Hoy en d\u00eda, la mayor\u00eda de las soluciones de detecci\u00f3n y respuesta de red (NDR) se basan en la duplicaci\u00f3n de tr\u00e1fico y la inspecci\u00f3n profunda de paquetes (DPI). La duplicaci\u00f3n de tr\u00e1fico generalmente se implementa en un conmutador de un solo n\u00facleo para proporcionar una copia del tr\u00e1fico de red a un sensor que utiliza DPI para analizar minuciosamente la carga \u00fatil. Si bien este enfoque proporciona un an\u00e1lisis detallado, requiere grandes cantidades de potencia de procesamiento y es ciego cuando se trata de tr\u00e1fico de red encriptado. El an\u00e1lisis de metadatos se ha desarrollado espec\u00edficamente para superar estas limitaciones. Al utilizar metadatos para el an\u00e1lisis, las comunicaciones de la red se pueden observar en cualquier punto de recopilaci\u00f3n y enriquecerse con la informaci\u00f3n que brinda informaci\u00f3n sobre la comunicaci\u00f3n cifrada.<\/p>\n
Las soluciones de detecci\u00f3n y respuesta de red (NDR) se han vuelto cruciales para monitorear y proteger de manera confiable las operaciones de la red. Sin embargo, a medida que el tr\u00e1fico de la red se cifra y los vol\u00famenes de datos contin\u00faan aumentando, la mayor\u00eda de las soluciones NDR tradicionales est\u00e1n llegando a sus l\u00edmites. Esto plantea la pregunta: \u00bfQu\u00e9 tecnolog\u00edas de detecci\u00f3n deben utilizar las organizaciones para garantizar la m\u00e1xima seguridad de sus sistemas?<\/p>\n
Este art\u00edculo arrojar\u00e1 luz sobre el concepto de inspecci\u00f3n profunda de paquetes (DPI) y an\u00e1lisis de metadatos. Compararemos ambas tecnolog\u00edas de detecci\u00f3n y examinaremos c\u00f3mo las soluciones modernas de Detecci\u00f3n y respuesta de red (NDR) pueden proteger eficazmente las redes de TI\/TO de las ciberamenazas avanzadas.<\/p>\n
\u00bfQu\u00e9 es la inspecci\u00f3n profunda de paquetes (DPI) y c\u00f3mo funciona?<\/strong><\/h2>\nDPI es una forma de monitoreo del tr\u00e1fico de red que se utiliza para inspeccionar los paquetes de red que fluyen a trav\u00e9s de un punto de conexi\u00f3n o conmutador espec\u00edfico. En DPI, todo el tr\u00e1fico generalmente se refleja mediante un conmutador central en un sensor de DPI. El sensor DPI luego examina tanto el encabezado como la secci\u00f3n de datos del paquete. Si la secci\u00f3n de datos no est\u00e1 encriptada, los datos de DPI son ricos en informaci\u00f3n y permiten un an\u00e1lisis s\u00f3lido de los puntos de conexi\u00f3n monitoreados. Las soluciones NDR tradicionales se basan en tecnolog\u00edas basadas en DPI, que son bastante populares en la actualidad. Sin embargo, ante la r\u00e1pida expansi\u00f3n de las superficies de ataque y los entornos de TI en evoluci\u00f3n, las limitaciones de DPI se han vuelto cada vez m\u00e1s frecuentes.<\/p>\n
\u00bfPor qu\u00e9 el DPI no es suficiente para detectar ciberataques avanzados?<\/strong><\/h2>\nLas organizaciones utilizan cada vez m\u00e1s el cifrado para proteger el tr\u00e1fico de su red y las interacciones en l\u00ednea. Si bien el cifrado brinda enormes beneficios para la privacidad y la ciberseguridad en l\u00ednea, tambi\u00e9n brinda una oportunidad adecuada para que los ciberdelincuentes se escondan en la oscuridad cuando lanzan ataques cibern\u00e9ticos devastadores. Como DPI no fue dise\u00f1ado para el an\u00e1lisis de tr\u00e1fico encriptado, se ha vuelto ciego a la inspecci\u00f3n de cargas \u00fatiles de paquetes encriptados. Este es un d\u00e9ficit significativo para DPI, ya que la mayor\u00eda de los ataques cibern\u00e9ticos modernos, como APT, ransomware y movimiento lateral, utilizan en gran medida el cifrado en su rutina de ataque para recibir instrucciones de ataque de servidores de comando y control (C&C) remotos dispersos por el ciberespacio. Adem\u00e1s de las capacidades de encriptaci\u00f3n ausentes, DPI requiere grandes cantidades de tiempo y potencia de procesamiento para inspeccionar minuciosamente la secci\u00f3n de datos de cada paquete. En consecuencia, DPI no puede analizar todos los paquetes de red en redes con muchos datos, lo que la convierte en una soluci\u00f3n inviable para redes de gran ancho de banda.<\/p>\n
