NDR frente a Illumio Insights: Detección y contención del movimiento lateral en la nube híbrida
Durante años, las plataformas de detección y respuesta de red (NDR, por sus siglas en inglés) sirvieron como el microscopio del equipo de seguridad.
Inspeccionan el tráfico de red a nivel de paquetes, analizan el comportamiento en toda la infraestructura y detectan actividades sospechosas ocultas en entornos complejos. Cuando algo sale mal, las herramientas NDR ayudan a los investigadores a reconstruir lo sucedido.
Esa capacidad tenía sentido cuando la mayoría de las aplicaciones residían en centros de datos y el tráfico fluía a través de rutas de red previsibles.
La infraestructura moderna ya no funciona de esa manera.
Actualmente, las aplicaciones se ejecutan en entornos híbridos que abarcan sistemas locales, múltiples nubes, contenedores, API y cargas de trabajo de corta duración. Y los atacantes se adaptaron a esta complejidad.
En lugar de atacar el perímetro, se infiltran mediante credenciales robadas, servicios expuestos o configuraciones incorrectas. Una vez que logran afianzar, comienza el verdadero ataque a medida que se desplazan lateralmente por el entorno.
En ese momento, comprender lo que sucedió ayer no es suficiente. Los equipos de seguridad necesitan detectar patrones de comunicación riesgosos en tiempo real y detener a los atacantes antes de que amplíen su acceso.
Ese cambio pone de manifiesto las limitaciones de la NDR tradicional. Los entornos modernos actuales requieren un nuevo enfoque para la detección y la contención de brechas de seguridad.
Ahí es donde entra en escena Illumio Insights.
Illumio Insights: detección diseñada para la contención de brechas
Illumio Insights adopta un enfoque diferente para la detección y respuesta ante amenazas.
En lugar de depender de la captura de paquetes y la reconstrucción del tráfico luego de un incidente, Insights analiza los patrones de comunicación en tiempo real en todo el entorno. Recopila datos de flujo procedentes de plataformas en la nube, sistemas locales e infraestructura híbrida para crear un mapa en tiempo real de cómo interactúan las cargas de trabajo.
En el centro de esta capacidad se encuentra el gráfico de seguridad de IA de Illumio.
El gráfico modela las relaciones entre sistemas y las evalúa continuamente en busca de patrones de comunicación riesgosos, conexiones sospechosas e indicios de movimiento lateral.
Esto permite a Insights detectar y priorizar los riesgos antes de que los atacantes puedan explotarlos. Los equipos de seguridad pueden detectar actividades sospechosas en el momento en que ocurren, en lugar de tener que reconstruir los hechos posteriormente.
Insights también simplifica la investigación.
Las plataformas de detección tradicionales generan grandes volúmenes de alertas que requieren análisis manual. Dentro de Illumio Insights, el Agente de Insights actúa como un asistente de IA que ayuda a los analistas a centrar en lo que realmente importa. Analiza las detecciones, prioriza el riesgo, relaciona los hallazgos con las técnicas MITRE ATT&CK y recomienda acciones para abordar la amenaza.
Pero la mayor diferencia aparece luego de la detección. La mayoría de las herramientas NDR se limitan a identificar las amenazas, mientras que Illumio se centra en contenerlas.
Insights se integra directamente con Illumio Segmentation para aplicar controles a nivel de red que impiden que los atacantes se muevan lateralmente por el entorno. Los equipos de seguridad pueden aislar las cargas de trabajo comprometidas, bloquear las rutas de comunicación riesgosas e impedir que los atacantes amplíen el acceso.
La detección revela la amenaza, pero la contención detiene la brecha.
Para qué fueron diseñadas las plataformas NDR
En el corazón de toda plataforma NDR se encuentra la inspección profunda de paquetes (DPI).
Estas soluciones se basan en sensores de red que analizan el tráfico que fluye a través de la red en tiempo real. Algunos sensores son virtuales, mientras que otros son dispositivos físicos conectados directamente a la infraestructura del centro de datos.
A medida que los paquetes se desplazan por la red, las soluciones NDR los capturan y analizan a velocidades extremadamente altas. Pueden descifrar el tráfico, inspeccionar las cargas útiles y examinar cada detalle del flujo de comunicación.
Pero almacenar cada paquete requeriría una enorme capacidad de almacenamiento. Esto exige que las plataformas NDR adopten un enfoque diferente.
En lugar de almacenar el tráfico sin procesar, extraen detalles clave sobre lo ocurrido y almacenan esos detalles como metadatos. Esos metadatos se convierten en un registro histórico consultable de la actividad de la red.
Si ocurre algo sospechoso, los equipos de seguridad pueden reconstruir lo sucedido: qué sistemas se comunicaron, qué datos se transfirieron y cómo se desarrolló el evento.
