Actualmente nos vemos inmersos en un proceso de transformación digital para muchas organizaciones, las cuales son conocedoras, o no, de los riegos existentes respecto al ámbito de la seguridad. Durante este pasado año 2020 no se han parado de conocer incidentes de seguridad en diferentes organizaciones, como pueden ser hospitales, grandes compañías de seguros e incluso grandes corporaciones americanas, por poner algunos de los ejemplos más relevantes. No paramos de encontrarnos casi todas las semanas con alguna noticia nueva relacionada con algún incidente de seguridad. A finales de enero del 2021, la Policía Nacional volvió a advertir de un incremento en los intentos de estafas a administraciones públicas por medio de los fraudes al CEO (Chief Executive Officer) y fraudes BEC (Business Enterprise Compromise):
“La dinámica delictiva que se está extendiendo es la suplantación, por parte de las organizaciones criminales, de responsables públicos de contratos específicos, para lo cual desarrollan un engaño a través de correos electrónicos basado en datos precisos y pormenorizados de contrataciones reales. Aunque el aumento detectado en las últimas semanas afecta especialmente a organismos públicos, los fraudes afectan, además, a todo tipo de empresas, entidades, clubes de fútbol o autónomos, entre otros».
Sistemas de seguridad en las organizaciones
Hoy en día la seguridad al 100% no existe o no podemos garantizar que se disponga de ella y es por esto por lo que se debe disponer en las organizaciones de sistemas de seguridad que permitan saber qué ocurre en cada momento e incluso disponer de una cronología del tráfico para poder realizar una retrospección. Dicha retrospección ayudará a realizar análisis forenses de la red ante un incidente de seguridad. Sabemos que actualmente existen elementos como los EDR (Endpoint Detection and Response) que permiten conocer el tráfico que se genera en un endpoint pero ¿qué ocurre con los dispositivos que no son compatibles con estos EDR?. Hoy queremos realizar una introducción al concepto de NDR (Network Detection and Response).
Se podría decir que los NDR son la evolución de los IDS (Intrusion Detection System). Como todo el mundo sabe, los IDS son elementos estáticos, basados en firmas, que alertan cuando cierto tipo de tráfico ha ocurrido en una organización o en una red y coincide con una de las firmas de las que dispone dicho IDS. Los NDR dan un paso más, pues disponen de técnicas de nueva generación basadas en Machine Learning, que permiten la creación de una línea de base (baseline) en función del tráfico existente en la red y así pueden generar alertas que se activarán cuando se detecte algún tipo de tráfico fuera de lo esperado a partir de la baseline generada.
Estas soluciones han sido diseñadas para ser operadas por analistas de seguridad, a los cuales, además de ayudarles en las operaciones diarias con la obtención de evidencias de comportamientos maliciosos, también les permitirá conocer qué elementos de la red se comunican con redes de comando y control, dominios maliciosos, redes TOR, etc… Uno de los casos de uso de estas herramientas es la detección de exfiltración de datos, siendo este uno de los principales objetivos de los grupos de ciberdelincuentes en la actualidad para poder extorsionar o solicitar un rescate cuando se ha sufrido un incidente de seguridad. Los NDR son la última barrera ante ataques de Día Cero (ataques nunca vistos antes) pues solo podremos detectar el comportamiento malicioso cuando se produzca un movimiento lateral desde un dispositivo comprometido o se produzca un comportamiento fuera del esperado gracias a la línea de base.
Las herramientas NDR podrán ser operadas por personal propio de las organizaciones o por personal especializado en centros dedicados a la protección de infraestructuras, como puede ser un SOC, pero cabe destacar que estas herramientas no están orientadas solo para los entornos de seguridad. Gracias a la visibilidad que ofrecen, también son de utilidad para los NOC más tradicionales, pues permiten conocer cuanto tráfico se está moviendo por la red, visualizar por medio de mapas las comunicaciones entre dos puntos de la red, o alertar si el tráfico excede o disminuye respecto del esperado. Con estas alertas se pueden detectar, si por algún motivo la red se está degradando lentamente, comportamientos que herramientas de monitorización tradicionales no pueden.
Los NDR pueden desplegarse tanto en entornos on-premise como en entornos cloud, permitiendo ganar visibilidad y ayudando a las organizaciones con el cumplimiento de las políticas de seguridad e incluso con cumplimientos normativos. Actualmente existen diferentes fabricantes que proporcionan estas soluciones, algunos de estos fabricantes pueden llegar a incorporar la solución embebida en los propios firewalls, otros la integran en los switches, utilizándolos como sondas que analizan el tráfico que transcurre por ellos y reportándolo a una consola central, otros requieren de la instalación de sondas para el envío de copias de tráfico y otros fabricantes usan el envío de netflow a concentradores que procesan estos paquetes, procesando la información y enviándola a una consola centralizada.