El nuevo enfoque: an\u00e1lisis de metadatos<\/strong><\/h2>\nEl an\u00e1lisis de metadatos se ha desarrollado para superar las limitaciones de DPI. Al utilizar los metadatos para el an\u00e1lisis de la red, los equipos de seguridad pueden monitorear todas las comunicaciones de la red que pasan a trav\u00e9s de cualquier red f\u00edsica, virtualizada o en la nube sin inspeccionar toda la secci\u00f3n de datos de cada paquete. En consecuencia, el an\u00e1lisis de metadatos no se ve afectado por el cifrado y puede lidiar con un tr\u00e1fico de red cada vez mayor. Para proporcionar a los equipos de seguridad inteligencia en tiempo real de todo el tr\u00e1fico de la red, el an\u00e1lisis de metadatos captura una gran variedad de atributos sobre las comunicaciones, las aplicaciones y los actores de la red (por ejemplo, los inicios de sesi\u00f3n de los usuarios). Por ejemplo, para cada sesi\u00f3n que pasa por la red, se registra la direcci\u00f3n IP de origen\/destino, la duraci\u00f3n de la sesi\u00f3n, el protocolo utilizado (TCP, UDP) y el tipo de servicios utilizados. Los metadatos pueden capturar muchos otros atributos clave, que ayudan de manera efectiva a detectar y prevenir ataques cibern\u00e9ticos avanzados:<\/p>\n
\n- Direcci\u00f3n IP del host y del servidor, n\u00famero de puerto, informaci\u00f3n de ubicaci\u00f3n geogr\u00e1fica<\/li>\n
- Dispositivos de asignaci\u00f3n de informaci\u00f3n de DNS y DHCP a direcciones IP<\/li>\n
- Accesos a la p\u00e1gina web, junto con la URL y la informaci\u00f3n del encabezado<\/li>\n
- Mapeo de usuarios a sistemas usando datos de registro de DC<\/li>\n
- P\u00e1ginas web cifradas: tipo de cifrado, cifrado y hash, FQDN de cliente\/servidor<\/li>\n
- Hashes de diferentes objetos, como JavaScript e im\u00e1genes.<\/li>\n<\/ul>\n
\u00bfC\u00f3mo pueden los equipos de seguridad beneficiarse de NDR basado en metadatos?<\/strong><\/h2>\nLa implementaci\u00f3n de una soluci\u00f3n de detecci\u00f3n y respuesta de red (NDR) basada en el an\u00e1lisis de metadatos brinda a los equipos de seguridad informaci\u00f3n confiable sobre lo que sucede dentro de su red, sin importar si el tr\u00e1fico est\u00e1 encriptado o no. El an\u00e1lisis de metadatos complementado con registros de aplicaciones y sistemas permite a los equipos de seguridad detectar vulnerabilidades y mejorar la visibilidad interna de los puntos ciegos, como los dispositivos de TI en la sombra, que se consideran un punto de entrada com\u00fan explotado por los ciberdelincuentes. Esta visibilidad hol\u00edstica no es posible con las soluciones NDR basadas en DPI. Adem\u00e1s, los metadatos livianos permiten el almacenamiento eficiente de datos de registro de registros hist\u00f3ricos, lo que facilita las investigaciones forenses. El an\u00e1lisis DPI de datos pesados \u200b\u200bhace que el almacenamiento a largo plazo de datos hist\u00f3ricos sea pr\u00e1cticamente inviable o muy costoso. Finalmente, el enfoque de metadatos permite a los equipos de seguridad determinar la fuente de todo el tr\u00e1fico que pasa a trav\u00e9s de las redes corporativas y monitorear la actividad sospechosa en todos los dispositivos conectados a las redes, como los dispositivos IoT. Esto hace posible una visibilidad completa de las redes corporativas.<\/p>\n
Conclusi\u00f3n: El Futuro de la Ciberseguridad es el an\u00e1lisis de Metadatos <\/strong><\/h2>\nLas herramientas NDR tradicionales basadas en DPI eventualmente se volver\u00e1n obsoletas para la ciberseguridad empresarial a medida que se expanda el panorama de amenazas y se cifre m\u00e1s tr\u00e1fico. Estos desarrollos ya se sienten en toda la industria de la ciberseguridad, ya que m\u00e1s empresas est\u00e1n adoptando sistemas de seguridad basados \u200b\u200ben MA para sellar de manera efectiva las brechas de seguridad y proteger sus activos digitales.<\/p>\n
\n\n\n![\"Software](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/1668522265_913_Inspeccion-profunda-de-paquetes-frente-a-analisis-de-metadatos-de.jpg\" "\\"Software")
<\/td>\n<\/tr>\n \nPlataforma ExeonTrace: Captura de pantalla del gr\u00e1fico del analizador de red personalizado<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
Las organizaciones utilizan cada vez m\u00e1s el cifrado para proteger el tr\u00e1fico de su red y las interacciones en l\u00ednea. Si bien el cifrado brinda enormes beneficios para la privacidad y la ciberseguridad en l\u00ednea, tambi\u00e9n brinda una oportunidad adecuada para que los ciberdelincuentes se escondan en la oscuridad cuando lanzan ataques cibern\u00e9ticos devastadores. Como DPI no fue dise\u00f1ado para el an\u00e1lisis de tr\u00e1fico encriptado, se ha vuelto ciego a la inspecci\u00f3n de cargas \u00fatiles de paquetes encriptados. Este es un d\u00e9ficit significativo para DPI, ya que la mayor\u00eda de los ataques cibern\u00e9ticos modernos, como APT, ransomware y movimiento lateral, utilizan en gran medida el cifrado en su rutina de ataque para recibir instrucciones de ataque de servidores de comando y control (C&C) remotos dispersos por el ciberespacio. Adem\u00e1s de las capacidades de encriptaci\u00f3n ausentes, DPI requiere grandes cantidades de tiempo y potencia de procesamiento para inspeccionar minuciosamente la secci\u00f3n de datos de cada paquete. En consecuencia, DPI no puede analizar todos los paquetes de red en redes con muchos datos, lo que la convierte en una soluci\u00f3n inviable para redes de gran ancho de banda.<\/p>\n
El nuevo enfoque: an\u00e1lisis de metadatos<\/strong><\/h2>\nEl an\u00e1lisis de metadatos se ha desarrollado para superar las limitaciones de DPI. Al utilizar los metadatos para el an\u00e1lisis de la red, los equipos de seguridad pueden monitorear todas las comunicaciones de la red que pasan a trav\u00e9s de cualquier red f\u00edsica, virtualizada o en la nube sin inspeccionar toda la secci\u00f3n de datos de cada paquete. En consecuencia, el an\u00e1lisis de metadatos no se ve afectado por el cifrado y puede lidiar con un tr\u00e1fico de red cada vez mayor. Para proporcionar a los equipos de seguridad inteligencia en tiempo real de todo el tr\u00e1fico de la red, el an\u00e1lisis de metadatos captura una gran variedad de atributos sobre las comunicaciones, las aplicaciones y los actores de la red (por ejemplo, los inicios de sesi\u00f3n de los usuarios). Por ejemplo, para cada sesi\u00f3n que pasa por la red, se registra la direcci\u00f3n IP de origen\/destino, la duraci\u00f3n de la sesi\u00f3n, el protocolo utilizado (TCP, UDP) y el tipo de servicios utilizados. Los metadatos pueden capturar muchos otros atributos clave, que ayudan de manera efectiva a detectar y prevenir ataques cibern\u00e9ticos avanzados:<\/p>\n
\n- Direcci\u00f3n IP del host y del servidor, n\u00famero de puerto, informaci\u00f3n de ubicaci\u00f3n geogr\u00e1fica<\/li>\n
- Dispositivos de asignaci\u00f3n de informaci\u00f3n de DNS y DHCP a direcciones IP<\/li>\n
- Accesos a la p\u00e1gina web, junto con la URL y la informaci\u00f3n del encabezado<\/li>\n
- Mapeo de usuarios a sistemas usando datos de registro de DC<\/li>\n
- P\u00e1ginas web cifradas: tipo de cifrado, cifrado y hash, FQDN de cliente\/servidor<\/li>\n
- Hashes de diferentes objetos, como JavaScript e im\u00e1genes.<\/li>\n<\/ul>\n
\u00bfC\u00f3mo pueden los equipos de seguridad beneficiarse de NDR basado en metadatos?<\/strong><\/h2>\nLa implementaci\u00f3n de una soluci\u00f3n de detecci\u00f3n y respuesta de red (NDR) basada en el an\u00e1lisis de metadatos brinda a los equipos de seguridad informaci\u00f3n confiable sobre lo que sucede dentro de su red, sin importar si el tr\u00e1fico est\u00e1 encriptado o no. El an\u00e1lisis de metadatos complementado con registros de aplicaciones y sistemas permite a los equipos de seguridad detectar vulnerabilidades y mejorar la visibilidad interna de los puntos ciegos, como los dispositivos de TI en la sombra, que se consideran un punto de entrada com\u00fan explotado por los ciberdelincuentes. Esta visibilidad hol\u00edstica no es posible con las soluciones NDR basadas en DPI. Adem\u00e1s, los metadatos livianos permiten el almacenamiento eficiente de datos de registro de registros hist\u00f3ricos, lo que facilita las investigaciones forenses. El an\u00e1lisis DPI de datos pesados \u200b\u200bhace que el almacenamiento a largo plazo de datos hist\u00f3ricos sea pr\u00e1cticamente inviable o muy costoso. Finalmente, el enfoque de metadatos permite a los equipos de seguridad determinar la fuente de todo el tr\u00e1fico que pasa a trav\u00e9s de las redes corporativas y monitorear la actividad sospechosa en todos los dispositivos conectados a las redes, como los dispositivos IoT. Esto hace posible una visibilidad completa de las redes corporativas.<\/p>\n
Conclusi\u00f3n: El Futuro de la Ciberseguridad es el an\u00e1lisis de Metadatos <\/strong><\/h2>\nLas herramientas NDR tradicionales basadas en DPI eventualmente se volver\u00e1n obsoletas para la ciberseguridad empresarial a medida que se expanda el panorama de amenazas y se cifre m\u00e1s tr\u00e1fico. Estos desarrollos ya se sienten en toda la industria de la ciberseguridad, ya que m\u00e1s empresas est\u00e1n adoptando sistemas de seguridad basados \u200b\u200ben MA para sellar de manera efectiva las brechas de seguridad y proteger sus activos digitales.<\/p>\n
\n\n\n<\/td>\n<\/tr>\n \nPlataforma ExeonTrace: Captura de pantalla del gr\u00e1fico del analizador de red personalizado<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
\u00bfC\u00f3mo pueden los equipos de seguridad beneficiarse de NDR basado en metadatos?<\/strong><\/h2>\nLa implementaci\u00f3n de una soluci\u00f3n de detecci\u00f3n y respuesta de red (NDR) basada en el an\u00e1lisis de metadatos brinda a los equipos de seguridad informaci\u00f3n confiable sobre lo que sucede dentro de su red, sin importar si el tr\u00e1fico est\u00e1 encriptado o no. El an\u00e1lisis de metadatos complementado con registros de aplicaciones y sistemas permite a los equipos de seguridad detectar vulnerabilidades y mejorar la visibilidad interna de los puntos ciegos, como los dispositivos de TI en la sombra, que se consideran un punto de entrada com\u00fan explotado por los ciberdelincuentes. Esta visibilidad hol\u00edstica no es posible con las soluciones NDR basadas en DPI. Adem\u00e1s, los metadatos livianos permiten el almacenamiento eficiente de datos de registro de registros hist\u00f3ricos, lo que facilita las investigaciones forenses. El an\u00e1lisis DPI de datos pesados \u200b\u200bhace que el almacenamiento a largo plazo de datos hist\u00f3ricos sea pr\u00e1cticamente inviable o muy costoso. Finalmente, el enfoque de metadatos permite a los equipos de seguridad determinar la fuente de todo el tr\u00e1fico que pasa a trav\u00e9s de las redes corporativas y monitorear la actividad sospechosa en todos los dispositivos conectados a las redes, como los dispositivos IoT. Esto hace posible una visibilidad completa de las redes corporativas.<\/p>\n
Conclusi\u00f3n: El Futuro de la Ciberseguridad es el an\u00e1lisis de Metadatos <\/strong><\/h2>\nLas herramientas NDR tradicionales basadas en DPI eventualmente se volver\u00e1n obsoletas para la ciberseguridad empresarial a medida que se expanda el panorama de amenazas y se cifre m\u00e1s tr\u00e1fico. Estos desarrollos ya se sienten en toda la industria de la ciberseguridad, ya que m\u00e1s empresas est\u00e1n adoptando sistemas de seguridad basados \u200b\u200ben MA para sellar de manera efectiva las brechas de seguridad y proteger sus activos digitales.<\/p>\n
\n\n\n<\/td>\n<\/tr>\n \nPlataforma ExeonTrace: Captura de pantalla del gr\u00e1fico del analizador de red personalizado<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
Las herramientas NDR tradicionales basadas en DPI eventualmente se volver\u00e1n obsoletas para la ciberseguridad empresarial a medida que se expanda el panorama de amenazas y se cifre m\u00e1s tr\u00e1fico. Estos desarrollos ya se sienten en toda la industria de la ciberseguridad, ya que m\u00e1s empresas est\u00e1n adoptando sistemas de seguridad basados \u200b\u200ben MA para sellar de manera efectiva las brechas de seguridad y proteger sus activos digitales.<\/p>\n
| <\/td>\n<\/tr>\n |
| Plataforma ExeonTrace: Captura de pantalla del gr\u00e1fico del analizador de red personalizado<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n |