A pesar de la abundancia de telemetría a disposición de los analistas, muchos equipos de operaciones de seguridad luchan por responder algunas preguntas básicas durante la investigación de incidentes: ¿Qué pasó? ¿Qué evidencia tenemos? ¿Cómo sabemos que lo estamos viendo todo, en contexto?
Responder a estas preguntas requiere que los equipos vayan más allá de las alertas, la base más común para la clasificación inicial. Pero las investigaciones (y sus resultados) requieren evidencia defendible, no suposiciones, que es lo que tienden a ofrecer las alertas.
Las alertas se están volviendo menos útiles a medida que se acelera el descubrimiento de vulnerabilidades (también conocida como la Era de los Mitos). La mayoría de las organizaciones no pueden investigar el volumen de nuevos hallazgos con los flujos de trabajo existentes. Incluso con una mayor automatización, los equipos de SecOps necesitan evidencia validada de explotación y exposición activa, no más telemetría sin procesar.
A medida que la IA acelera tanto los ataques como la defensa, los equipos de seguridad deben sentar las bases que les permitan validar los hallazgos, comprender el comportamiento de los atacantes y detener el tráfico sospechoso antes de que resulte en una infracción.
Richard Bejtlich NDR Essentials: una guía práctica para la detección y respuesta de redespublicado en asociación con Corelight, explora cómo la detección y respuesta de redes (NDR) ayuda a los profesionales a navegar en la era actual de las redes. La guía gratuita es una introducción a NDR y un recurso práctico para los equipos que buscan fortalecer la búsqueda de amenazas y las investigaciones asistidas por IA.
El caso de la interdicción de la red
Muchos programas de seguridad se centran en la prevención. Sin embargo, la realidad es que las organizaciones no pueden simplemente girar hacia la izquierda o desplazarse a la derecha. Se debe poner atención y control durante toda la secuencia de ataque.
Si los controles preventivos fueran la respuesta simple, las credenciales robadas no funcionarían una vez que un atacante logra afianzarse. El malware se detendría en el perímetro. Y los datos nunca saldrían de su entorno de almacenamiento.
Sin embargo, estos eventos ocurren todo el tiempo.
Por estas razones, Bejtlich sostiene que los programas de seguridad resilientes deberían centrarse en la interdicción: identificar e interrumpir la actividad maliciosa antes de que los atacantes logren sus objetivos.
El verdadero éxito de la defensa depende de la capacidad de una organización para aislar y contener a los actores maliciosos después del compromiso inicial, pero antes de una infracción total. Sostiene que la interdicción cambia el enfoque de las listas de bloqueo básicas a la interrupción activa de amenazas dentro del perímetro. Permite mitigar la vulnerabilidad y contener las amenazas, ayudando a detener un ataque antes de que el adversario logre una misión principal.
La guía explica cómo NDR apoya la interdicción al brindar visibilidad del tráfico que se mueve por la red. Vale la pena explorar en profundidad cuatro fuentes principales de evidencia de redes:
- Capturas de paquetes completos
- Archivos extraídos
- Registros de transacciones
- Alertas y detecciones
En lugar de funcionar como una barrera pasiva, la NDR moderna facilita la intervención activa. Brinda a los equipos de seguridad el conocimiento de la situación y el contexto para evitar la propagación de un ataque y preservar evidencia de red de alta fidelidad.
La caza de amenazas comienza con una hipótesis
Uno de los capítulos más sólidos del libro se centra en cómo las organizaciones pueden evolucionar la búsqueda de amenazas para igualar las técnicas de ataque actuales, aquellas capaces de evadir los límites de detección tradicionales.
Según Bejtlich, la caza de amenazas no debe basarse en el seguimiento de alertas. Más bien, debería comenzar con una hipótesis sobre las técnicas de confrontación. Una vez que se forma una hipótesis, el analista ejecuta consultas en los registros y sesiones de la red para validar o refutar la teoría.
La evidencia de la red sigue siendo el nexo de la investigación. Las técnicas basadas en red que respaldan la búsqueda proactiva de amenazas incluyen:
- Identificar ejecutables
- Investigar protocolos inusuales
- Realice un seguimiento de grandes transferencias de datos salientes
- Detectar movimiento lateral
- Analizar la exposición del certificado
El foco de la búsqueda debe ser anomalías específicas y observables en lugar de advertencias de seguridad genéricas, que es precisamente lo que se puede obtener al observar las transacciones de la red.
