A pesar de la gran cantidad de telemetría a disposición de los analistas, muchos equipos de operaciones de seguridad luchan por responder algunas preguntas básicas durante las investigaciones de incidentes, como por ejemplo: ¿Qué evidencia hay? ¿Cómo sabemos que estamos viendo todo en contexto?
Para responder a estas preguntas, los equipos deben ir más allá de la base más común para la clasificación inicial: las alertas. Pero las investigaciones (y sus resultados) requieren evidencia defendible, no suposiciones, y las alertas tienden a proporcionar eso.
A medida que se acelera el descubrimiento de vulnerabilidades, las alertas se vuelven menos útiles (a veces denominada la era mítica). La mayoría de las organizaciones no pueden investigar una gran cantidad de nuevos descubrimientos con sus flujos de trabajo existentes. Incluso con una mayor automatización, los equipos de SecOps necesitan evidencia verificada de vulnerabilidades y exposiciones activas, no más telemetría sin procesar.
Dado que la IA facilita tanto el ataque como la defensa, los equipos de seguridad deben validar los hallazgos, comprender el comportamiento de los atacantes y sentar las bases para detener el tráfico sospechoso antes de que se produzca una infracción.
NDR Essentials: Una guía práctica para la detección y respuesta de redes de Richard Bejtlich, publicado en asociación con Corelight, explica cómo la detección y respuesta de redes (NDR) puede ayudar a los profesionales a navegar en la era de las redes actual. Esta guía gratuita es una introducción a NDR y un recurso práctico para los equipos que buscan mejorar su búsqueda de amenazas y sus investigaciones asistidas por IA.
Ejemplos de interferencia de red
Muchos programas de seguridad se centran en la prevención. Pero la realidad es que las organizaciones no pueden simplemente girar hacia la izquierda o hacia la derecha. Se debe ejercer cuidado y control durante toda la secuencia de ataque.
Si los controles proactivos fueran la respuesta simple, las credenciales robadas dejarían de funcionar una vez que un atacante se afianzara. El malware se detiene en el perímetro. Y sus datos nunca abandonan ese entorno de almacenamiento.
Pero estas cosas suceden todo el tiempo.
Por estas razones, Bejtlich sostiene que un programa de seguridad resistente debería centrarse en la prevención: identificar y detener la actividad maliciosa antes de que los atacantes puedan lograr sus objetivos.
El verdadero éxito de la defensa depende de la capacidad de una organización para aislar y contener a los atacantes maliciosos después de la infracción inicial y antes de que se produzca una infracción a gran escala. Sostiene que la interdicción cambia el enfoque de las listas de bloqueo básicas a detener proactivamente las amenazas dentro del perímetro. Esto permite mitigar las vulnerabilidades y contener las amenazas, lo que ayuda a detener los ataques antes de que los adversarios puedan cumplir su misión principal.
Esta guía describe cómo NDR respalda la interdicción al brindar visibilidad del tráfico que se mueve por la red. Vale la pena examinar más de cerca cuatro fuentes principales de evidencia de redes.
Captura completa de paquetes Archivos extraídos Registros de transacciones Alertas y detecciones
En lugar de actuar como una barrera pasiva, los NDR modernos fomentan una intervención activa. Esto proporciona conocimiento situacional y contexto a los equipos de seguridad, evita la propagación de ataques y preserva evidencia de red de alta fidelidad.
La caza de amenazas comienza con una hipótesis
Uno de los capítulos más poderosos del libro se centra en cómo las organizaciones pueden evolucionar su búsqueda de amenazas para alinearse con las técnicas de ataque actuales, técnicas que pueden evadir los límites de detección tradicionales.
Según Bejtlich, la búsqueda de amenazas no debe basarse en el seguimiento de las alertas. En lugar de ello, debemos comenzar con una hipótesis sobre los métodos contradictorios. Una vez que se forma una hipótesis, el analista consulta los registros y sesiones de la red para verificar o refutar la teoría.
La evidencia de la red sigue siendo fundamental para la investigación. Las tecnologías basadas en red que respaldan la búsqueda proactiva de amenazas incluyen:
Identificar archivos ejecutables Investigar protocolos anómalos Realizar un seguimiento de grandes transferencias de datos salientes Detectar movimientos laterales Analizar fugas de certificados
La búsqueda debe centrarse en anomalías observables específicas en lugar de alertas de seguridad generales. Esto es exactamente lo que se obtiene al observar las transacciones de la red.