Adicionalmente otro de los segmentos donde estas herramientas aplican perfectamente y donde también se detecta un crecimiento destacado en su demanda es en los entornos OT. Generalmente las redes OT en su origen partieron de redes planas y sin seguridad, donde no se conocían los flujos de tráfico existentes. Con estas herramientas, se consigue dar visibilidad a las organizaciones y así comenzar a aplicar seguridad donde antes no existía y sin afectar a su negocio, así por ejemplo, gracias a la detección del tráfico dentro de los switches no se tendrán que realizar cambios de direccionamiento que provoquen cortes en la producción. Del mismo modo, otro segmento en donde aplica los NDR es en las redes con dispositivos IoT, estos dispositivos muchas veces no permiten la instalación de agentes de EDR como nombrábamos con anterioridad, o no se han diseñado para disponer de seguridad, siendo necesario conocer qué flujos generan estos dispositivos IoT y combatiendo así contra una posible red de botnet, por ejemplo.
Las soluciones NDR pueden o deben llegar a detectar toda la actividad de las redes de las organizaciones para su análisis en tiempo real o a posteriori. Estas soluciones se pueden implementar en formato físico, en formato máquina virtual e incluso como una mezcla de ambos formatos, también existe la posibilidad de adquirir la solución con formato SaaS. Antes de comenzar con el despliegue de estas soluciones, se tendrá que analizar en que puntos de la red es donde más conviene instalar la solución, pues se debe siempre cubrir todas las direcciones de las comunicaciones como son las comunicaciones Norte – Sur (comunicaciones que atraviesan el perímetro de la red) y Este – Oeste (comunicaciones laterales). Si el despliegue de esta solución es basado en copias del tráfico se recomienda que la copia sea lo más cerca de los elementos de seguridad de los que disponga la organización como puede ser los firewalls tanto perimetrales como internos y del CPD, también en elementos de red que hagan el enrutado y las comunicaciones no pasen por un firewall. Si la opción a desplegar se basa en el envío de telemetría por medio de netflow, se recomienda activar este envío en el mayor número de puntos posibles de la red para evitar no detectar posibles flujos de comunicación, destacar que estas herramientas NDR son compatibles con firewall, switches, routers, proxys, balanceadores, etc… incluso algunas herramientas permiten el envío de tráfico de syslog para complementar la telemetría.
Con la situación actual de pandemia global, la gran mayoría de las empresas han tenido que recurrir al teletrabajo para poder continuar con su operativa diaria, pero ¿estas VPN que permiten el teletrabajo están correctamente configuradas? ¿los dispositivos que se utilizan para el teletrabajo son corporativos? ¿cumplen con la política de seguridad?. Todas estas preguntas puede que no tengan una respuesta fácil, pero por esto las herramientas NDR nos pueden ayudar a detectar malos usos de las VPN, ya sea por parte de los usuarios de las organizaciones, o por malos usos realizados por terceras empresas que utilizan la VPN para prestar sus servicios.
También te puede interesar: El OSS del futuro y el Fast Data👈
Un punto también importante es el tráfico cifrado, las herramientas NDR normalmente no se encuentran en línea, sino que se realizan copias del tráfico para poder realizar un descifrado del tráfico evitando problemas de rendimiento en los elementos de la red que prestan el servicio. Del mismo modo las herramientas NDR al no estar en línea no pueden bloquear, pero sí permiten integrarse con otros dispositivos como pueden ser un NAC (Network Access Control), pudiendo mover un dispositivo infectado o comprometido a una red de cuarentena. También se puede integrar con firewalls, por medio de API que permitirán bloquear el tráfico originado o con destino un host, o la creación de nuevas reglas de seguridad debido a un flujo detectado. Continuando con las integraciones posibles de los NDR, se debe recalcar las integraciones con herramientas de correlación de eventos como puede ser un SIEM (Security Information and Event Management), o con herramientas de automatización, remediación y orquestación como es un SOAR (Security Orchestration, Automation and Response).
A modo de conclusión, los NDR permiten saber qué está pasando en nuestra red, conocer los flujos existentes e incluso generar alertas ante cualquier comportamiento malicioso, y es por ello que llevan ganando popularidad en los últimos años con un crecimiento muy notable. De forma general estas soluciones ofrecen:
- Ganar visibilidad en la red (IT tradicionales, OT e híbridas)
- Conocer los flujos existentes entre diferentes redes de una organización
- Utilización de Machine Learning para:
- Detección de dispositivos infectados, comprometidos, tráficos sospechosos
- Detección de exfiltración de información
- Detección de ataques de denegación de servicio entrante o saliente
- Compatibilidad con todos los elementos tradicionales de la red (firewall, switch, router)
- Versatilidad a la hora de desplegar la solución (on-prem, cloud pública o privada, SaaS)
- Plataformas administradas y gestionadas por departamentos SOC y NOC
- Integración con herramientas SIEM y SOAR
- Capacidad de rendimiento en redes de hasta 100Gbps
Fuentes:
https://www.cisco.com
https://plus.kuppingercole.com
https://www.paloaltonetworks.com/
https://www.broadcom.com/
https://www.darktrace.com
Artículo publicado en el portal de tecnología My Computer pro, puedes verlo aquí