Significado de NDR: ¿Qué es NDR? Definición y explicación

¿Qué es detección y respuesta para redes (NDR)?

NDR (del inglés, Network Detection and Response) es una solución de ciberseguridad que supervisa permanentemente la red de una empresa para detectar ciberamenazas y comportamientos anormales, utilizando para ello herramientas o técnicas no basadas en firmas, y responde a través de funciones nativas o mediante la integración con otras herramientas/soluciones de ciberseguridad.

¿Cómo funciona la detección y respuesta para redes?

NDR es una solución de ciberseguridad que supervisa permanentemente la red de una empresa mediante la recopilación de todo el tráfico de red para ofrecer una visibilidad inigualable, utiliza análisis del comportamiento, aprendizaje automático e inteligencia artificial para detectar las ciberamenazas y los comportamientos anormales, y responde a través de funciones nativas o mediante la integración con otras herramientas/soluciones de ciberseguridad.

Las soluciones NDR de alto rendimiento utilizan herramientas avanzadas de aprendizaje automático e inteligencia artificial para establecer el modelo de tácticas, técnicas y procedimientos en función del marco MITRE ATT&CK, a fin de detectar con mucha precisión los comportamientos de los ciberdelincuentes. Identifican el contexto pertinente para la seguridad, extraen datos de gran fidelidad, correlacionan eventos a lo largo del tiempo, los usuarios y las aplicaciones para reducir drásticamente el tiempo y esfuerzo dedicado a las investigaciones. Asimismo, transmiten las correlaciones de amenazas y detecciones de seguridad a soluciones de administración información y eventos de seguridad (SIEM). 

Las soluciones NDR no solo detectan las amenazas, sino que además responden a ellas en tiempo real mediante controles nativos o con una amplia variedad de integraciones con otras herramientas o soluciones de ciberseguridad, como las de organización, automatización y respuesta de la seguridad (SOAR).

¿Por qué necesita mi empresa una solución NDR?

Las soluciones NDR juegan un papel esencial en la protección de su infraestructura digital.

El rastro de las amenazas se encuentra normalmente en tres lugares: la red, los endpoints y los registros.

  • Las soluciones de detección y respuesta para endpoints (EDR) proporcionan una vista sobre el terreno detallada de los procesos que se ejecutan en un host y las interacciones entre ellos.
  • Una solución NDR proporciona una vista aérea de las interacciones entre todos los dispositivos y la red.
  • Los equipos de seguridad configuran entonces las soluciones SIEM para recopilar información del registro de eventos desde otros sistemas y correlacionan entre las fuentes de datos.

Los equipos de seguridad que despliegan estas herramientas tienen la capacidad de responder a una amplia variedad de preguntas a la hora de hacer frente a un incidente o cazar amenazas.

Por ejemplo: ¿Qué hizo este activo o cuenta antes de la alerta? ¿Que hizo después de la alerta? ¿Podemos saber cuándo empezaron a ir mal las cosas?

De este grupo, la solución NDR es la más importante porque ofrece perspectiva donde otras no pueden.

Por ejemplo, los exploits que operan a nivel de la BIOS de un dispositivo pueden alterar la solución EDR o sencillamente la actividad maliciosa puede no quedar reflejada en los registros. Sin embargo, las herramientas de red podrán ver su actividad tan pronto como interactúen con cualquier otro sistema del entorno de red.

Los ciberdelincuentes avanzados y sofisticados utilizan túneles HTPPS cifrados ocultos, que se mezclan con el tráfico regular, para lanzar una sesión de mando y control (C2) y utilizar la misma sesión para filtrar datos sensibles de clientes o de la empresa y eludir los controles de seguridad perimetrales, pero las soluciones NDR son muy eficaces a la hora de detectar estos comportamientos.

Las plataformas de detección y respuesta para redes basadas en inteligencia artificial eficaces recopilan y almacenan los metadatos adecuados y los enriquecen con información de seguridad obtenida mediante inteligencia artificial.

El uso eficaz de la inteligencia artificial permite la detección de los ciberdelincuentes en tiempo real y lleva a cabo investigaciones concluyentes de los incidentes.

¿Cuáles con las ventajas de la detección y respuesta para redes?

Las soluciones de detección y respuesta para redes proporcionan visibilidad permanente de todos los usuarios, dispositivos y tecnologías conectadas a la red, desde el centro de datos a la nube, los usuarios del campus, los usuarios remotos, las soluciones IaaS y SaaS, las impresoras y los dispositivos IoT.

Las principales soluciones NDR utilizan análisis del comportamiento y aprendizaje automático/inteligencia artificial para establecer el modelo de comportamiento de los ciberdelincuentes y detectar ataques avanzados y persistentes con precisión milimétrica. Evitan el aluvión de alertas poco fiables e irrelevantes, ya que no detectan anomalías, sino ataques activos. Proporcionan cobertura de detección durante varias fases de ciclo de vida de un ataque, incluida la persistencia, la escalación de privilegios, la evasión de las defensas, el acceso con credenciales, el descubrimiento, el movimiento lateral, la recopilación de datos, el mando y control y la filtración.

Las principales soluciones NDR basadas en inteligencia artificial son automáticas y mejoran de forma drástica las detecciones de seguridad y la eficacia operativa del centro de operaciones de seguridad (SOC), a pesar de la escasez de personal y competencias en ciberseguridad que sufren empresas y equipos, gracias a que ofrecen reconstrucciones completas de los ataques en lenguaje natural, lo que proporciona a los analistas toda la información que necesitan para reaccionar a las alertas de forma rápida y eficaz.

Además de detectar los ataques sofisticados que actúan discretamente y emplean técnicas evasivas, las soluciones NDR ofrecen la capacidad de responder automáticamente a los ataques a través de controles nativos y neutralizar el ataque en tiempo real. Asimismo se integran con varios productos de ciberseguridad, como EDR o soluciones de ciberseguridad como SOAR.

Descubra todos los detalles sobre la plataforma de detección y respuesta para redes mediante inteligencia artificial de Vectra.

Vectra Cognito es una plataforma de detección y respuesta a amenazas que emplea inteligencia artificial para detectar el comportamiento de los ciberdelincuentes y proteger tanto a hosts como a usuarios frente a compromisos. Vectra Cognito proporciona alertas de alta fidelidad y no descifra los datos, de manera que puede proteger y mantener la privacidad ya sea en la nube, el centro de datos, las redes empresariales o los dispositivos IoT.

La plataforma Cognito para NDR está en servicio permanentemente para detectar y responder a ataques en la nube, el centro de datos, los dispositivos IoT y las redes empresariales. Nuestro trabajo es detectar y neutralizar esos ataques antes y con total garantía. La plataforma satisface los estándares de cumplimiento de SOC 2 Tipo 2, que garantizan la seguridad y confidencialidad de los datos de nuestros partners y clientes.

Related Content