Hoy en día, la mayoría de las soluciones de detección y respuesta de red (NDR) se basan en la duplicación de tráfico y la inspección profunda de paquetes (DPI). La duplicación de tráfico generalmente se implementa en un conmutador de un solo núcleo para proporcionar una copia del tráfico de red a un sensor que utiliza DPI para analizar minuciosamente la carga útil. Si bien este enfoque proporciona un análisis detallado, requiere grandes cantidades de potencia de procesamiento y es ciego cuando se trata de tráfico de red encriptado. El análisis de metadatos se ha desarrollado específicamente para superar estas limitaciones. Al utilizar metadatos para el análisis, las comunicaciones de la red se pueden observar en cualquier punto de recopilación y enriquecerse con la información que brinda información sobre la comunicación cifrada.
Las soluciones de detección y respuesta de red (NDR) se han vuelto cruciales para monitorear y proteger de manera confiable las operaciones de la red. Sin embargo, a medida que el tráfico de la red se cifra y los volúmenes de datos continúan aumentando, la mayoría de las soluciones NDR tradicionales están llegando a sus límites. Esto plantea la pregunta: ¿Qué tecnologías de detección deben utilizar las organizaciones para garantizar la máxima seguridad de sus sistemas?
Este artículo arrojará luz sobre el concepto de inspección profunda de paquetes (DPI) y análisis de metadatos. Compararemos ambas tecnologías de detección y examinaremos cómo las soluciones modernas de Detección y respuesta de red (NDR) pueden proteger eficazmente las redes de TI/TO de las ciberamenazas avanzadas.
¿Qué es la inspección profunda de paquetes (DPI) y cómo funciona?
DPI es una forma de monitoreo del tráfico de red que se utiliza para inspeccionar los paquetes de red que fluyen a través de un punto de conexión o conmutador específico. En DPI, todo el tráfico generalmente se refleja mediante un conmutador central en un sensor de DPI. El sensor DPI luego examina tanto el encabezado como la sección de datos del paquete. Si la sección de datos no está encriptada, los datos de DPI son ricos en información y permiten un análisis sólido de los puntos de conexión monitoreados. Las soluciones NDR tradicionales se basan en tecnologías basadas en DPI, que son bastante populares en la actualidad. Sin embargo, ante la rápida expansión de las superficies de ataque y los entornos de TI en evolución, las limitaciones de DPI se han vuelto cada vez más frecuentes.
¿Por qué el DPI no es suficiente para detectar ciberataques avanzados?
Las organizaciones utilizan cada vez más el cifrado para proteger el tráfico de su red y las interacciones en línea. Si bien el cifrado brinda enormes beneficios para la privacidad y la ciberseguridad en línea, también brinda una oportunidad adecuada para que los ciberdelincuentes se escondan en la oscuridad cuando lanzan ataques cibernéticos devastadores. Como DPI no fue diseñado para el análisis de tráfico encriptado, se ha vuelto ciego a la inspección de cargas útiles de paquetes encriptados. Este es un déficit significativo para DPI, ya que la mayoría de los ataques cibernéticos modernos, como APT, ransomware y movimiento lateral, utilizan en gran medida el cifrado en su rutina de ataque para recibir instrucciones de ataque de servidores de comando y control (C&C) remotos dispersos por el ciberespacio. Además de las capacidades de encriptación ausentes, DPI requiere grandes cantidades de tiempo y potencia de procesamiento para inspeccionar minuciosamente la sección de datos de cada paquete. En consecuencia, DPI no puede analizar todos los paquetes de red en redes con muchos datos, lo que la convierte en una solución inviable para redes de gran ancho de banda.