IA en detección y respuesta de redes
La inteligencia artificial ha transformado las defensas de las redes del mismo modo que ha transformado los ataques a las redes. En el Capítulo 5 de la guía, Bejtlich explica cómo los analistas de SOC pueden aprovechar la IA para un bien mayor, incluido el aumento de la eficiencia, la reducción de la carga cognitiva y la mejora de la recopilación de evidencia.
Cubre tres áreas funcionales en detalle:
Marco de alerta optimizado: dónde y cómo se recopilan los datos de tráfico (borde y/o centro) y cómo cada uno impacta el análisis. La clasificación de agentes acelera los ciclos de respuesta a incidentes: cómo utilizar agentes autónomos para ejecutar el manual, pero lo que es igualmente importante, mejorar las capacidades de toma de decisiones estratégicas de los analistas humanos. Interoperabilidad de herramientas: las redes a menudo se denominan «verdad sobre el terreno», pero la investigación de ataques moderna requiere una visión holística de las redes, los puntos finales, las plataformas en la nube, las aplicaciones y más. La orquestación de IA coordina las herramientas aisladas y sus resultados.
Para lograr la máxima eficacia, los profesionales pueden integrar estos modelos de IA en sus flujos de trabajo diarios para casos de uso específicos (detallados en este documento).
Aunque la introducción de la IA es inevitable en el ecosistema digital actual, la verificación humana sigue siendo un punto de control clave. Es necesario gestionar la automatización para evitar alucinaciones y consecuencias no deseadas, al menos a corto plazo. Cuando se utiliza correctamente, la IA puede ser una ventaja para la investigación y los analistas que la gestionan.
Dos lecciones para mejores operaciones
Los equipos de operaciones exitosos buscan continuamente mejorar los procesos. Los operadores necesitan evolucionar su tecnología de investigación para que coincida con la velocidad y la sofisticación actuales, y la red proporciona la base. Aunque este libro contiene muchas recomendaciones operativas, hay dos que se destacan en particular.
Línea base de alerta inicial: tener demasiadas reglas prehabilitadas provoca fatiga en las alertas. En segundo lugar, la fatiga de alerta puede paralizar y desmotivar a los equipos de seguridad. Por lo tanto, Bejtlich recomienda que las organizaciones adopten una estrategia de «base cero». Puede leer más sobre este método en nuestro libro electrónico. Definición de alerta: los operadores deben tratar las alertas como el comienzo de una investigación en lugar de la definición final de un evento. Hacerlo facilita la recopilación de evidencia detallada para respaldar o refutar una hipótesis, lo que permite al analista, al final de la investigación, responder finalmente a la pregunta: «¿Qué pasó?». ¿Qué evidencia hay? ¿Cómo sabemos que estamos viendo todo en contexto?
Por qué el cierre de la red es importante ahora
Aunque los actores de amenazas continúan evolucionando sus tácticas, la evidencia de la red sigue siendo la fuente definitiva de verdad para la defensa. Los profesionales que quieran crear arquitecturas de seguridad modernas y resistentes encontrarán estrategias prácticas en este libro electrónico.
El valor de NDR Essentials va más allá de simplemente explicar NDR. Proporciona un marco práctico para pensar en las investigaciones modernas.
Para explorar estos conceptos con más detalle, descargue el PDF gratuito desde la página NDR Essentials. Para las organizaciones que estén considerando implementar estas estrategias de defensa modernas, hay información adicional disponible en corelight.com/elitedefense.
Descubrimiento y respuesta de la red Corelight
Corelight proporciona detección y respuesta de red (NDR) que acelera la investigación de amenazas a través de la prevención impulsada por IA. La plataforma NDR abierta de Corelight combina telemetría de red profunda con contexto procesable utilizando visibilidad de red integral, análisis de comportamiento y detección basada en evidencia. Los analistas pueden identificar amenazas más rápidamente, verificar los resultados con confianza y tomar medidas con claridad.
Para obtener más información, visite corelight.com/elitedefense.
Source link
