Bienvenido a nuestro Curso Gratis de Redes – Capitulo 17 – NDR y EDR: La protección efectiva de las redes exige enfoques avanzados. La combinación de Network Detection and Response (NDR) y Endpoint Detection and Response (EDR) se erige como un pilar esencial. Esta guía explorará cómo estas tecnologías colaborativas ofrecen una defensa integral, identificando amenazas en tiempo real tanto a nivel de red como en dispositivos finales. Descubre cómo elevar la seguridad de tu red a nuevas alturas mediante estrategias NDR y EDR.

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Ya anteriormente en el Capitulo 5 – Mecanismos de seguridad vimos brevemente estos temas. Ahora que tienes un conocimiento más profundo de redes es momento de profundizar en este tema y verlos más a fondo.

¿Qué es la detección y respuesta de red (NDR)?

La detección y respuesta de red (NDR) es una solución de ciberseguridad que ingiere el tráfico de la red y utiliza el aprendizaje automático para detectar actividades maliciosas y comprender los riesgos y la exposición de seguridad. Combina la detección de comportamientos de ataque conocidos con la capacidad de comprender qué es normal para una organización determinada, señalando cambios inusuales que pueden indicar un ataque.

Al igual que la detección y respuesta de endpoints (EDR) , las soluciones de seguridad NDR no previenen la actividad maliciosa. En cambio, su objetivo es detener la actividad de ataque en curso antes de que pueda resultar perjudicial. NDR se diferencia de EDR en que no utiliza un agente para obtener información sobre la actividad maliciosa, sino que depende de una red o un grifo virtual para el análisis del tráfico entre cargas de trabajo locales y en la nube.

Capacidades de las soluciones NDR

Las soluciones NDR analizan el tráfico de la red para detectar actividad maliciosa dentro del perímetro (también conocido como corredor este-oeste) y respaldan la detección, investigación y respuesta inteligente a amenazas. Utilizando un puerto espejo de red fuera de banda o un grifo virtual, las soluciones NDR capturan pasivamente las comunicaciones de la red y aplican técnicas avanzadas, incluidos análisis de comportamiento y aprendizaje automático, para identificar patrones de ataque conocidos y desconocidos. Estos datos también se pueden utilizar para realizar investigaciones en tiempo real sobre la actividad posterior al compromiso y para investigar incidentes de forma forense. Si bien no todas las soluciones NDR descifran el tráfico de red, las soluciones más avanzadas brindan capacidad de descifrado seguro para ayudar a identificar las amenazas que se esconden dentro del tráfico cifrado.

La necesidad de una solución NDR

La mayoría de los ciberataques se producen a través de la red, lo que es a la vez bueno y malo para los defensores. Por un lado, los ataques a la red pueden detectarse y mitigarse mediante defensas a nivel de red. Por otro lado, la complejidad y escala de la red de una organización promedio y la creciente sofisticación de los actores de amenazas cibernéticas pueden dificultar la detección de ataques del tráfico legítimo.

La visibilidad profunda de la red y las capacidades avanzadas de prevención y detección de amenazas son esenciales para proteger a la empresa contra las amenazas cibernéticas. Los métodos tradicionales de detección basados ​​en firmas suelen ser ineficaces contra las amenazas modernas, lo que deja a la organización con una falsa sensación de seguridad. Las soluciones de seguridad NDR brindan una capa adicional de seguridad a nivel de red y capacidades de prevención de amenazas que las organizaciones requieren. 

¿Cómo funciona NDR?

Las soluciones NDR deberían poder monitorear los flujos de tráfico de norte a sur y de este a oeste con sensores estratégicamente ubicados. Esto proporciona una visibilidad profunda de la red que admite otras características de una solución NDR, que incluyen:

Detección de incidentes cibernéticos

las soluciones NDR van más allá de la detección basada en firmas para utilizar inteligencia artificial (IA), aprendizaje automático (ML) y análisis de datos para analizar el tráfico de la red. Esto les permite detectar patrones e identificar anomalías en el tráfico de la red, lo que permite detectar tráfico sospechoso o malicioso.

Investigación:

Las soluciones de seguridad de NDR monitorean el tráfico de la red y extraen patrones que pueden señalar conexiones anómalas o sospechosas. Esta información se utiliza para generar respuestas automatizadas por parte de la solución NDR y se proporciona a  los analistas del Centro de operaciones de seguridad (SOC)  para facilitar sus actividades de investigación de incidentes.

Gestión de inteligencia:

las soluciones de detección y respuesta de redes pueden consumir inteligencia sobre amenazas desde dentro y fuera de la organización. Esta inteligencia se utiliza para ayudar a detectar amenazas potenciales dentro del tráfico de la red y puede compartirse con otras soluciones de seguridad como parte de una arquitectura de seguridad convergente.

