Las empresas destinan miles de millones a ciberseguridad y siguen sufriendo ataques, en parte porque la superficie de ataque no deja de crecer y en parte porque la red está llena de dispositivos no gestionados que son objetivos ideales para los ciberdelincuentes. Para eliminar esos puntos débiles, los principales analistas aconsejan a las organizaciones que añadan capacidades de detección y respuesta de red (NDR) a su combinación de ciberseguridad.
Los lugares de trabajo con mucho estrés, como las centrales nucleares y las torres de control aéreo, han recibido el tratamiento de Hollywood en innumerables películas sobre técnicos altamente estresados empapados en sudor que gestionan el caos y luchan contrarreloj mientras el mundo exterior sigue ajeno a todo. Tal y como van las cosas, los centros de operaciones de seguridad (SOC) de las empresas merecen el mismo tipo de reconocimiento.
Los SOC de hoy en día están sometidos a una presión increíble para defenderse de amenazas de las que la mayoría de los empleados de una organización nunca oirán hablar, a menos que un ataque tenga éxito. Son muy conscientes del alto coste de un fracaso y están en una lucha constante por priorizar los riesgos correctos y actuar con rapidez.
Afortunadamente, los SOC disponen de algunas herramientas inteligentes y potentes para ayudarles. Las tecnologías de detección y respuesta de endpoints (EDR) han demostrado ser muy eficaces a la hora de detectar amenazas en dispositivos gestionados por la empresa. El problema es que cada vez son más los dispositivos no gestionados que acceden a las redes corporativas y crean oportunidades para los actores maliciosos. De ahí la necesidad de capacidades de mayor alcance de las soluciones de detección y respuesta de red (NDR).
Por qué son esenciales las herramientas de detección y respuesta de red
Solo un pequeño porcentaje de los dispositivos conectados accederá alguna vez a una red corporativa. Pero con la previsión de que el número total de dispositivos en el planeta alcance los 18.200 millones en 2025, incluso si una fracción de ese «pequeño porcentaje» se encuentra en la red corporativa y no está gestionada, supondrá enormes quebraderos de cabeza en materia de seguridad para el personal del SOC.
Los activos no gestionados son lugares ideales para que los atacantes se escondan. Pueden adoptar casi cualquier forma: dispositivos previamente gestionados con agentes de seguridad caducados; dispositivos propios (BYOD); routers y otros equipos de red; y dispositivos inteligentes como termostatos y equipos médicos conectados.
Al no estar gestionados, estos activos son difíciles de actualizar o parchear y no se analizan en busca de vulnerabilidades. Algunos simplemente NO se pueden gestionar, bien porque no son lo suficientemente sofisticados como para albergar un agente de seguridad, o bien porque la normativa prohíbe escanearlos o modificarlos, tal y como ocurre en Canadá con algunos equipos médicos.
Estos activos no gestionados proliferan en el entorno de TI de las empresas al mismo tiempo que las propias redes son cada vez más difíciles de proteger. Los límites son cada vez más difusos, especialmente con el aumento del trabajo remoto e híbrido. Según McKinsey, el 58% de la mano de obra estadounidense ya trabaja en remoto. El perímetro se ha difuminado.
Los equipos de ciberseguridad ya no pueden simplemente esperar «mantener alejados a los malos». La tecnología EDR puede detectar actividad maliciosa en activos gestionados y observar anomalías que se mueven entre dispositivos gestionados y no gestionados, pero una vez que una amenaza se esconde entre la maleza no gestionada, es básicamente imposible rastrearla. Además, si en una cosa destacan los atacantes es que son excelentes ocultándose a plena vista, utilizando herramientas y aplicaciones legítimas para moverse por la red. Muchos pasan desapercibidos durante semanas o meses después de una brecha mientras roban información antes de culminar la última fase del ataque (ej.: cifrado, ataque de denegación de servicio, extorsión a la cadena de suministro, etc).
Los equipos SOC pueden vigilar los movimientos laterales sospechosos, pero a menudo no pueden saber con certeza qué contiene el tráfico de red porque la mayor parte -incluido el 95% del tráfico web, según Google- está cifrado.
Las soluciones NDR ayudan a reducir el riesgo ampliando la visibilidad de los activos no gestionados.
En busca de amenazas al acecho
Como enfoque, NDR se centra en supervisar, detectar y responder a las amenazas y anomalías en la red, en tiempo real. Utiliza tecnologías y metodologías sofisticadas para identificar y hacer frente a amenazas potenciales que las medidas de seguridad tradicionales podrían pasar por alto.
Los enfoques NDR incluyen la supervisión y el análisis continuo del tráfico con inspección profunda de paquetes, análisis de comportamiento y machine learning basado en inteligencia de amenazas para identificar anomalías y posibles amenazas.
Los analistas del sector han opinado sobre lo que necesitan las soluciones NDR para gestionar el riesgo de forma completa y más eficaz. Forrester ha pedido algunas capacidades adicionales clave: descifrado integrado para ver el tráfico de red y web, capacidad para admitir enfoques zero trust y, lo que es más importante, priorizar la experiencia del analista del SOC, con el objetivo de evitar que el personal del SOC se vea abrumado por los datos y las alertas.
Gartner señala que, si bien la IA y el machine learning son imprescindibles para cualquier solución NDR, también se requiere inteligencia de amenazas para evaluar los datos frente a los riesgos del mundo real, y la correlación entre capas es necesaria para reducir el número de alertas en general y aportar mayor precisión a la detección de amenazas.
Un alivio para el estrés del SOC
Al combinar la supervisión en tiempo real y las capacidades de respuesta automatizada, NDR permite a las empresas defenderse mejor contra las ciberamenazas sofisticadas y minimizar el potencial impacto de los incidentes de seguridad.
Dados los cambios en la superficie de ataque de las empresas, NDR se ha convertido en una parte clave de la gestión del riesgo de la superficie de ataque, aportando capacidades XDR a la protección de la red y facilitando a los equipos del SOC hacer bien su trabajo con menos estrés. Con herramientas como estas, quizá el SOC no acabe siendo el protagonista de una película de Hollywood.
José de la Cruz, director técnico de Trend Micro Iberia
