Detección y Respuesta Extendida
Las soluciones XDR se basan en una capa de seguridad reforzada con inteligencia artificial que puede añadirse a los sistemas tradicionales basados en firmas para responder mejor a los ataques de día cero analizando los patrones de red mediante modelos probabilísticos.
Seguridad mediante técnicas basadas en la inteligencia artificial (IA)
El significado de XDR (detección y respuesta extendida) se traduce en un conjunto de modelos de IA que han sido entrenados para la detección y respuesta en la red, analizando ciertos patrones dentro de la misma e integrándose con herramientas de gestión de soluciones basadas en datos e impulsadas con IA.
-
- Son de los pocos sistemas que pueden responder a un ataque de día cero
- Las alertas y respuestas son más precisas (convirtiendo las opciones de “sí/no” en una reliquia del pasado)
- No sólo reaccionan ante ataques en curso, sino que pueden alertar de patrones de ataque
- La IA puede moldearse y adaptarse a las especificidades de cada sistema. Los modelos genéricos suelen ser menos efectivos
- Permite reconfigurar la arquitectura de red y los permisos de usuario para responder activamente a las amenazas.
Visión general del mercado XDR
Las soluciones de detección y respuesta extendida (XDR) tienen una larga historia a sus espaldas, habiendo partido del análisis del tráfico de red (NTA) y combinando la información contenida en estas herramientas can capacidades de IA. Históricamente, la definición de la seguridad de red se basaba en el uso de un cortafuegos perimetral y de sistemas de prevención de intrusiones (capaces de analizar el tráfico entrante). Sin embargo, a medida que la tecnología en materia de seguridad y TI ha ido evolucionando, esta definición es cada vez más amplia y abarca ataques modernos mucho más complejos.
Los piratas informáticos diseñan formas de ataque cada vez más sofisticadas y efectivas. Sus estrategias de evasión y huellas invisibles cambian con una frecuencia alarmante. Las herramientas tradicionales destinadas a repeler estos ataques no están a la altura y permiten a los cibercriminales campar a sus anchas, espiar, robar y propagar sus virus.
Muchos productos encuentran cabida bajo el paraguas de la seguridad de red. Gestionarlos holísticamente para detectar y responder a los riesgos y amenazas de la red es complicado. Aquí es donde la tecnología XDR para la detección y respuesta entra en acción. Su intención es la de integrar las soluciones NTA, IDS, UEBA, TIP y AI en una única plataforma de detección y respuesta extendida. Además, la detección y respuesta extendida pretende llegar más lejos de lo que lo hizo la tecnología NTA, asumiendo el papel de cerebro tras los demás productos de seguridad (mediante el aprendizaje automático y la autocorrelación).
Puntos importantes ligados a la solución XDR
Recopilación continua de datos
La detección y respuesta extendida no se centra específicamente en un aspecto de la red, sino que extrae metadatos de todas las fuentes disponibles (registros, eventos IDS, flujo de red, archivos de tráfico, …). Esto permite a la IA contar con una imagen completa de cada aspecto de la red.
Estandarización de datos
Todos los datos recopilados deben someterse a un proceso de estandarización y homogeneizado para que los modelos IA puedan procesarlos correctamente. Los datos pueden enriquecerse en tiempo real, recurriendo a otras fuentes como la geolocalización, la información relativa a amenazas, …
Sistemas de alerta de alta precisión
La IA se entrena para que sólo reaccione cuando identifica amenazas altamente viables. De esta forma, el sistema no satura al personal TI (pero sí envía avisos fiables).
Respuesta automática
Aunque la IA puede programarse exclusivamente como un sistema de alarma, sus capacidades van mucho más allá. Ante un ataque potencial, los sistemas IA pueden reconfigurar la red y los permisos de usuario para aislar y eliminar ataques en tiempo real.
Sobre XDR
La detección y respuesta extendida (XDR) está formada por una serie de técnicas y soluciones de ciberseguridad que monitorizan constantemente la red de una organización recopilando todo el tráfico con el fin de ofrecer una imagen lo más completa posible. Emplea análisis de comportamiento, IA, aprendizaje automático, etc. para detectar ciberamenazas y comportamientos anómalos, y responder a todas esas amenazas implementando contramedidas preventivas y reactivas (al mismo tiempo que se integra con otras herramientas/soluciones de ciberseguridad).
