Una cosa en la que los profesionales de la seguridad y las redes pueden estar totalmente de acuerdo es en que los ataques malintencionados por parte de los ciberdelincuentes son una amenaza constante, y defenderse de ellos no es sencillo. Los atacantes tienen acceso a una caja de herramientas de técnicas innovadoras en constante expansión y, a la vez, el crecimiento de los servicios basados en la nube y el teletrabajo, han hecho ampliar el campo que los equipos de operaciones de red y seguridad deben salvaguardar. Claramente, la colaboración es crítica hoy en día.

Los CIO y CISO se encuentran bajo una presión cada vez mayor para desarrollar estrategias de seguridad de red que adopten objetivos comunes y procesos colaborativos. Un primer paso importante es considerar la adopción de stack tecnológico de seguridad común que ayude a los equipos de seguridad y operaciones de red a trabajar en equipo. Según un informe técnico reciente de Enterprise Strategy Group (ESG), dicho stack debería incluir lo siguiente:

Dispositivos de protección sin estado frente a cortafuegos con estado. Los CISO deben considerar la implementación de dispositivos de protección sin estado frente a firewalls con estado para ayudar a bloquear amenazas como el tráfico de comando y control (C2), ataques de denegación de servicio distribuida (DDoS) por agotamiento del estado y dominios DNS defectuosos conocidos. Dichos dispositivos requieren inteligencia de amenazas oportuna y precisa que actualice continuamente las listas de bloqueo en tiempo real para que sean efectivos. El uso de estos tipos de dispositivos puede ayudar a proteger la infraestructura de red con estado, filtrar el tráfico conocido de ciberataques y permitir que los equipos de operaciones de IT mantengan el máximo rendimiento de la red para los requisitos comerciales.

Tecnologías IDS / IPS que examinan todo el tráfico este / oeste. Los expertos en seguridad han llegado a confiar en los firewalls de última generación para la seguridad en los perímetros de la red. Estos cortafuegos cubren la entrada / salida de la red, pero dejan las redes internas abiertas a los ataques. Para cerrar esta brecha, la seguridad de la red debe analizar todo el tráfico de tráfico este / oeste en sus redes heredadas y entornos de nube híbrida mediante el uso de tecnologías de sistemas de detección de intrusiones / sistemas de protección contra intrusiones (IDS / IPS). De esta manera, los equipos de seguridad pueden identificar y filtrar rápida y fácilmente las amenazas conocidas que se mueven lateralmente dentro de sus entornos para frustrar eventos más graves, como una violación de datos o un ataque ransomware.

Una fuente común de visibilidad de la red y la nube. Muchos equipos de red y seguridad terminan utilizando gran cantidad de herramientas dispares para recopilar los mismos datos. En cambio, bastaría con una fuente común. Los equipos deben utilizar la adquisición de paquetes a velocidad de línea, el almacenamiento local de metadatos de la red y la captura completa de paquetes para obtener una visibilidad integral de la red y la nube. Esto es crucial para mantener un buen rendimiento y detectar y responder a incidentes de seguridad. La herramienta adecuada irá más allá de la captura de paquetes sin procesar y realizará análisis de paquetes en tiempo real que crean un conjunto sólido de metadatos altamente indexados almacenados localmente, a los que se puede acceder y analizar rápidamente para una detección, investigación y mitigación de incidentes más eficiente.

Capacidad de análisis de tráfico de red. Para garantizar el rendimiento y la seguridad de la red, los equipos deben comprender los patrones de tráfico de la misma, así como la disposición de cada dispositivo conectado antes de que ocurra un incidente.  Esto puede ayudar a identificar dispositivos fraudulentos, configuraciones incorrectas y sistemas vulnerables y ponerle remedio, mientras se mantiene el rendimiento de las aplicaciones de cara a las operaciones comerciales. Las capacidades de análisis del tráfico de red ofrecen visibilidad 360 que permite a los equipos monitorizar el comportamiento normal de la red para identificar anomalías que podrían afectar a la seguridad o al rendimiento de la red.

Sistemas de detección y respuesta de redes. Los malintencionados de hoy en día implementan cada vez más técnicas forenses y de anti-detección para evitar ser detectados por las soluciones de detección de endpoints (EDR). Sin embargo, no pueden esconderse del todo. Además del análisis de tráfico, los equipos necesitan una forma de analizar los datos de la red y la inteligencia de amenazas para detectar e investigar actividades de red anómalas, sospechosas y maliciosas que permanecen ocultas a otras herramientas de ciberseguridad. Los sistemas de detección y respuesta de red pueden detectar amenazas que EDR y el sistema basado en registros no detectan, al tiempo que ofrecen acceso a una fuente completa de metadatos y paquetes de red. Estos datos son cruciales para la clasificación y las investigaciones.

Un stack tecnológico apropiado puede mejorar totalmente la prevención, detección y respuesta ante amenazas. Al mismo tiempo, este enfoque más inteligente permitirá a los equipos de seguridad ampliar la eficacia de los sistemas de gestión de eventos e información de seguridad existentes, así como sus herramientas de orquestación, automatización y respuesta de seguridad.

Descarga el documento técnico ‘Seguridad de red sin fronteras: un stack tecnológico común para la seguridad y las operaciones de red’.

Artículo original: Collaboration Makes the Cybersecurity Dream Work  -Seguir leyendo-

Autor: Netscout

Fecha de publicación de Netscout: 15 de septiembre de 2021

Adaptación: Ayscom

Fecha de publicación Ayscom: 11 de octubre de 2021

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *