Los datos a nivel de paquetes de su entorno de nube híbrida son clave. He aquí por qué.
Muchas empresas han avanzado rápidamente en su estrategia de transformación digital y adopción de entornos de nube/nube híbrida. Aunque cada organización es única y tiene su propio punto de partida, el éxito de la transformación requerirá la colaboración y el compromiso de los equipos de redes y seguridad a lo largo de este viaje.
Un estudio reciente de Omdia, «Assessing the Role of Packet Intelligence in Securing the Modern Enterprise Network Environment», desglosa este viaje basándose en una muestra de más de 100 participantes de funciones tanto de red como de seguridad, que representan a empresas de 5000 empleados o más y varias regiones geográficas.
Sin embargo, la transformación digital es necesaria a pesar de esta reticencia, y la única forma de obtener realmente una visibilidad completa de estos entornos en la nube es a través de datos basados en paquetes. Los participantes en el estudio encontraron varias ventajas en este enfoque, incluida la capacidad de tener una visión más profunda del tráfico, lo que permite una investigación y resolución más rápidas (Imagen 1). Pero las ventajas mejor valoradas fueron que los datos a nivel de paquetes facilitaban la adaptación de los procesos operativos a nuevos entornos (43%) y les daban la posibilidad de cubrir lagunas de visibilidad desplegando en entornos/dispositivos de red cuando no pueden desplegar agentes de detección y respuesta de puntos finales (EDR), como dispositivos IoT (35%).
Si las organizaciones conocen las ventajas y la importancia de proporcionar información coherente y útil a través de la inteligencia a nivel de paquetes, ¿qué se interpone en su camino hacia la transformación digital? La mayoría de los encuestados (51%) señalaron que el mayor obstáculo eran las limitaciones de personal o encontrar a las personas con las aptitudes adecuadas, y los altos directivos en particular (79%) indicaron que este era el principal problema que les frenaba. Los otros problemas principales, con respuestas que oscilan entre el 28% y el 32%, son la falta de escalabilidad, el bajo rendimiento de las consultas y los análisis, los costes operativos de la captura y el almacenamiento de paquetes y la imposibilidad de ver el tráfico cifrado (Imagen 2).
La transformación digital ha llegado para quedarse, y las empresas con más datos procesables serán las que puedan adaptarse más rápido y tomar decisiones mejores y más rápidas para ganar. Las empresas necesitan abordar e implementar las estrategias digitales que les ayudarán a mantenerse con o por delante de su competencia.
«Los datos a nivel de paquete pueden proporcionar la base coherente de inteligencia necesaria para comprender el impacto en todas las partes de la infraestructura -en las instalaciones, en el perímetro y en la nube- a medida que evoluciona para soportar los cambios que requiere la empresa. Esta inteligencia ayuda tanto a los encargados del rendimiento y la fiabilidad de la red como a los preocupados por la seguridad y la integridad de los datos a cumplir sus objetivos.» – Fernando Montenegro, Analista Principal Senior, Omdia.
Durante más de dos décadas, NETSCOUT ha gestionado las redes más complejas del mundo mediante la inspección profunda de paquetes (DPI) patentada y la tecnología Adaptive Service Intelligence (ASI). La tecnología ASI convierte los paquetes sin procesar en un sólido conjunto de metadatos de capa 2-7 en tiempo real que pueden utilizarse para el análisis del rendimiento de la red/aplicación y la ciberseguridad. Omnis Cyber Intelligence (OCI) de NETSCOUT aprovecha esta tecnología para ofrecer una solución avanzada de detección y respuesta de red (NDR) basada en DPI.
¿Por qué consideramos NDR avanzada a NETSCOUT Omnis Cyber Intelligence? La siguiente tabla muestra cómo se compara con la NDR heredada.
|
Características |
Legado NDR |
Inteligencia cibernética Omnis NDR avanzado basado en DPI |
|
Fuente de datos |
Uso intensivo de NetFlow o uso limitado de paquetes. |
Todos los paquetes, incluidos los cifrados y los procedentes de entornos de nube híbrida. |
|
Rendimiento de la captura de paquetes |
Utiliza métodos abreviados, como la captura sólo después de que se active una alerta, y no técnicas de velocidad de línea completa y fragmentación de paquetes. |
Captura continua (antes, durante y después del ataque) de velocidad de línea y paquetes completos. |
|
Extracción, almacenamiento y análisis de metadatos |
Extracción limitada de metadatos; los paquetes sin procesar requieren grandes cantidades de almacenamiento; análisis engorrosos. |
Extracción limitada de metadatos; los paquetes sin procesar requieren grandes cantidades de almacenamiento; análisis engorrosos. |
|
Capacidades de detección y respuesta |
Sólo detección en tiempo real. |
Detección en tiempo real y detección histórica mediante investigación e integración con dispositivos de bloqueo en el borde de la red (cortafuegos, protección DDoS). |
|
Integración |
Poca integración en la pila de seguridad existente; datos aislados. |
Integración completa en la pila de seguridad, incluido el envío de alertas a SIEM/SOAR, la investigación de alertas de terceros desde SIEM/SOAR y la exportación de metadatos para su combinación con otros conjuntos de datos y análisis personalizados. |
NETSCOUT OCI también permite a las organizaciones superar las barreras al uso de datos basados en paquetes que se mencionaban en el informe de Omdia. Por ejemplo:
- Escasez de personal: Con una fuente de datos coherente, los equipos de seguridad y redes pueden colaborar y acceder rápidamente a los paquetes y metadatos que necesitan para una investigación más rápida y eficaz, lo que ayuda a las organizaciones a sacar el máximo partido de su personal.
- Escalabilidad: La instrumentación de red NETSCOUT Omnis CyberStream utiliza tecnología patentada y probada para capturar continuamente paquetes completos (no troceados o cuando se superan los umbrales) a velocidades de línea de hasta 100 Gbps y puede admitir cualquier entorno de red, incluida la nube híbrida, para mantener un menor coste total de propiedad.
- Bajo rendimiento: NETSCOUT OCI puede acceder, analizar y recuperar rápidamente metadatos y paquetes robustos de la instrumentación Omnis CyberStream.
- Costes operativos: La instrumentación de red NETSCOUT Omnis CyberStream utiliza una tecnología patentada de indexación y compresión para capturar y almacenar continuamente paquetes completos y metadatos inteligentes asociados en la instrumentación local.
- Encriptación: Los dispositivos de descifrado de NETSCOUT pueden utilizarse para descifrar paquetes cifrados para su análisis por OCI.
- Compatibilidad con todos los entornos: Las sondas Omnis CyberStream pueden desplegarse en cualquier entorno de red, incluidos entornos de nube pública como AWS, Azure o Google Cloud.
- Integración total y exportación de datos: La plena integración en los ecosistemas de seguridad existentes -por ejemplo, a través de la gestión de eventos e información de seguridad (SIEM); la orquestación, automatización y respuesta de seguridad (SOAR); y los dispositivos de bloqueo como los cortafuegos- ofrece la posibilidad de exportar metadatos y paquetes para combinarlos con otros conjuntos de datos (por ejemplo, EDR, registros SIEM o inteligencia sobre amenazas) para realizar análisis personalizados.
NETSCOUT OCI está diseñado para garantizar una experiencia consistente del analista del centro de operaciones de seguridad (SOC) y crear un proceso de análisis que conduzca a una detección de amenazas más rápida, mitigaciones más rápidas y una postura de seguridad mejorada en el futuro, con acceso rápido para analizar paquetes guardados y metadatos para análisis de respuesta e investigación a largo plazo.
Artículo original: Overcoming the Barriers to Digital Transformation
Autor: Netscout
Adaptación: Ayscom