Tríada de visibilidad del SOC
La Tríada de Visibilidad SOC, compuesta por Detección y Respuesta de Redes (NDR), Detección y Respuesta de Puntos Finales (EDR) y Gestión de Eventos e Información de Seguridad (SIEM), representa un enfoque estratégico para lograr una visibilidad completa en todo el panorama digital de una organización.
- Las organizaciones que integran soluciones NDR, EDR y SIEM han informado de una respuesta un 50% más rápida a los incidentes cibernéticos. (Fuente: Gartner)
- El 80% de las infracciones se producen con credenciales privilegiadas, lo que pone de manifiesto la necesidad de una supervisión exhaustiva de las redes y los terminales. (Fuente: Forrester)
¿Ve su Centro de Operaciones de Seguridad los ataques en curso?
Como demuestra una ciberdelincuencia sin precedentes, las defensas de seguridad tradicionales han perdido su eficacia. Las amenazas son sigilosas, actúan durante largos periodos de tiempo, se ocultan en el tráfico cifrado o se esconden en túneles. Ante estas amenazas cada vez más sofisticadas, los equipos de seguridad necesitan una rápida visibilidad de las amenazas en todos sus entornos.
En el informe de investigación de Gartner "Applying Network-Centric Approaches for Threat Detection and Response" publicado el 18 de marzo de 2019 (ID: G00373460), Augusto Barros, Anton Chuvakin y Anna Belak introdujeron el concepto de la tríada de visibilidad SOC.
En esta nota, Gartner aconseja:
"La creciente sofisticación de las amenazas exige que las organizaciones utilicen múltiples fuentes de datos para la detección de amenazas y la respuesta a las mismas. Las tecnologías basadas en redes permiten a los profesionales técnicos obtener una rápida visibilidad de las amenazas en todo un entorno sin utilizar agentes."
¿Por qué necesita su SOC la tríada de la visibilidad?
Según la investigación, "las modernas herramientas de operaciones de seguridad también pueden representarse con una analogía con la 'tríada nuclear', un concepto clave de la Guerra Fría. La tríada estaba formada por bombarderos estratégicos, misiles balísticos intercontinentales (ICBM) y submarinos lanzamisiles. Como se muestra en la imagen superior, un SOC moderno tiene su propia tríada nuclear de visibilidad, concretamente:
- SIEM/UEBA permite recopilar y analizar los registros generados por la infraestructura informática, las aplicaciones y otras herramientas de seguridad.
- La detección y respuesta de puntos finales proporciona la capacidad de capturar la ejecución, las conexiones locales, los cambios del sistema, las actividades de memoria y otras operaciones de los puntos finales.
- La detección y respuesta centradas en la red (NTA, NFT e IDPS) la proporcionan las herramientas centradas en la captura y/o análisis del tráfico de red, tal y como se aborda en esta investigación.
Este triple enfoque proporciona a los SOC una mayor visibilidad, detección, respuesta, investigación y corrección de las amenazas.
El papel de la detección y respuesta en red
Los metadatos de la red son la fuente más autorizada para encontrar amenazas. Sólo el tráfico en la red revela las amenazas ocultas con total fidelidad e independencia. Las fuentes de baja resolución, como el análisis de registros, solo muestran lo que se ha visto, no los comportamientos de amenaza fundamentales que los atacantes simplemente no pueden evitar mientras espían, propagan y roban.
Una solución NDR recopila y almacena metadatos clave de la red y los aumenta con aprendizaje automático y análisis avanzados para detectar actividades sospechosas en las redes empresariales. NDR crea modelos que reflejan el comportamiento normal y los enriquece con metadatos históricos y en tiempo real.
NDR proporciona una vista aérea de las interacciones entre todos los dispositivos de la red. Los ataques en curso se detectan, priorizan y correlacionan con los dispositivos host comprometidos.
NDR ofrece una visión de 360 grados de toda la empresa, desde las cargas de trabajo de los centros de datos públicos y privados de cloud hasta los dispositivos de los usuarios y de Internet de las cosas.
> Más información sobre la solución Network Detection and Response de Vectra AI
El papel de la detección y respuesta a los puntos finales
Las amenazas a puntos finales son demasiado frecuentes, ya sea por malware, vulnerabilidades sin parches o usuarios desatentos. Los dispositivos móviles pueden verse fácilmente comprometidos en redes públicas y luego volver a conectarse a la red corporativa, donde se propaga la infección. Los dispositivos de Internet de las cosas (IoT) son notoriamente inseguros.
Una solución EDR ofrece capacidades más sofisticadas que un antivirus tradicional, con un seguimiento detallado de las actividades maliciosas en un endpoint o dispositivo host. EDR proporciona una visión en tiempo real de los procesos que se ejecutan en un host o dispositivo y de las interacciones entre ellos.
EDR captura la ejecución, las actividades de memoria, así como los cambios, actividades y modificaciones del sistema. Esta visibilidad ayuda a los analistas de seguridad a detectar patrones, comportamientos, indicadores de peligro u otras pistas ocultas. Estos datos pueden compararse con otros datos de inteligencia de seguridad para detectar amenazas que sólo pueden verse desde el interior del host.
> Vectra AI's integrations with EDRs
El papel del SIEM empresarial
Durante décadas, los equipos de seguridad han confiado en los SIEM como panel de control de las actividades de seguridad en todo su entorno informático. Los SIEM recopilan información de registros de eventos de otros sistemas, proporcionan análisis de datos, correlación de eventos, agregación y generación de informes.
La integración de las detecciones de amenazas de EDR y NDR puede hacer de un SIEM una herramienta aún más potente, permitiendo a los analistas de seguridad detener los ataques con mayor rapidez. Cuando se produce un incidente, los analistas pueden identificar rápidamente los dispositivos host afectados. Pueden investigar más fácilmente para determinar la naturaleza de un ataque y si ha tenido éxito.
Un SIEM también puede comunicarse con otros controles de seguridad de la red, como cortafuegos o puntos de aplicación NAC, para dirigirlos a bloquear la actividad maliciosa. La información sobre amenazas también permite a los SIEM prevenir ataques de forma proactiva.
> Vectra AI's integrations with SIEMs
La tríada de visibilidad de los SOC: un enfoque integrado para detectar y detener los ciberataques
Los equipos de seguridad que despliegan la tríada de NDR, EDR y SIEM están capacitados para responder a una gama más amplia de preguntas cuando responden a un incidente o buscan amenazas. Por ejemplo, pueden responder:
- ¿Otro activo comenzó a comportarse de manera extraña después de comunicarse con el activo potencialmente comprometido?
- ¿Qué servicio y protocolo se utilizaron?
- ¿Qué otros activos o cuentas pueden estar implicados?
- ¿Algún otro activo se ha puesto en contacto con la misma dirección IP externa de mando y control?
- ¿Se ha utilizado la cuenta de usuario de forma inesperada en otros dispositivos?
Juntos, dan lugar a respuestas rápidas y bien coordinadas entre todos los recursos, mejoran la eficacia de las operaciones de seguridad y reducen los tiempos de permanencia que, en última instancia, suponen un riesgo para la empresa.
Los estados-nación y los delincuentes se aprovechan de un mundo digital sin fronteras, pero adoptando una tríada nuclear de visibilidad, un SOC puede proteger los datos sensibles y las operaciones vitales de su organización.
Póngase en contacto connosotros hoy mismo para saber cómo podemos ayudarle a implantar una estrategia eficaz de tríada de visibilidad SOC y reforzar la ciberdefensa de su organización.