Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.
Este artículo es parte de nuestra guía: Guía Esencial: Optimice sus redes con monitoreo y auditoría

Revise su empresa con herramientas de monitoreo de seguridad de red

Las herramientas avanzadas de monitoreo de seguridad de red ofrecen una nueva esperanza para capturar las amenazas de malware.

En las altas apuestas, el juego del gato y el ratón de la ciberseguridad, la única constante real es el cambio. El número de nuevas amenazas está aumentando, y la superficie de ataque está creciendo, también. Las empresas de hoy dependen más ampliamente que nunca de los dispositivos, servicios y datos conectados a internet, desde la comunicación máquina a máquina y el internet de las cosas (IoT), hasta traer sus propios dispositivos (BYOD) y aplicaciones para llevar su propia nube (BYOC).

¿Una cosa que esta oleada de nuevos objetivos tiene en común? Su exposición a amenazas transportadas por la red es 24/7. Desde Heartbleed a FREAK, los delincuentes explotan continuamente la fruta madura encontrando nuevos errores en el software ampliamente desplegado y viejas lagunas que resurgen en nuevas tecnologías.

Efectivamente detectar y detener estas amenazas en evolución de la red requiere no solo vigilancia, sino nuevos enfoques. Es poco realista esperar que las defensas de la empresa bloqueen todos los ataques o eliminen todas las vulnerabilidades. Por otra parte, la evaluación e intervención manual de las amenazas simplemente no pueden escalar para enfrentar estos desafíos. El monitoreo de la seguridad de la red que es más penetrante, automatizado e inteligente es crítico para mejorar la conciencia de la situación y conducir una respuesta oportuna a las amenazas.

La importancia de la visibilidad de las amenazas de red

De acuerdo con el reporte "Costo del Cibercrimen: Estados Unidos 2014” del Instituto Ponemon, los delitos cibernéticos más costosos son los causados ​​por ataques de denegación de servicio, insiders maliciosos y código malicioso, lo que lleva a 55% de todos los costos asociados a los ciberataques. No es sorprendente que los costos aumenten cuando los ataques no se resuelven rápidamente. Los participantes en el estudio de Ponemon informaron que el tiempo promedio para resolver un ataque cibernético en 2014 fue de 45 días, a un costo promedio de 1’593,627 dólares, un aumento del 33% con respecto al costo y la resolución de 32 días de 2013. Peor aún, los participantes del estudio informaron que los ataques internos maliciosos tomaron en promedio más de 65 días para contener.

La creciente frecuencia, diversidad y complejidad de los ataques transmitidos por la red está impidiendo la resolución de las amenazas. El Informe Anual de Seguridad 2015 de Cisco encontró que los criminales son cada vez mejores en el uso de las brechas de seguridad para ocultar la actividad maliciosa; por ejemplo, yendo más allá de los errores recientemente arreglados de Java para utilizar nuevo malware de Flash y técnicas de distribución de IP Snowshoe (aumentando el spam  en un 250%) y explotando el 56% de las instalaciones Open SSL aún vulnerables a Heartbleed, y otras, o alistando a los usuarios finales como cómplices de delitos informáticos .

En esta era de BYOD, BYOC, IoT y más, lograr la seguridad del mundo real para la conectividad esencial del negocio requiere más visibilidad en el tráfico, los activos y los patrones de la red. "Al entender cómo operan las tecnologías de seguridad", concluyó el informe de Cisco, "y lo que es normal (y no es normal) en el entorno de TI, los equipos de seguridad pueden reducir su carga de trabajo administrativa mientras se vuelven más dinámicos y precisos para identificar y responder a las amenazas y adaptar las defensas”.

Sea consciente de los riesgos

Según el analista de Gartner, Earl Perkins, hablando en la Cumbre de Seguridad y Gestión de Riesgos de Gartner en junio de 2015, la defensa contra amenazas avanzada combina el monitoreo en tiempo casi real, la detección y el análisis del tráfico de red, la carga útil y el comportamiento del punto final con forensia de la red y de punto final. La respuesta más efectiva a las amenazas  comienza con el monitoreo de seguridad avanzadas, incluyendo el conocimiento de las actividades de los usuarios y los recursos de negocios a los que acceden, dentro de la empresa y fuera. Sin embargo, los profesionales de seguridad también están experimentando una sobrecarga de información. Por lo tanto, la visibilidad avanzada viene de un uso más inteligente de la información a través de la priorización, la línea de base, la analítica y mucho más.