Creación de feeds:

a función principal de una solución NDR es proporcionar a los analistas de SOC información sobre la postura de seguridad actual y las amenazas a su red. NDR creará una fuente de alertas de seguridad que indicarán tráfico de red sospechoso y potencialmente malicioso.

Prevención de amenazas

además de alertar a los analistas de seguridad sobre posibles amenazas, las soluciones NDR también pueden actuar de forma automática y proactiva para evitar que los  ciberataques  tengan éxito. Esto puede incluir trabajar con firewalls y otras soluciones de seguridad para impedir que el tráfico sospechoso o malo llegue a su destino, interrumpiendo el ataque.

¿Cómo mejora NDR su seguridad?

Las soluciones de seguridad de red tradicionales suelen centrarse en la detección y utilizan capacidades de detección basadas en firmas. Ambos son pasivos a la hora de proteger a la empresa contra las amenazas cibernéticas modernas. Los esquemas de detección basados ​​en firmas utilizados en muchas soluciones de seguridad heredadas, como los antivirus tradicionales y los sistemas de detección de intrusiones (IDS), ya no son eficaces para detectar amenazas modernas. 

Los ciberdelincuentes suelen utilizar malware diseñado para diferir de una campaña a otra, lo que significa que las firmas quedan obsoletas tan pronto como se generan. Una solución NDR utiliza capacidades avanzadas de detección de IA para identificar y responder incluso a amenazas cibernéticas novedosas, para las cuales aún no existen firmas.

NDR proporciona visibilidad dentro de la red empresarial, lo que permite a los analistas determinar los activos afectados y correlacionar su comportamiento anómalo, generando indicadores de las tácticas, técnicas y procedimientos de los atacantes. Los indicadores se utilizan para interrumpir y contener los ataques y para guiar la evaluación de daños y las operaciones de recuperación.

RECOMENDACIONES DE DESPLIEGUE

En los siguientes puntos se detallarán diferentes tipos de despliegues usando las tecnologías, IDS/IPS y SIEM. Se partirá de una arquitectura base que irá evolucionando para llegar a una arquitectura completa que contiene todos los elementos necesarios para disponer de un sistema de detección/prevención de intrusiones así como de un sistema de recolección y gestión de eventos.

Arquitectura base de sistemas de control

La arquitectura base seleccionada está basada en la propuesta ofrecida por la norma IEC 62443. En ella se definen diferentes zonas asociadas a los niveles en los que se divide un sistema de control industrial. La arquitectura base presenta una segmentación basada en cortafuegos para separar las zonas de control y corporativa, contando además con dos DMZ para el intercambio de información entre ambas zonas. Las arquitecturas siguientes propuestas presentas arquitecturas de seguridad para asegurar las comunicaciones y los dispositivos situados en la parte de control de la red. La seguridad de la parte corporativa no se ha tenido en cuenta en este estudio al quedar fuera del ámbito del mismo.

Arquitecturas de seguridad para sistemas de control

Arquitectura de seguridad con IDS

La primera arquitectura, presentada en la Figura, describe la colocación de dispositivos de tipo IDS para monitorizar el tráfico dentro de la red de control. Para ello, todo el tráfico que pasa por los router/switches se lleva al sensor del IDS a través de puertos espejo (mirror/SPAN). También se añade una sonda para recibir información del cortafuegos y tener así controlado el tráfico intercambiado con la red correspondiente a la zona empresarial. Los IDS deberán de disponer de las reglas adecuadas para generar las alertas oportunas que serán mostradas al operario o administrador de seguridad correspondiente a través de la consola.

Arquitectura de seguridad con IPS

La evolución de una arquitectura de seguridad con IDS pasa por bloquear el tráfico. Para ello es necesario que los sensores pasen a estar en medio del tráfico, en lugar de escuchando el tráfico a través de los puertos espejo (mirror/SPAN), como refleja la Figura. La configuración de reglas debe ser adecuada para que no se interrumpa el flujo de tráfico de control habitual y solo se bloqueen las intrusiones y fallos de seguridad. La situación de los sensores IPS es similar a la de los sensores IDS, y el funcionamiento será exactamente el mismo, generando alerta que serán mostradas en la consola de IDS.