El nuevo enfoque: análisis de metadatos
El análisis de metadatos se ha desarrollado para superar las limitaciones de DPI. Al utilizar los metadatos para el análisis de la red, los equipos de seguridad pueden monitorear todas las comunicaciones de la red que pasan a través de cualquier red física, virtualizada o en la nube sin inspeccionar toda la sección de datos de cada paquete. En consecuencia, el análisis de metadatos no se ve afectado por el cifrado y puede lidiar con un tráfico de red cada vez mayor. Para proporcionar a los equipos de seguridad inteligencia en tiempo real de todo el tráfico de la red, el análisis de metadatos captura una gran variedad de atributos sobre las comunicaciones, las aplicaciones y los actores de la red (por ejemplo, los inicios de sesión de los usuarios). Por ejemplo, para cada sesión que pasa por la red, se registra la dirección IP de origen/destino, la duración de la sesión, el protocolo utilizado (TCP, UDP) y el tipo de servicios utilizados. Los metadatos pueden capturar muchos otros atributos clave, que ayudan de manera efectiva a detectar y prevenir ataques cibernéticos avanzados:
- Dirección IP del host y del servidor, número de puerto, información de ubicación geográfica
- Dispositivos de asignación de información de DNS y DHCP a direcciones IP
- Accesos a la página web, junto con la URL y la información del encabezado
- Mapeo de usuarios a sistemas usando datos de registro de DC
- Páginas web cifradas: tipo de cifrado, cifrado y hash, FQDN de cliente/servidor
- Hashes de diferentes objetos, como JavaScript e imágenes.
¿Cómo pueden los equipos de seguridad beneficiarse de NDR basado en metadatos?
La implementación de una solución de detección y respuesta de red (NDR) basada en el análisis de metadatos brinda a los equipos de seguridad información confiable sobre lo que sucede dentro de su red, sin importar si el tráfico está encriptado o no. El análisis de metadatos complementado con registros de aplicaciones y sistemas permite a los equipos de seguridad detectar vulnerabilidades y mejorar la visibilidad interna de los puntos ciegos, como los dispositivos de TI en la sombra, que se consideran un punto de entrada común explotado por los ciberdelincuentes. Esta visibilidad holística no es posible con las soluciones NDR basadas en DPI. Además, los metadatos livianos permiten el almacenamiento eficiente de datos de registro de registros históricos, lo que facilita las investigaciones forenses. El análisis DPI de datos pesados hace que el almacenamiento a largo plazo de datos históricos sea prácticamente inviable o muy costoso. Finalmente, el enfoque de metadatos permite a los equipos de seguridad determinar la fuente de todo el tráfico que pasa a través de las redes corporativas y monitorear la actividad sospechosa en todos los dispositivos conectados a las redes, como los dispositivos IoT. Esto hace posible una visibilidad completa de las redes corporativas.
Conclusión: El Futuro de la Ciberseguridad es el análisis de Metadatos
Las herramientas NDR tradicionales basadas en DPI eventualmente se volverán obsoletas para la ciberseguridad empresarial a medida que se expanda el panorama de amenazas y se cifre más tráfico. Estos desarrollos ya se sienten en toda la industria de la ciberseguridad, ya que más empresas están adoptando sistemas de seguridad basados en MA para sellar de manera efectiva las brechas de seguridad y proteger sus activos digitales.
ExeonTrace es una solución NDR líder basada en análisis de metadatos. A diferencia de los sistemas NDR tradicionales basados en DPI, ExeonTrace proporciona un manejo de datos inteligente, no se ve afectado por el cifrado y no requiere ningún sensor de hardware. Además, ExeonTrace puede manejar sin esfuerzo el tráfico de red de gran ancho de banda, ya que reduce los volúmenes de red y proporciona un almacenamiento de datos más eficiente. En consecuencia, ExeonTrace es la solución NDR de elección para redes corporativas complejas y de gran ancho de banda.
 |
| Plataforma ExeonTrace: Captura de pantalla del gráfico del analizador de red personalizado |
Reserve una demostración gratuita para descubrir cómo ExeonTrace puede ayudarlo a abordar sus desafíos de seguridad y hacer que su organización sea más resistente a la ciberseguridad.