IA en detección y respuesta de redes
La inteligencia artificial ha transformado la defensa de la red, al igual que ha transformado los ataques contra la red. En el capítulo 5 de la guía, Bejtlich describe cómo los analistas de SOC pueden utilizar la IA para un bien mayor: creando eficiencias, reduciendo la carga cognitiva y mejorando la recopilación de evidencia.
Cubre tres áreas funcionales en profundidad:
- Marcos de alerta optimizados: dónde y cómo se capturan los datos de tráfico (el borde y/o el centro) y cómo cada uno afecta el análisis.
- Triaje agente para acelerar los ciclos de respuesta a incidentes: cómo se deberían utilizar agentes autónomos para ejecutar manuales de jugadas, pero, lo que es igualmente importante, las capacidades de toma de decisiones estratégicas de los analistas humanos de alto nivel.
- Interoperabilidad de herramientas: aunque a la red se la suele denominar “la verdad sobre el terreno”, la investigación de ataques moderna requiere una visión holística de la red, los puntos finales, las plataformas en la nube, las aplicaciones, etc. La orquestación de IA coordina las herramientas aisladas y sus resultados.
Para lograr la máxima eficacia, los profesionales pueden integrar estos modelos de IA en los flujos de trabajo diarios para sus casos de uso específicos (descritos en detalle en el libro).
Si bien la IA es inevitable en el ecosistema digital actual, la verificación humana sigue siendo un punto de control crítico. Al menos a corto plazo, la automatización debe regularse para evitar alucinaciones o consecuencias no deseadas. Cuando se usa correctamente, la IA es una victoria para las investigaciones y los analistas que las dirigen.
Dos lecciones para mejores operaciones
Los equipos de operaciones exitosos buscan continuamente mejorar los procesos. Los operadores deben desarrollar técnicas de investigación para igualar la velocidad y la sofisticación actuales, y la red presenta esa base. El libro ofrece numerosas recomendaciones operativas, y dos destacan por su eficacia:
- Líneas base de alerta inicial: Demasiadas reglas prehabilitadas provocan fatiga en las alertas. A su vez, la fatiga de alerta adormece y/o entierra a los equipos de seguridad. Por lo tanto, Bejtlich recomienda que las organizaciones adopten una estrategia de “línea de base cero”. Puede leer más sobre este método en el libro electrónico.
- Definiciones de alerta: Los operadores deben tratar una alerta como el comienzo de una investigación en lugar de la definición concluyente de un evento. Hacerlo facilita la recopilación profunda de evidencia que apoya o rechaza una hipótesis, asegurando que, al final de la investigación, el analista pueda responder de manera concluyente: ¿Qué pasó? ¿Qué evidencia tenemos? ¿Cómo sabemos que lo estamos viendo todo, en contexto?
Por qué es importante ahora la interdicción de redes
Los actores de amenazas continúan evolucionando sus tácticas, pero la evidencia de la red sigue siendo una fuente definitiva de verdad para la defensa. Los profesionales que quieran construir una arquitectura de seguridad moderna y resistente pueden encontrar estrategias prácticas en este libro electrónico.
el valor de Elementos esenciales de NDR no es simplemente que explique la NDR. Proporciona un marco práctico para pensar en las investigaciones modernas.
Para explorar estos conceptos en profundidad, descargue el PDF gratuito desde la página NDR Essentials. Para las organizaciones que buscan implementar estas estrategias defensivas modernas, hay información adicional disponible en corelight.com/elitedefense.
Detección y respuesta de la red Corelight
Corelight ofrece detección y respuesta de red (NDR) que acelera las investigaciones de amenazas a través de una defensa impulsada por IA. Utilizando visibilidad integral de la red, análisis de comportamiento y detección basada en evidencia, la plataforma Open NDR de Corelight combina telemetría de red profunda con contexto procesable. Los analistas pueden identificar amenazas más rápido, validar los hallazgos con confianza y tomar medidas con claridad.
Obtenga más información en corelight.com/elitedefense.