Con casi el 80% de las amenazas cibernéticas imitan el comportamiento legítimo del usuario, ¿cómo deciden los mejores SOC del tráfico legítimo y potencialmente peligroso?
Si la detección y respuesta del firewall y el punto final (EDR) carece de detección de las amenazas más importantes para su organización, ¿hacia dónde se dirige? Según el último informe de Investigación de Investigación de Datos de Verizon, han aumentado las violaciones en los dispositivos de borde y las puertas de enlace VPN. Las soluciones EDR luchan por atrapar exploits de día cero, técnicas de criaturas terrestres y ataques sin malware. Casi el 80% de las amenazas detectadas utilizan técnicas sin malware que imitan el comportamiento normal del usuario, como se destaca en el informe de amenaza global 2025 de CrowdStrike. La dura realidad es que los métodos de detección tradicionales ya no son suficientes ya que los actores de amenaza adaptan sus estrategias.
En respuesta, el Centro de Operaciones de Seguridad (SOC) está recurriendo a un enfoque de detección de múltiples capas que no puede usar datos de red para ocultar las actividades enemigas.
Las tecnologías como el descubrimiento de red y la respuesta (NDR) se emplean para proporcionar visibilidad complementaria a EDR al exponer comportamientos que probablemente se pierdan en soluciones basadas en puntos finales. A diferencia de EDR, NDR funciona sin implementación de agentes, identifica efectivamente amenazas que utilizan maliciosamente técnicas comunes y herramientas legales. La fila inferior es una técnica evasiva que funciona para dispositivos de borde y EDR cuando el NDR está en la plataforma de observación.
Capa: estrategia de detección de amenazas más rápida
Al igual que las capas de clima impredecible, los SOC de élite aumentan la resiliencia a través de estrategias de detección de múltiples capas centradas en las ideas de la red. NDR agiliza la gestión al consolidar la detección en un solo sistema, lo que permite a los equipos centrarse en los riesgos de alta prioridad y los casos de uso.
Los equipos pueden adaptarse rápidamente a las condiciones de ataque en evolución, detectar amenazas más rápido y minimizar el daño. Ahora ajustemos las capas que componen esta pila dinámica y echemos un vistazo más de cerca a lo siguiente:
Capa básica
Para ser liviano y aplicado rápidamente, estos capturan fácilmente amenazas conocidas para formar la base de la defensa.
La detección de red basada en la firma sirve como la primera capa de protección debido a su peso ligero y tiempo de respuesta rápido. Las firmas líderes en la industria, como Prueba y ET Pro, funcionan en el motor Suricata, pueden identificar rápidamente amenazas conocidas y patrones de ataque. La inteligencia de amenazas, que a menudo consiste en métricas de compromiso (COI), busca entidades de red conocidas (por ejemplo, direcciones IP, nombres de dominio, hashes) que se observan en ataques reales. Al igual que las firmas, los COI son fáciles de compartir, livianos, desplegados rápidamente y proporcionan una detección más rápida.
Capa de malware
La detección de malware se considera una barrera impermeable y protege contra «gotas» de las cargas útiles de malware al identificar las familias de malware. Las detecciones como las reglas de Yara, el estándar para el análisis de archivos estáticos en la comunidad de análisis de malware, pueden identificar familias de malware que comparten estructuras de código comunes. Es importante detectar malware polimórfico que retiene las propiedades de comportamiento del núcleo mientras cambia su firma.
Capa adaptativa
Las capas más sofisticadas construidas para diferentes condiciones utilizan algoritmos de detección de comportamiento y aprendizaje automático que identifican amenazas conocidas, desconocidas y de evitación.
La detección de comportamientos identifica actividades peligrosas como algoritmos de generación de dominios (DGA), comunicaciones de comando y control, y patrones de extracción de datos anómalos. Sigue siendo efectivo incluso si un atacante cambia el COI (o incluso los componentes del ataque), ya que el comportamiento subyacente permanece sin cambios y las amenazas desconocidas se pueden detectar más rápidamente. Los modelos ML supervisados e insuficientes pueden detectar patrones de ataque conocidos y comportamientos anómalos que pueden indicar nuevas amenazas. Pueden atacar ataques que abarcan más tiempo y complejidad que la detección de comportamiento. La detección de anomalías utiliza el aprendizaje automático no supervisado para encontrar desviaciones del comportamiento de la red de referencia. Esto alertará al SOC de anomalías, como servicios inesperados, software de cliente inusual, inicios de sesión sospechosos, tráfico de gestión maliciosa y más. Las organizaciones pueden ayudar a descubrir las amenazas ocultas en la actividad de la red normal y minimizar el tiempo de permanencia del atacante.
Capa de consulta
Finalmente, en algunas circunstancias no hay una forma más rápida de generar alertas que consultar los datos de red existentes. Descubrimiento basado en la búsqueda: consultas de búsqueda de registro que generan alertas y detecciones) actúan como una capa de Snap -On lista para respuestas rápidas a corto plazo.
Capa integrada de detección de amenazas con NDR
La verdadera fuerza de la detección multicapa es cómo trabajan juntos. Top SOC implementa el descubrimiento y la respuesta de la red (NDR) para proporcionar una visión unificada de las amenazas en toda la red. NDR correlaciona las detecciones de múltiples motores para proporcionar un contexto que mejore las vistas de amenazas completas, la visibilidad de la red centralizada y la respuesta de incidentes en tiempo real.
Más allá de la detección en capas, las soluciones NDR avanzadas también pueden ofrecer varios beneficios importantes que mejoran sus capacidades generales de respuesta a amenazas.
Detección de nuevos vectores de ataque y nuevas tecnologías que aún no están integradas en los sistemas de detección basados en la firma EDR tradicionales. Reducción de los tiempos de respuesta a incidentes con triaje impulsado por la IA y flujos de trabajo automatizados en ~ 25%, según el informe de FireEye 2022
El avance del SOC moderno
La combinación de ataques cada vez más sofisticados, ampliación de superficies de ataque y limitaciones de recursos adicionales requiere un cambio hacia estrategias de detección de varios niveles. En un entorno donde los ataques tienen éxito en segundos, la ventana para mantener ciberseguridad efectiva sin una solución NDR se está cerrando rápidamente. El equipo de Elite SOC lo tiene y ya lo apiló. La pregunta no es si implementar o no la detección de múltiples capas, sino si su organización puede o no hacer esta transición más rápida.
Descubrimiento y respuesta de la red CoreLight
La plataforma NDR abierta integrada de CoreLight combina todos los siete tipos de detección de redes anteriores y se basa en los cimientos del software de código abierto como Zeek®, lo que le permite aprovechar el poder de la inteligencia de detección impulsada por la comunidad. Para obtener más información, consulte Corelight.
Source link