Perkins recomienda implementar tecnologías de monitoreo de seguridad de red basada en el riesgo. Como mínimo, cada empresa debe tomar medidas fundamentales, incluyendo la adecuada segmentación de redes y defender los activos empresariales con firewalls tradicionales de red, sistemas de prevención de intrusiones (IPS), gateways web seguras y herramientas de protección de punto final. Estas defensas sirven como centinelas, guardias armados apostados en las entradas claves para alejar las amenazas básicas y sonar la alarma a la primera señal de ataque. Para las empresas tolerantes a amenazas con bajo riesgo, estos fundamentos pueden ser suficientes.

Sin embargo, la mayoría de las organizaciones en riesgo querrán considerar herramientas de monitoreo de seguridad de red más avanzadas y capacidades tales como firewalls de aplicaciones y de siguiente generación, control de acceso a la red (NAC), gestión de movilidad empresarial (EMM), y gestión de la información de seguridad y gestión de eventos (SIEM). Estas tecnologías van más profundo mediante el examen de más contenido de tráfico o características de punto final. Ellas amplían la visibilidad mediante el monitoreo de más elementos de la red, incluyendo dispositivos y actividades móviles. En última instancia, pueden producir inteligencia más procesable hilando eventos dispares en alertas de amenazas más cohesionadas, especialmente para las amenazas persistentes avanzadas que, de otro modo, podrían perderse por completo.

Por último, las organizaciones intolerantes del riesgo pueden desear ir aún más lejos, usando forensia de red y de punto final para grabar toda la actividad de manera rutinaria, lo que permite tráfico en retrospectiva, y análisis de carga útil y de la conducta. A diferencia de las tecnologías de monitoreo en tiempo real, las herramientas forenses se centran en identificar compromisos pasados,​ pero esto puede ser importante para detectar, por ejemplo, esos ataques internos de larga ejecución. La forensia también puede ayudar a las empresas a identificar las brechas en sus defensas, lo que les permite adaptarse y prevenir mejor ataques futuros.

Ponga a trabajar las herramientas de monitoreo de seguridad de red

Para aprovechar las nuevas herramientas avanzadas de monitoreo de seguridad de la red, puede ayudar a tener una idea de los avances de la industria y por qué las nuevas tecnologías y capacidades han surgido.

Vamos a empezar con ese elemento básico del monitoreo de la red, el tradicional firewall de red. Los firewalls de una sola función hace mucho tiempo se transformaron en plataformas de gestión unificada de amenazas (UTM), que combinan firewall, IPS, VPN, gateway web y capacidades antimalware. Sin embargo, incluso las UTM tienden a centrarse en la inspección del tráfico de red. Cuando se examina la carga útil de una aplicación, es por una razón específica, como bloquear una dirección URL que está en la lista negra, algún tipo de contenido o un malware reconocido.

En contraste, los firewalls de siguiente generación están conscientes de las aplicaciones. Es decir, tratan de identificar la aplicación que está montada a lo largo de una determinada corriente de tráfico –incluso una sesión SSL cifrada– y aplican políticas específicas a esa aplicación y tal vez a los usuarios, grupos o roles. Por ejemplo, un firewall de siguiente generación no se limita a bloquear todo el tráfico a Facebook. Puede permitir que solo los empleados de marketing publiquen en Facebook, pero no jueguen juegos de Facebook. O simplemente pueden monitorear cómo los trabajadores interactúan con Facebook y generar alertas cuando la actividad se desvía de la línea de base. Esta granularidad solo es posible debido a que el firewall puede identificar las aplicaciones y sus características, incluyendo nuevas aplicaciones sobre las que conocerá en el futuro. Cada vez más, los firewalls de siguiente generación están aprendiendo a través de fuentes legibles por máquina que no solo entregan nuevas firmas de amenazas, sino inteligencia sobre nuevos ataques y direcciones IP, dispositivos o usuarios con mala reputación. Esta capacidad de adaptarse y aprender es clave para mantenerse al día con las nuevas amenazas cibernéticas.

Si bien la prevención de intrusiones sigue siendo una piedra angular del monitoreo de la red, se ha ampliado en varias dimensiones. En primer lugar, conforme las redes empresariales se mueven del acceso  cableado al acceso inalámbrico, los IPS inalámbricos se han convertido en esenciales. Como mínimo, las empresas pueden utilizar la detección de pillos incorporada en los controladores de LAN inalámbrica. Las empresas con aversión al riesgo pueden invertir en IPS inalámbricos para escanear la red 24/7 por amenazas, incluyendo la comunicación de alguna forma oculta de IoT y la comunicación no autorizada BYOD.

En segundo lugar, la prevención de intrusiones ahora se extiende más allá de la red de la empresa, hacia los dispositivos móviles. Por ejemplo, los EMM se pueden utilizar para evaluar rutinariamente la integridad de los dispositivos móviles, alertando a los administradores de dispositivos con jailbrake, rooted o infectados con malware, y proteger automáticamente a la empresa mediante la eliminación de las conexiones de red o aplicaciones de negocio de esos dispositivos. La capacidad de ver más allá del tradicional borde de la red de la empresa es clave para evitar los puntos ciegos.

Las tecnologías SIEM también han evolucionado desde la simple agregación y normalización de eventos producidos por sistemas y aplicaciones conectadas conectados a la red empresarial; ahora registra minuciosamente esos datos con información contextual sobre los usuarios, los activos, las amenazas y vulnerabilidades para permitir la correlación y el análisis. Según Gartner, el despliegue de SIEM está creciendo, con la detección de brechas ahora superando al cumplimiento como el conductor principal. Como resultado, los proveedores de SIEM han ampliado las capacidades que tienen como objetivo la detección de brechas, como la inteligencia de amenazas, la detección de anomalías y monitoreo de la actividad basada en la red; por ejemplo, integrando NetFlow y el análisis de captura de paquetes. SIEM no solo ayuda a las empresas a recolectar datos monitorizados, sino que ahora puede tamizar inteligentemente a través de ese pajar para identificar las amenazas internas y externas.

Un nuevo segmento de mercado ha comenzado a emerger: los sistemas de detección de brechas (BDS). Estas tecnologías están siendo impulsadas ​​por nuevas empresas que están trabajando para aplicar análisis de big data a la información monitorizada, haciendo perfiles de patrones de comportamiento de usuarios y dispositivos para detectar brechas y facilitar la investigación interactiva. Según NSS Labs, un BDS puede identificar brechas preexistentes, así como malware introducido a través de ataques de canal lateral, pero debe ser considerado como una "última línea de defensa contra las violaciones que van sin ser detectadas por las tecnologías de seguridad actuales, o que son desconocidas por estos tecnologías". Las empresas intolerantes al riesgo que han intentado otras herramientas de monitoreo de seguridad avanzada, pero están plagados de amenazas persistentes avanzadas, pueden desear investigar esta nueva tecnología.

Cuando los ataques inevitablemente pasen a través de las defensas de la red empresarial y evadan la detección en tiempo real, una herramienta de monitoreo avanzado puede ser útil: los aparatos forenses de red. La forensia de red también analiza los datos monitorizados, pero de una manera diferente, para un propósito diferente. Al igual que un DVR en red, estos aparatos pasivos graban y catalogan todo el tráfico de entrada y salida. Mediante la entrega de una repetición, análisis y visualización exhaustiva de paquetes completos rápidamente, los aparatos forenses de red apoyan la investigación de cibercrímenes, la recolección de evidencia, la evaluación del impacto y la limpieza. Aquí, la idea es evitar limitaciones asociadas con el monitoreo en tiempo real; es decir, tener que detectar todo lo importante cuando sucede. La forensia de red hace posible volver atrás y echar un segundo vistazo, para encontrar lo que otros sistemas de monitoreo podrían haber perdido.

Conclusión

Como hemos visto, el monitoreo de seguridad de red avanzada no se puede lograr a través de herramientas estáticas aisladas. Más bien, el monitoreo debe ocurrir en muchos lugares y niveles a través de la red de la empresa y más allá, para crear uno conjunto de datos globales que una colección cada vez más inteligente y dinámica de herramientas de análisis luego recorrerá. Solo de esta manera podemos responder rápida y eficazmente a las ciberamenazas emergentes que han aprendido a volar bajo el radar de la red tradicional.

Sobre el autor: Lisa Phifer posee Core Competence Inc., una consultora especializada en el uso de negocios seguro de las tecnologías emergentes de internet. Phifer es una experta reconocida en la industria sobre ciberseguridad, seguridad móvil y seguridad inalámbrica.

Próximos pasos

No olvide revisar también:

Seguridad definida por software: ¿El futuro de la seguridad de red?

Cómo realizar una auditoría de seguridad avanzada para redes

Cómo mejorar la seguridad con una adecuada segmentación de redes

Este artículo se actualizó por última vez en octubre 2015

Únase a la conversación

5 comentarios

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

Me interesa participar de esta comunidad
Cancelar
Joaquín, gracias por el interés. Puedes escribirme a lperez@techtarget.com para seguir en comunicación.
Cancelar

Para ver realmente los beneficios que obtienes monitorizando tu sistema tienes que probarlo. Aquí podéis descargaros una prueba gratuita para monitorizar 100 sensores http://tuyu.es/newsletters/prtg/index.html

Cancelar
Interesante, me gustaria ser parte activa de esta comunidad.
Cancelar
Hola Ricardo, puedes escribirme a lperez@techtarget.com y con gusto platicamos de cómo puedes colaborar con artículos para el portal, que serán difundidos en la comunidad :)
Cancelar

- ANUNCIOS POR GOOGLE

Close