Las soluciones XDR de alto rendimiento usan herramientas avanzadas de inteligencia artificial y aprendizaje automático para diseñar tácticas defensivas, así como técnicas y procedimientos de detección de patrones nocivos de comportamiento con alta precisión.
Aportan un contexto valioso en materia de seguridad, extraen datos de alta fidelidad, y comparan eventos por tiempo, usuario y aplicación para aumentar las funciones de monitorización, reacción y protección de las organizaciones. También comparten indicios sobre amenazas potenciales y su correlación con ataques reales con soluciones y sistemas de seguridad más tradicionales (cortafuegos, SIEM, …) para obtener una visión más completa.
Hoy en día, las soluciones XDR se componen de los análisis de comportamiento más sofisticados, el aprendizaje automático, y la inteligencia artificial vinculada a redes en la nube, virtuales y locales. Los modelos de IA son capaces de determinar, de forma cada vez más fiable, el nivel de riesgo de una amenaza y lanzar respuestas automáticas válidas basadas en la infraestructura de la red y los permisos de los usuarios.
Productos y soluciones XDR de Teldat
Contexto
El núcleo de la detección y respuesta extendida se basa en distintos tipos de inteligencia artificial, pero no se limita a eso. El objetivo es, una vez detectada la potencial amenaza, reaccionar y aislarla.
Aquí es donde entra la cartera de soluciones de Teldat. A través de nuestros sistemas totalmente integrados, no sólo somos capaces de aislar los permisos del usuario que se han visto comprometidos en la red, sino que nuestros novedosos sistemas de detección y respuesta extendida son capaces de modificar la arquitectura de la propia red (enviando configuraciones actualizadas a los routers) para eliminar los mecanismos de expansión y propagación de la amenaza.
Una solución en forma de ecosistema que ofrezca una respuesta integral
–A la hora de configurar una solución XDR, no sólo intervienen modelos IA. Estos modelos pueden integrar y desencadenar acciones en todas las capas de nuestra cartera de aplicaciones, proporcionando reacciones automáticas o programáticas en todos los frentes. Para cada problema, una solución.
-
- La herramienta be.Safe XDR ofrece recopilar y estandarizar datos a través del sistema, además de un entorno big data en el que probar y reentrenar nuestros algoritmos IA. Así se evita que nuestros modelos tengan un enfoque generalista, pudiendo ofrecer formación y ejecución personalizados para cada escenario (lo que aumenta nuestra precisión e idoneidad para cada cliente).
- A través de nuestra vanguardista SD-WAN, podemos ampliar o modificar la topología de la red. Incluso en escenarios en los que el sistema sea vulnerable y la seguridad esté basada en un método de firmas anticuado, podemos aislar los nodos comprometidos (independientemente de que sean usuarios u ordenadores) y evitar la propagación en caso de ataque.
- La integración con sistemas de Directorio Activo permite que (en caso de ataque) actuemos en el campo de los permisos de usuario y adoptemos una respuesta mucho más granular dentro de las organizaciones de nuestro cliente (si fuera necesario).
- La tecnología XDR puede ser un gran activo para los sistemas de seguridad de una empresa, pero no puede actuar por sí sola. Por eso la integramos con el cortafuegos de nueva generación be.Safe, para que facilite a los administradores de seguridad reglas deterministas en caso de ataque.
Respuesta combinada de hardware y software
La mayoría de los distribuidores del mercado ofrecen distintas versiones de un software XDR. Sin embargo, hay que contar con los conocimientos y experiencia de un fabricante de hardware y distribuidor de redes como Teldat para sacarle el máximo partido a los dos niveles (hardware y software).
Al poder instalar nuestro ecosistema en la nube y en local, nos adaptamos perfectamente a las necesidades de nuestros clientes. Además, ofrecemos a los usuarios la opción de usar la IA estándar de Teldat o reentrenar los modelos de red y aprendizaje automático para obtener una herramienta más personalizada, precisa y con mejores funcionalidades de alerta.
La solución XDR de Teldat está continuamente mejorando la detección y prevención de amenazas, así como la eficacia de la respuesta y la eficiencia de la herramienta. A medida que la detección y respuesta extendida cuente con más fuentes de datos y una mayor integración en las herramientas de gestión de redes, las capacidades de esta tecnología no harán sino aumentar en el futuro próximo.
XDR Casos Prácticos
Detección de actividades y tráfico sospechosos
Uso de plataformas de detección de amenazas mediante técnicas de IA y monitorización para generar respuestas automáticas.
Fuga de datos
Detección de intentos de acceso a información confidencial o actividad maliciosa de filtración de datos confidenciales.
Detección de actividades y tráfico sospechosos
Uso de plataformas de detección de amenazas mediante técnicas de IA y monitorización para generar respuestas automáticas.
Desafío
Los atacantes pueden provocar brechas de seguridad infectando dispositivos para que propaguen por la red algún tipo de malware o actúen como bots para atacar de manera masiva a la propia organización o otras empresas. También pueden robar credenciales, o conseguir accesos no operativos para introducirse en la red e intentar conseguir la máxima información posible desde dentro, es lo que se conoce como ataques de movimiento lateral.
Solución
Mediante plataformas de visualización de tráfico y análisis de logs es posible monitorizar todo lo que es está ocurriendo en la red sin necesidad de generar mayor carga en los equipos o provocar delays en las comunicaciones. Al disponer de la información de cómo se comporta la red habitualmente, se generan patrones de tráfico que permiten detectar comportamientos anómalos como múltiples IPs accediendo a un mismo destino para un ataque de denegación de servicio, o intentos de acceso a redes no permitidas para un usuario o un dispositivo concreto.
De esta manera, se pueden generar respuestas automáticas deshabilitando esos dispositivos sospechosos de haber sido infectados o revocar accesos o credenciales si se detecta que intentan acceder a información sensible cuando no deben, impidiendo de esta manera que consigan su objetivo.
Por qué Teldat?
Las soluciones be.SDWAN y be.Safe XDR de Teldat analizan todo el comportamiento de la red, aplican técnicas de Machine Learning e Inteligencia Artificial para detectar comportamientos sospechosos y automáticamente aplican las medidas correctoras necesarias controlando la red.
Fuga de datos
Detección de intentos de acceso a información confidencial o actividad maliciosa de filtración de datos confidenciales.
Desafío
La información sensible de las empresas es un objetivo muy codiciado por los atacantes, y pueden intentar conseguirla de múltiples maneras: por ejemplo, pueden intentar infectar dispositivos para que envíen esa información a un servidor externo a la red y así poder disponer de ella sin que la organización descubra que ha habido una fuga. También puede ocurrir que un empleado interno con acceso a esa información decida enviarla a una plataforma de almacenamiento pública, que no se considere sospechosa, para poder utilizarla al marcharse de la empresa o poder venderla para obtener un beneficio.
Solución
Este tipo de comportamientos pueden ser detectados mediante reglas de DLP (Data Loss Prevention), el tráfico de la red hacia el exterior se puede analizar mediante herramientas de seguridad que descifran el tráfico de salida o hacia ciertas plataformas concretas donde pueden almancenarse datos confidenciales y detectar patrones predefinidos, como pueden ser cadenas de texto específicas, números de tarjetas de crédito, cuentas bancarias, etc. Al detectar ese tipo de tráficos se puede elegir simplemente lanzar una alerta para que el usuario malicioso no sepa que se le he detectado y conseguir pruebas contra él, o también pueden bloquearse automáticamente todos los envíos de que se detecten como no autorizados, pudiendo incluso desactivar el acceso completo del dispositivo a la red.
Por qué Teldat?
Las soluciones be.Safe de Teldat analizan todo el tráfico saliente de la organización para detectar posibles accesos a páginas o servidores clasificados como maliciosos, analizan patrones y pueden bloquear esas conexiones para impedir la fuga de datos.
Lea nuestros últimos posts
Ataques de seguridad a la Cadena de Suministro
En la era digital, las cadenas de suministro son esenciales para el funcionamiento fluido de las empresas y la economía en general. Las empresas dependen cada vez más de un ecosistema interconectado de proveedores, software y servicios para funcionar. Sin embargo, en...
Switches: Técnicas de stacking / agrupación / virtualización
Este blog post es el primero de una serie en los que veremos unas pinceladas sobre las tecnologías más representativas a tener en cuenta a la hora de considerar la elección de switches. No se pretende ni una descripción exhaustiva ni seguir ningún tipo de orden...
Revolución de la Ciberseguridad: Inteligencia Artificial y Aprendizaje Automático en Acción
En el escenario siempre cambiante y desafiante de la ciberseguridad, una tendencia ha emergido como un catalizador de cambio: la integración de la Inteligencia Artificial (IA) y el Aprendizaje Automático (ML). Dichas tecnologías están desempeñando un papel fundamental...
powered by Borlabs Cookie