Esta capacidad forense es increíblemente poderosa. De hecho, para algunas industrias que dependen de redes de centros de datos locales, como la banca y algunas agencias federales, es un requisito obligatorio según las normativas de cumplimiento. Estas organizaciones deben mantener registros detallados de la red con fines de investigación y cumplimiento normativo .
En esos entornos, las soluciones NDR proporcionan exactamente lo que los equipos necesitan: una visión histórica detallada de la actividad de la red.
Donde NDR comienza a tener dificultades
La arquitectura que hace que las soluciones NDR sean poderosas también revela sus limitaciones.
La mayoría de las plataformas NDR se diseñaron específicamente para redes de centros de datos locales. Sus sensores están ubicados dentro de la red y analizan el tráfico que fluye a través de la infraestructura física.
Ese diseño funciona extraordinariamente bien en entornos tradicionales. Pero la infraestructura moderna tiene un aspecto muy diferente.
Actualmente, las organizaciones ejecutan aplicaciones en entornos híbridos que combinan sistemas locales, múltiples nubes y plataformas de contenedores.
Si bien los proveedores de NDR agregaron compatibilidad con la nube a lo largo de los años, esas capacidades suelen ser añadidos complementarios en lugar de características de diseño fundamentales. Como resultado, sus mayores capacidades permanecen dentro del centro de datos.
Eso plantea varios desafíos.
La detección de amenazas en la nube es más débil.
En entornos de nube, las plataformas NDR suelen basar en los registros de flujo de la nube en lugar de en la inspección profunda de paquetes.
Los registros de flujo proporcionan visibilidad de la comunicación en la red. Pero carecen del nivel de detalle de los paquetes del que dependen las plataformas NDR para la detección.
Esto significa que las capacidades de detección de amenazas que funcionan bien en entornos locales a menudo no se adaptan correctamente a los entornos en la nube.
Para las organizaciones que emplean infraestructuras híbridas, esto crea puntos ciegos.
La detección sigue siendo un proceso que requiere mucha investigación.
Muchos proveedores de NDR incorporaron capacidades de aprendizaje automático e inteligencia artificial para ayudar a identificar anomalías. Analizan el comportamiento de la red y buscan picos inusuales o desviaciones de los patrones de tráfico normales.
Si ocurre algo inusual, el sistema genera una alerta. Sin embargo, una vez que aparece esa alerta, la responsabilidad vuelve a recaer en los analistas humanos.
Los equipos de seguridad deben investigar el incidente, determinar si representa una actividad maliciosa y decidir cómo responder.
La herramienta hace visible la señal, mientras que los humanos siguen realizando el trabajo pesado.
El enfoque sigue siendo el análisis histórico.
Las plataformas NDR destacan por ayudar a los equipos a investigar lo sucedido en el pasado.
Esa capacidad resulta valiosa para el análisis forense, la elaboración de reportes reglamentarios y la investigación posterior a incidentes.
Pero los ataques modernos se mueven con rapidez. Para cuando los equipos reconstruyen los hechos, es posible que el atacante ya extendió su acceso a todo el entorno.
¿Por qué muchas organizaciones emplean NDR?
A pesar de estas limitaciones, las herramientas NDR siguen emplear ampliamente.
En algunos entornos, son obligatorios. Ciertos organismos gubernamentales e industrias altamente reguladas, como la banca, deben emplear la inspección profunda de paquetes para cumplir con los requisitos de cumplimiento normativo. Para esas organizaciones, la NDR no es negociable.
Para otras organizaciones, NDR es simplemente la herramienta más cercana disponible para la detección de amenazas en la red. Es posible que no necesiten una inspección completa a nivel de paquetes ni registros forenses a largo plazo.
Lo que realmente necesitan es la capacidad de detectar actividades sospechosas en toda su red. En esos entornos, la inspección profunda de paquetes puede resultar excesiva. Recopila enormes cantidades de información y requiere una infraestructura importante para funcionar.
Sin embargo, muchas organizaciones lo implementan de todos modos porque no hubo una mejor opción.
Ahí es donde entra en escena Illumio Insights.
Repensando la detección de redes para entornos híbridos
NDR sigue siendo una herramienta poderosa para las organizaciones que requieren una inspección profunda de paquetes y visibilidad forense histórica. Pero muchas organizaciones operan hoy en día en entornos que NDR nunca fue diseñado para proteger.
Las infraestructuras híbridas, las cargas de trabajo efímeras y las arquitecturas nativas de la nube requieren un enfoque diferente.
Los equipos de seguridad deben detectar patrones de comunicación riesgosos en todo el entorno y responder antes de que los atacantes puedan propagar.
Illumio Insights proporciona esa capacidad.
Al combinar la detección en tiempo real, el análisis basado en IA y la segmentación integrada, ayuda a las organizaciones a ir más allá de la investigación y avanzar hacia la contención efectiva de las brechas de seguridad.
Prueba Illumio Insights gratis para detectar comunicaciones de riesgo en todo su entorno e impedir que los atacantes se muevan lateralmente.