Arquitectura de seguridad con SIEM

La Figura representa la instalación de un SIEM dentro de los sistemas de control. Hay que tener en cuenta que el SIEM se dedica a recoger y gestionar eventos de log, por lo que las fuentes de datos provendrán de todos los dispositivos. En este caso hay que tener cuidado con las comunicaciones, ya que todos los dispositivos deben poder enviar sus registro de eventos hasta el SIEM, y esto puede implicar una sobrecarga de tráfico en la red. La mejor forma de solucionar esta sobrecarga es disponer de una red exclusiva para el envío de estos mensajes.

Arquitectura unificada con IDS, IPS y SIEM

La representación final (Ver Figura) muestra la puesta en conjunto de las tres tecnologías dentro de una arquitectura de red de sistemas de control. El IPS quedaría para los niveles superiores, controlando el tráfico intercambiado entre la parte de control y la parte corporativa o de negocio, los IDS gestionarían el tráfico entre la red de control y las de campo, informado de posibles anomalías en el tráfico; y el SIEM recogería la información del mayor número posible de dispositivos, incluyendo dispositivos de proceso y elementos de red, así como la información de las alertas tanto de los IDS como del IPS.

Las líneas rojas mostradas en las figuras indican los puntos donde tanto los sensores IDS como los sensores IPS se conectan para recabar el tráfico, y constituyen una conexión de red. La red de monitorización se utiliza como nexo de unión entre los sensores IDS/IPS y el núcleo central de gestión, y por este motivo no se requiere un acceso a dicha red desde ninguna otra parte de la arquitectura. Las líneas marcadas en verde que finalizan el en SIEM muestran de dónde se obtiene información y no conexiones de red reales. La información se enviará a través de las conexiones existentes, habilitando en el cortafuegos (y en su caso en el IDS/IPS) las reglas correspondientes

Sistemas EDR: qué son y cómo ayudan a proteger la seguridad de tu empresa

Un sistema EDR, acrónimo en inglés de Endpoint Detection Response, es un sistema de protección de los equipos e infraestructuras de la empresa. Combina el antivirus tradicional junto con herramientas de monitorización e inteligencia artificial para ofrecer una respuesta rápida y eficiente ante los riesgos y las amenazas más complejas. Gracias a esta conjunción de elementos y tecnologías permite detectar todos aquellos riesgos y amenazas que pueden provocar de forma silenciosa e inadvertida un incidente de seguridad, poniendo en riesgo la viabilidad de la empresa.

Características de un sistema EDR

Un sistema EDR se caracteriza por aunar varios elementos de detección y de tecnologías, como por ejemplo, la inteligencia artificial y el Big Data, que permiten mejorar de forma programada y autónoma la detección y prevención de amenazas complejas, así como su posterior eliminación o mitigación. Aunque comparte cometidos con el antivirus tradicional, también conocido como EPP (Endpoint Protection Platform), como son la detección, identificación y la prevención de los efectos de malware, exploits, y en algunos casos, ransomware, esta herramienta además puede detectar amenazas avanzadas, como pueden ser malware de tipo polimórfico, vulnerabilidades 0-day, ataques de ingeniería social, amenazas persistentes o APT, cuentas comprometidas, etc. En caso de detectar una amenaza o comportamiento anómalo, permite actuar de forma inmediata y casi automática para poder eliminar la amenaza o mitigar sus efectos.

Entre las aplicaciones y herramientas que incorpora, además del antivirus tradicional destacan:

  • Herramientas de análisis apoyadas en el uso del aprendizaje automático (machine learning) para mejorar la detección de amenazas.
  • Sandbox: el sistema virtual y aislado de pruebas para comprobar el comportamiento de los archivos descargados, por ejemplo.
  • Escaneo de IOCs y reglas YARA, que permiten analizar y detectar las amenazas provocadas por amenazas complejas en tiempo real.
  • El uso de listas blancas y negras de correos electrónicos, páginas web e IP.
  • Interoperatibilidad e interacción con otras herramientas de seguridad, como SIEM, IPS/IDS o herramientas antimalware.

Los principales fabricantes del mercado de soluciones de seguridad ofrecen este tipo de sistemas en su portafolio de aplicaciones. En el caso de que una empresa no cuente con técnicos o con un Departamento de Informática, siempre tiene la posibilidad de subcontratar este servicio a un proveedor o contratar el servicio completo con el fabricante.

Ventajas e inconvenientes

Esta herramienta contiene una serie de ventajas y fortalezas frente a los antivirus tradicionales o EPP, como por ejemplo:

  • Recopila información exhaustiva y detallada de las características del dispositivo, como información del sistema operativo, del hardware o los procesos activos, entre otros datos.
  • Permite recopilar y almacenar información de forma automática, así como crear patrones de detección automatizados, facilitando el trabajo de detección.
  • Monitoriza la integridad de los sistemas y de los archivos de configuración claves, avisando en caso de modificación o acceso a los mismos por actores sospechosos.
  • Permite localizar en un solo punto toda la información, posibilitando en caso de incidente la realización de una investigación de forma rápida.

Por el contrario, esta herramienta muestra las siguientes debilidades:

  • En algunos casos no permite evaluar y comprobar aquellos dispositivos con sistemas operativos no soportados por la herramienta.
  • Su configuración y puesta en marcha es más complicada de realizar que en el caso de un antivirus tradicional.
  • Su uso puede provocar fatiga, debido al constante flujo de información y notificación de las propias alertas configuradas, así como de los falsos positivos y negativos que puedan darse.
  • En ocasiones no permite monitorizar y analizar las conexiones cifradas.
  • La inversión para implantar esta herramienta supone un importe más elevado que en el caso del antivirus tradicional o EPP.

Diferencias respecto a los antivirus tradicionales

Respecto a los antivirus tradicionales, aunque han evolucionado de forma considerable en los últimos años gracias a estos, solo localizan amenazas de malware tradicional, es decir, virus, troyanos y gusanos. Son ineficaces ante la detección de ataques más complejos, en los que se mezclan la ingeniería social junto con los fallos humanos de los empleados, así como las técnicas más complejas (vulnerabilidades 0-day, ransomware, cuentas comprometidas, amenazas persistentes, etc.) en las redes de la empresa, lo que puede provocar que sean más difíciles de detectar y controlar, con los consecuentes daños económicos y reputacionales para la empresa.

En definitiva, usar este tipo de herramientas, aunque puede suponer un gasto inicial más elevado, ofrece una serie de ventajas que permiten amortizar dicha inversión rápidamente gracias a sus características y tecnologías incorporadas, reduciendo así ostensiblemente los efectos perniciosos de ataques más sofisticados contra las infraestructuras digitales de la empresa. Si tienes dudas, llama al 017, la Línea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

Los principales objetivos de este EDR son:

  • Proporcionar un EDR de código abierto a la comunidad
  • Transparencia en las reglas de detección para que los analistas entiendan por qué se activó una regla
  • Ofrecer poderosas primitivas de detección a través de un motor de reglas flexible
  • Optimizar los procesos de respuesta a incidentes al reducir drásticamente el tiempo entre la detección y la recolección de artefactos    

El esquema global de funcionamiento es el siguiente, si bien el EDR puede funcionar también en modo standalone:

Fortalezas

  • Código abierto
  • Confía en Sysmon para todo el trabajo pesado (componente del kernel)
  • Motor de detección muy potente pero también personalizable
  • Creado por un incident responder para que el resto hagan su trabajo más fácil
  • Footprint reducida (sin inyección de proceso)
  • Puede coexistir con cualquier producto antivirus (se recomienda ejecutarlo junto con MS Defender)
  • Diseñado para tener un alto rendimiento. Puede enriquecer y analizar fácilmente 4 millones de eventos al día por endpoint sin apenas impacto.  
  • Fácilmente integrable con otras herramientas (Splunk, ELK, MISP…)
  • Integrado con el marco ATT&CK

Debilidades

  • Solo funciona en Windows
  • Detección limitada a lo que está disponible en el event log de Windows
  • Sin instrumentación de procesos (también es un punto fuerte ya que depende de puntos de vista)
  • No hay GUI… todavía
  • Sin soporte para ETW (disponible en beta)

Más info y URL del proyecto:  https://github.com/0xrawsec/whids

CONCLUSIONES

En conclusión, la implementación coherente de NDR y EDR no solo responde a los desafíos actuales de ciberseguridad, sino que anticipa y mitiga amenazas futuras. Al adoptar estas tecnologías en conjunto, las organizaciones pueden fortalecer sus defensas, detectar intrusiones tempranas y garantizar la integridad y seguridad de sus redes en un mundo digital siempre cambiante.

Los sistemas de detección y prevención de intrusiones y los sistemas de tratamiento y gestión de eventos e incidentes aportan un nivel de seguridad a los sistemas de control siempre y cuando estén correctamente configurados y supervisados.

La configuración de un sistema de prevención puede implicar muchos problemas sobre un sistema de control en producción, por lo que deben ser correctamente valoradas todas las implicaciones, así como realizar todas las posibles pruebas previamente, incluyendo las de mantener el sistema sólo en modo detección hasta estar totalmente seguros de que no se bloqueará tráfico crítico para el sistema e ir afinando progresivamente el sistema para que sólo detecte o informe de eventos importantes.

