La detección y respuesta de la red (NDR) es una categoría de tecnologías de ciberseguridad que utiliza métodos no basados en firmas, como inteligencia artificial, aprendizaje automático y análisis de comportamiento, a fin de detectar actividades sospechosas o maliciosas en la red y responder a amenazas cibernéticas. 

La NDR evolucionó del análisis de tráfico de red (NTA), una tecnología desarrollada originalmente para extraer modelos de tráfico de red a partir de datos de tráfico de red sin procesar. Cuando las soluciones de NTA incorporaron capacidades de análisis de comportamiento y respuesta a amenazas, Gartner, analista del sector, cambió el nombre de la categoría NDR en 2020.

Muchas herramientas tradicionales de detección de amenazas (software antivirus, detección temprana de intrusiones y sistemas de prevención [IDPS], y algunos tipos de firewall) buscan indicadores únicos de compromiso (IOC) o firmas para identificar y evitar amenazas.

Una firma puede ser cualquier característica relacionada con un ataque cibernético conocido, por ejemplo, una línea de código, hash de archivo o tamaño de archivo de una variante de malware en particular, un encabezado de paquete específico o una línea de asunto de un correo electrónico de phishing o ingeniería social. Las herramientas basadas en firmas mantienen bases de datos que se actualizan de firmas conocidas de manera periódica y detectan amenazas mediante la búsqueda de estas firmas en el tráfico de red.

Como resultado, estas herramientas basadas en firmas resultan eficaces para evitar que las amenazas conocidas entren o acechen en la red. Sin embargo, no pueden detectar amenazas o malware nuevos, emergentes o que aún sean desconocidos. También es poco probable que identifiquen amenazas sin firmas, como las siguientes:

• Hackers que utilizan credenciales robadas para acceder a la red
• Ataques de compromiso del correo electrónico empresarial (BEC, por sus siglas en inglés) en los que los hackers se hacen pasar por la cuenta de correo electrónico de un ejecutivo o se apropian de ella
• Empleados que participan en comportamientos riesgosos de forma involuntaria, por ejemplo, al guardar datos de la empresa en una unidad USB personal o hacer clic en enlaces de correo electrónico a sitios web maliciosos.
  

Ransomware y otras amenazas persistentes avanzadas utilizan estos puntos ciegos para infiltrarse en las redes, realizar reconocimientos, escalar privilegios y esperar el momento adecuado para lanzar un ataque. 

Si bien las herramientas basadas en firmas son principalmente preventivas, la NDR adopta un enfoque dinámico de respuesta ante las amenazas de la red. En lugar de buscar firmas conocidas específicas, las soluciones de NDR monitorean y analizan el tráfico y la actividad de la red en tiempo real para identificar cualquier actividad sospechosa, fuera de la red o dentro de ella, que pueda indicar una amenaza cibernética conocida o desconocida.

Las soluciones de NDR lo hacen mediante los siguientes métodos:

Modelado del comportamiento de la red de referencia. Las soluciones de NDR ingieren datos y metadatos sin procesar de la actividad de red provenientes de sensores dedicados y agentes de aplicación en toda la red, y de infraestructura de red, como firewalls y enrutadores. Luego, estas herramientas aplican análisis de comportamiento, IA y aprendizaje automático a los datos para generar un modelo de referencia del comportamiento y la actividad normal de la red. 

Detección de actividades sospechosas y potencialmente maliciosas. La NDR monitorea la red continuamente y utiliza las mismas capacidades de análisis e IA para identificar desviaciones del comportamiento de referencia en tiempo real. Entre los ejemplos, se incluyen un usuario que accede a datos confidenciales fuera del horario laboral, un dispositivo endpoint que se comunica con un servidor externo desconocido o un puerto que recibe paquetes de datos poco comunes.

Dado que las soluciones de NDR monitorean el tráfico de red norte-sur (salida y entrada) y este-oeste (interno), pueden detectar y hacer un seguimiento del movimiento lateral de las amenazas, un comportamiento común de los usuarios internos maliciosos y las amenazas avanzadas. Entre algunas soluciones de NDR, se incluyen capacidades para detectar amenazas ocultas en el tráfico cifrado.

La NDR también puede generar modelos de comportamiento de amenazas mediante la correlación de datos de fuentes de inteligencia de amenazas, el marco MITRE ATT&CK y otras fuentes de datos sobre tácticas, técnicas y procedimientos (TTP) de delincuentes cibernéticos. Estos modelos ayudan a que la solución de NDR filtre el ruido de las señales, es decir, distinga entre posibles ataques cibernéticos y actividades poco comunes pero inofensivas, o “falsos positivos”.

Proporcionar automatización y herramientas de respuesta a incidentes. Cuando una solución de NDR detecta un ataque cibernético o un comportamiento que podría indicar uno, puede hacer lo siguiente:

• Priorizar y generar alertas para el equipo de seguridad o el centro de operaciones de seguridad (SOC) en tiempo real.
• Automatizar la respuesta a incidentes. Las soluciones de NDR pueden tomar medidas automáticamente, como finalizar una conexión de red sospechosa, a fin de interrumpir o concluir un ataque cuando este ocurre. La NDR también puede aprovechar las integraciones con otras herramientas de seguridad para activar una respuesta a incidentes. Por ejemplo, podría solicitar al sistema SOAR (orquestación de seguridad, automatización y respuesta) de una organización que ejecute un playbook de respuesta predefinida.
• Optimizar las investigaciones de amenazas. Las soluciones de NDR proporcionan datos contextuales y funcionalidades que los equipos de seguridad y los SOC pueden utilizar para acelerar las investigaciones de amenazas en curso y las investigaciones proactivas o amenazas desconocidas o no detectadas (conocidas como “inteligencia de amenazas”).

En la actualidad, las redes empresariales son sumamente descentralizadas y expansivas, y conectan hardware, software, dispositivos de Internet de las cosas y carga de trabajo, y centros de datos on premises y en la nube. Para obtener visibilidad total de estas redes distribuidas e interconectadas, los SOC a menudo recurren a NDR junto con otras soluciones de seguridad como parte de su estrategia de seguridad en la nube. 

Por ejemplo, la NDR es uno de los tres pilares de la tríada de visibilidad de SOC de Gartner, junto con la detección y respuesta de endpoints (EDR) y la información de seguridad y gestión de eventos (SIEM). La EDR es un software diseñado para proteger automáticamente a los usuarios finales de una organización, los dispositivos endpoint y activos de TI contra las amenazas cibernéticas que superan el software antivirus y otras herramientas tradicionales de seguridad endpoint. Proporciona una vista “a nivel del suelo” de la actividad que ocurre en endpoints individuales, que complementa la “vista aérea” del tráfico de red que proporciona la NDR. La SIEM combina y correlaciona datos de eventos y registros relacionados con la seguridad de las herramientas de seguridad dispar y otras fuentes en la red (servidores, aplicaciones, dispositivos). Las herramientas de NDR pueden transmitir datos y análisis de tráfico de red a un sistema SIEM, lo cual enriquece aun más su valor para los flujos de trabajo de cumplimiento normativo y seguridad.

Más recientemente, los SOC están adoptando soluciones de detección y respuesta extendidas (XDR). La XDR integra herramientas de ciberseguridad en toda la infraestructura de TI híbrida de una organización (endpoints, redes, cargas de trabajo en la nube y más) para que puedan interoperar y coordinarse en la prevención, detección y respuesta a amenazas cibernéticas. Muchas soluciones de XDR incorporan capacidades de NDR; las soluciones de XDR abiertas pueden utilizar las capacidades de NDR que una organización ya tiene implementadas.