos de inteligencia de seguridad para detectar amenazas que sólo pueden verse desde el interior del host.

SIEM para empresas

Durante décadas, los equipos de seguridad han confiado en los SIEM como panel de control de las actividades de seguridad en todo su entorno informático. Los SIEM recopilan información de registros de eventos de otros sistemas, proporcionan análisis de datos, correlación de eventos, agregación y generación de informes.

La integración de las detecciones de amenazas de EDR y NDR puede hacer de un SIEM una herramienta aún más potente, permitiendo a los analistas de seguridad detener los ataques con mayor rapidez. Cuando se produce un incidente, los analistas pueden identificar rápidamente los dispositivos host afectados. Pueden investigar más fácilmente para determinar la naturaleza de un ataque y si ha tenido éxito.

Un SIEM también puede comunicarse con otros controles de seguridad de la red, como cortafuegos o puntos de aplicación NAC, para dirigirlos a bloquear la actividad maliciosa. La información sobre amenazas también permite a los SIEM prevenir ataques de forma proactiva.

Un enfoque integrado para detectar y detener los ciberataques

Los equipos de seguridad que despliegan la tríada de NDR, EDR y SIEM están capacitados para responder a una gama más amplia de preguntas cuando responden a un incidente o buscan amenazas. Por ejemplo, pueden responder:

• ¿Otro activo comenzó a comportarse de manera extraña después de comunicarse con el activo potencialmente comprometido?
• ¿Qué servicio y protocolo se utilizaron?
• ¿Qué otros activos o cuentas pueden estar implicados?
• ¿Algún otro activo se ha puesto en contacto con la misma dirección IP externa de mando y control?
• ¿Se ha utilizado la cuenta de usuario de forma inesperada en otros dispositivos? Juntos, permiten obtener respuestas rápidas y bien coordinadas en todos los recursos, mejoran la eficacia de las operaciones de seguridad y reducen los tiempos de permanencia que, en última instancia, suponen un riesgo para la empresa.

Se prevé que las pérdidas económicas debidas a la ciberdelincuencia alcancen los 3 billones de dólares en 2020, según el Foro Económico Mundial. Los estados-nación y los delincuentes se aprovechan de un mundo digital sin fronteras, pero adoptando una tríada nuclear de visibilidad, un SOC puede proteger los datos sensibles y las operaciones vitales de su organización.