Los SIEM proporcionan información del estado del sistema a los operadores de seguridad, pero sólo son útiles si la información recogida es correctamente analizada. Centralizar todos los eventos en un único equipamiento tiene la ventaja de que todas las acciones ocurridas van a ser controladas en el mínimo tiempo y no se van a perder por tener que revisar múltiples aplicaciones. La inclusión de estas herramientas en la arquitectura de los sistemas de control puede ser compleja dependiendo del sistema que se quiera controlar, pero los beneficios van a compensar todo el esfuerzo invertido en el despliegue, ganando un control en la red y que permite asegurar el correcto funcionamiento del sistema sin intrusiones.

Lee Nuestra Guía Completa:

No te detengas, sigue avanzando….

Aquí tienes un propósito para este 2024 que debes considerar seriamente: si has querido mejorar tus habilidades en redes, hacking y seguridad cibernética pero nunca lo has logrado, ahora es definitivamente el momento de dar el siguiente paso. Nuestros cursos. ¡Desarrolla tus habilidades aprovechando nuestros cursos a un precio increíble! Aprende Redes y Hacking y avanza en tu carrera.

CCNA 200-301: Introducción a las Redes

Cisco es una empresa que existe desde 1984. Su reconocimiento y popularidad en las empresas es conocida por su excelencia en el producto y servicio.

A raíz de tener tantos años en el mercado, muchas empresas hoy tienen sus redes conformadas por Cisco, lo cual hace que necesiten de personas con conocimientos en sus tecnologías para que puedan administrar sus redes.

Por esa razón, saber de redes y entender como funciona la tecnología Cisco, es clave. Y no solo eso, además de enseñarte todo lo que debes de conocer sobre esta marca y sus redes, te prepararemos para que si quieres, puedas certificarte en Cisco.

Te enseñaremos:

  • Una base sólida en los principales temas que se cubren a lo largo de la certificación
  • Entender cómo funciona internamente una red en lo que a protocolos se refiere
  • un primer acercamiento a los fundamentos de la seguridad de la red
  • posibles amenazas, ataques, mitigación de los mismos y automatización en redes con cisco
  • armar su primera red funcional dentro del simulador, sería una red pequeña, pero con eso ya quedarían las bases sentadas para seguir en CCNA 2

Contaras con nuestra supervisión, experiencia y respuesta a todas tus preguntas que tengas sobre el contenido.

Así también sobre las actualizaciones que hagamos sobre el curso, el cual será tuyo de por vida y recibirás dichas actualizaciones sin tener que volver a pagar.

Yo soy Álvaro Chirou, tengo más de 20 Años de experiencia trabajando en Tecnología, eh dado disertaciones en eventos internacionales como OWASP, tengo más de 500.000 estudiantes en Udemy y 100 formaciones profesionales impartidas en la misma.

Y junto a mi compañero Andrés Muro, formado en CCNA y CyberOps, hemos creado esta formación profesional para que te puedas preparar para rendir una de las certificaciones más demandadas del mercado.

Empieza a aprender ya mismo!

Lo que aprenderás

  • Planear, crear y desplegar una red desde 0
  • Entender cómo solucionar los distintos problemas que se puedan llegar a presentar
  • Comprender las posibles amenazas que podrían comprometer, tanto a un único host, como a toda la red
  • Crear redes a medida, según los requisitos del cliente
  • Tendrán una base sólida en redes, tanto para certificarse como CCNA, como para introducirse en otras áreas, como lo es la ciberseguridad

Introducción de Camino a la Certificación del CCA, donde vas a tener tu primer acercamiento al mundo de las redes.

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Sobre los autores

Álvaro Chirou

Yo soy Álvaro Chirou, tengo más de 20 Años de experiencia trabajando en Tecnología, eh dado disertaciones en eventos internacionales como OWASP, tengo más de 1.800.000 estudiantes en Udemy y 100 formaciones profesionales impartidas en la misma. Puedes serguirme en mis redes:

Laprovittera Carlos

Soy Laprovittera Carlos. Con más de 20 años de experiencia en IT brindo Educación y Consultoría en Seguridad de la Información para profesionales, bancos y empresas. Puedes saber más de mi y de mis servicios en mi sitio web: laprovittera.com y seguirme en mis redes:

¿Quieres iniciarte en hacking y ciberseguridad pero no sabes por dónde empezar? Inicia leyendo nuestra guia gratuita: https://achirou.com/como-iniciarse-en-ciberseguridad-y-hacking-en-2024/ que te lleva de 0 a 100. Desde los fundamentos más básicos, pasando por cursos, recursos y certificaciones hasta cómo obtener tu primer empleo.

Cómo Iniciarse en Hacking y Ciberseguridad en 2024

Continúa leyendo: