Con casi el 80% de las amenazas cibernéticas que ahora imitan el comportamiento legítimo del usuario, ¿cómo determinan los mejores SOC qué es el tráfico legítimo y qué es potencialmente peligroso?
¿A dónde gira cuando los firewalls y la detección y respuesta de punto final (EDR) se quedan cortos para detectar las amenazas más importantes para su organización? Las infracciones en los dispositivos Edge y las puertas de enlace VPN han aumentado del 3% al 22%, según el último informe de Investigaciones de violaciones de datos de Verizon. Las soluciones EDR están luchando por atrapar exploits de día cero, técnicas de vida y ataques sin malware. Casi el 80% de las amenazas detectadas utilizan técnicas sin malware que imitan el comportamiento normal del usuario, como se destaca en el informe de amenaza global 2025 de CrowdStrike. La clara realidad es que los métodos de detección convencionales ya no son suficientes ya que los actores de amenaza adaptan sus estrategias, utilizando técnicas inteligentes como el robo de credenciales o el secuestro de DLL para evitar el descubrimiento.
En respuesta, los centros de operaciones de seguridad (SOC) están recurriendo a un detección de múltiples capas Enfoque que utiliza datos de red para exponer la actividad Los adversarios no pueden ocultar.
Se están adoptando tecnologías como la detección de redes y la respuesta (NDR) para proporcionar visibilidad que complementa EDR al exponer comportamientos que tienen más probabilidades de perderse con las soluciones basadas en el punto final. A diferencia de EDR, NDR opera sin implementación de agentes, por lo que identifica efectivamente amenazas que utilizan técnicas comunes y herramientas legítimas de manera maliciosa. La conclusión son las técnicas evasivas que funcionan contra dispositivos de borde y EDR tienen menos probabilidades de tener éxito cuando NDR también está atento.
Capas: la estrategia de detección de amenazas más rápida
Al igual que las capas para un clima impredecible, los SOC de élite aumentan la resiliencia a través de una estrategia de detección de múltiples capas centrada en las ideas de la red. Al consolidar las detecciones en un solo sistema, NDR agiliza la gestión y faculta a los equipos a centrarse en los riesgos de alta prioridad y los casos de uso.
Los equipos pueden adaptarse rápidamente a las condiciones de ataque en evolución, detectar amenazas más rápido y minimizar el daño. Ahora, preparemos y echemos un vistazo más de cerca a las capas que componen esta pila dinámica:
La capa base
Ligero y rápido para aplicar, estas fácilmente capturan amenazas conocidas para formar la base de la defensa:
- Detección de redes basada en la firma Sirve como la primera capa de protección debido a su naturaleza ligera y tiempos de respuesta rápidos. Las firmas líderes en la industria, como las de PruebePpoint et Pro que se ejecutan en los motores Suricata, pueden identificar rápidamente amenazas y patrones de ataque conocidos.
- Inteligencia de amenazas, A menudo compuestos por indicadores de compromiso (COI), busca entidades de red conocidas (por ejemplo, direcciones IP, nombres de dominio, hash) observados en ataques reales. Al igual que con las firmas, los COI son fáciles de compartir, livianos y rápidos de implementar, ofreciendo una detección más rápida.
La capa de malware
Pensar en detección de malware Como una barrera impermeable, protegiendo contra «gotas» de las cargas útiles de malware mediante la identificación de familias de malware. Las detecciones como las reglas de Yara, un estándar para el análisis de archivos estáticos en la comunidad de análisis de malware, pueden identificar a las familias de malware que comparten estructuras de código comunes. Es crucial para detectar malware polimórfico que altera su firma mientras retiene las características de comportamiento del núcleo.
La capa adaptativa
Construidas para las condiciones en evolución del clima, las capas más sofisticadas utilizan algoritmos de detección de comportamiento y aprendizaje automático que identifican amenazas conocidas, desconocidas y evasivas:
- Detección de comportamiento Identifica actividades peligrosas como algoritmos de generación de dominio (DGA), comunicaciones de comando y control, y patrones de exfiltración de datos inusuales. Sigue siendo efectivo incluso cuando los atacantes cambian sus COI (o incluso componentes del ataque), ya que los comportamientos subyacentes no cambian, lo que permite una detección más rápida de amenazas desconocidas.
- Ml Los modelos, tanto supervisados como sin supervisión, pueden detectar patrones de ataque conocidos y comportamientos anómalos que podrían indicar nuevas amenazas. Pueden atacar ataques que abarcan mayores longitudes de tiempo y complejidad que las detecciones conductuales.
- Detección de anomalías Utiliza el aprendizaje automático no supervisado para detectar desviaciones del comportamiento de la red de referencia. Esto alerta a SOCS sobre anomalías como servicios inesperados, software de cliente inusual, inicios de sesión sospechosos y tráfico de gestión maliciosa. Ayuda a las organizaciones a descubrir las amenazas que se esconden en la actividad de la red normal y minimizan el tiempo de permanencia del atacante.
La capa de consulta
Finalmente, en algunas situaciones, simplemente no hay una forma más rápida de generar una alerta que consultar los datos de red existentes. Detección basada en la búsqueda – Las consultas de búsqueda de registro que generan alertas y detecciones, funciones como una capa Snap-On que está lista para una respuesta rápida a corto plazo.
Unificar capas de detección de amenazas con NDR
La verdadera fuerza en las detecciones de múltiples capas es cómo trabajan juntos. Los principales SOC están implementando la detección y respuesta de la red (NDR) para proporcionar una visión unificada de las amenazas en toda la red. NDR correlaciona las detecciones de múltiples motores para ofrecer una visión de amenaza completa, la visibilidad de la red centralizada y el contexto que impulsa la respuesta de incidentes en tiempo real.
Más allá de las detecciones en capas, Soluciones NDR avanzadas También puede ofrecer varias ventajas clave que mejoran las capacidades generales de respuesta a la amenaza:
- Detección de vectores de ataque emergentes y técnicas novedosas que aún no se han incorporado en los sistemas de detección tradicionales basados en la firma EDR.
- Reducir las tasas falsas positivas en ~ 25%, según un informe de FireEye 2022
- Tiempos de respuesta a incidentes de corte con triaje impulsado por IA y flujos de trabajo automatizados
- Cobertura integral de herramientas, técnicas y procedimientos basados en red MITER ATT & CK (TTPS)
- Aprovechando la inteligencia compartida y las detecciones impulsadas por la comunidad (soluciones de código abierto)
El camino hacia adelante para los socs modernos
La combinación de ataques cada vez más sofisticados, superficies de ataque en expansión y restricciones de recursos adicionales requiere un cambio hacia estrategias de detección de múltiples capas. En un entorno donde los ataques tienen éxito en segundos, la ventana para mantener ciberseguridad efectiva sin una solución NDR se está cerrando rápidamente. Los equipos de Elite SOC obtienen esto y ya he colocado en capas. La pregunta no es si implementar la detección de múltiples capas, es la forma en que las organizaciones pueden hacer esta transición.
Detección y respuesta de la red CoreLight
La plataforma NDR abierta integrada de CoreLight combina los siete tipos de detección de red mencionados anteriormente y se basa en una base de software de código abierto como Zeek®, lo que le permite aprovechar el poder de la inteligencia de detección impulsada por la comunidad. Para más información: Enchufe.