• Mi objetivo
  • El papel de la NDR en los flujos de trabajo del SOC
  • Puesta en marcha del sistema NDR
  • Cómo la IA complementa la respuesta humana
  • ¿Qué más probé?
  • ¿Qué podría ver con la NDR que no vería de otro modo?
  • ¿Estoy preparado para ser analista de seguridad de red ahora?

Mi objetivo

Como alguien relativamente inexperto en la búsqueda de amenazas de red, quería adquirir experiencia práctica en el uso de un sistema de detección y respuesta de redes (NDR). Mi objetivo era entender cómo se utiliza el NDR en la búsqueda y la respuesta a incidentes, y cómo encaja en el flujo de trabajo diario de un centro de operaciones de seguridad (SOC).

Software Investigator de Corelight , que forma parte de su plataforma Open NDR, está diseñada para que sea fácil de usar (incluso para analistas jóvenes), por lo que pensé que sería una buena opción para mí. Me dieron acceso a una versión de producción de Investigator que estaba cargada con tráfico de red pregrabado. Esta es una forma habitual de aprender a utilizar este tipo de software.

Aunque soy nuevo en la búsqueda de amenazas, tengo experiencia en el análisis de los flujos de tráfico de red. Incluso fui uno de los primeros usuarios de uno de los primeros analizadores de tráfico de red llamado Sniffer. Los Sniffer eran ordenadores especializados equipados con adaptadores de red diseñados para capturar el tráfico y los paquetes. Estas computadoras fueron la base sobre la que se construyeron las plataformas de monitoreo de red más avanzadas. A mediados de la década de 1980, estas herramientas eran caras y requerían mucha formación. Interpretar los datos concisos y crípticos que generaban supuso un desafío, y saber cómo traducir esos conocimientos en pasos prácticos a seguir requería paciencia y experiencia. Ahora, casi cuarenta años después, quería ver cómo los equipos de seguridad buscan redes todos los días cuando los ataques rápidos y complejos son la norma, y con qué rapidez podría utilizar las nuevas herramientas.

El papel de la NDR en los flujos de trabajo del SOC

Antes de comenzar con mi experiencia, permítanme explicar cómo se integra el NDR con el SOC.

Los sistemas NDR se utilizan con mayor frecuencia en las operaciones de seguridad de nivel medio a élite. En estos entornos, la NDR es una parte clave de los flujos de trabajo de búsqueda de amenazas y respuesta a incidentes. Los sistemas proporcionan una visibilidad profunda de las redes y, al mismo tiempo, detectan intrusiones y anomalías. Esta visibilidad es importante no solo para detectar ataques más complejos, sino también para descubrir errores de configuración o vulnerabilidades que pueden provocar infracciones o interrupciones. La NDR ayuda a los analistas a clasificar los eventos y puede proporcionar orientación e información relacionada para determinar la respuesta correcta.

Integrar el NDR con los administradores de eventos e información de seguridad (SIEM) del SOC, Soluciones de detección y respuesta de terminales (EDR) , y los firewalls permiten a los analistas recopilar, enriquecer y correlacionar los datos de la red con eventos generalizados. En conjunto, estas integraciones permiten a los analistas responder de manera más rápida y eficiente al conectar la información de la red con las alertas y las acciones de otras herramientas, especialmente cuando detectan ataques más avanzados que pueden evadir la EDR, por ejemplo. Como sabía que la NDR es un componente central del SOC, tenía muchas ganas de ver cómo funcionaban los flujos de trabajo.

Puesta en marcha del sistema NDR

Cuando abres Investigator por primera vez, te recibe un panel que muestra una lista ordenada de las últimas detecciones de mayor riesgo, ordenadas por dirección IP y frecuencia de aparición. La mayoría de las investigaciones se inician porque alguna actividad sospechosa en la red ha activado una alerta. Esto hace que el analista formule una hipótesis sobre el motivo por el que el evento apareció en el panel de control y, a continuación, analice en detalle los detalles de la alerta para validar o refutar la idea.

Al hacer clic en la lista, pude ver detalles sólidos sobre los problemas específicos que se marcaron. En mi caso, estaba buscando pruebas de que se estaban utilizando un par de herramientas de explotación (incluida una de mis favoritas, NMAP). También utilizaban comandos inversos para ejecutar software malicioso, un servidor DNS poco fiable y una serie de paquetes que documentaban una conversación entre un par de direcciones IP sospechosas. Comprendí enseguida lo importante que es añadir contexto al Investigator.

En lugar de tener que averiguar los patrones de tráfico de la red y su significado, el panel de Investigator me explicó esto y añadió aún más contexto; cada lista también mostraba qué técnicas del marco MITRE ATT&CK® estaban involucradas, lo que me ayudó a entender el significado más amplio del evento. Este nivel de detalle es una excelente manera de informarse sobre vulnerabilidades desconocidas, ya que puede profundizar rápidamente en los detalles de cada alerta para obtener una visión más profunda del contenido de los paquetes de red involucrados.

Esta también fue mi oportunidad de explorar las funciones de GenAI integradas en la herramienta. Podría hacer algunas preguntas predefinidas, como «¿Qué tipo de ataque está asociado a esta alerta?» Respondería con un plan de acción recomendado detallado paso a paso. Por ejemplo, me aconsejó buscar en determinados registros señales que indicaran que un nodo se estaba comunicando con un servidor externo de mando y control y comprobar si había enviado una carga de malware concreta. Me explicaba cómo comprobar si la amenaza se desplazaba lateralmente hacia alguna otra parte de la red.

Puede parecer complicado, pero en realidad mi explicación tarda más que en hacer clic y obtener estos detalles cuando estaba dentro del producto. Este proceso de investigación es fundamental para cualquier analista del SOC que deba reunir fragmentos de información para formarse una imagen coherente de lo que está haciendo el adversario. En este caso, la GenAI estaba revelando ideas y medidas prácticas a seguir, aclarando el proceso de investigación y permitiéndome concentrarme en mi análisis.

Cómo la IA complementa la respuesta humana

La IA integrada ciertamente no es única en la colección actual de productos de seguridad, pero esta fue una característica útil. Lo que me gustó de las sugerencias de inteligencia artificial fue que eran realmente útiles y no molestas, como pueden serlo algunos de los chatbots destinados a los consumidores. Hay pasos claros en el flujo de trabajo, como:

• Determine el cronograma de explotación y utilice sus distintos archivos de registro para correlacionar las direcciones IP conectadas

• Averiguar los orígenes del DNS

• Detección de solicitudes HTTP y transferencias de archivos, etc.

Estos objetos con viñetas no eran solo algunas características áridas mencionadas en los materiales de marketing, sino elementos reales de mi búsqueda de amenazas. No cabe duda de que, gracias a mi experiencia previa con analizadores de redes, sabía —al menos de lejos— por qué eran importantes y cómo encajaban estas distintas piezas. Sin embargo, el hecho de que la IA explicara estos flujos de trabajo me permitió concentrarme en mis propias ideas y me ayudó a construir y explicar la narrativa de un ataque. Vi cómo estas sugerencias basadas en la inteligencia artificial podían permitir a un analista humano determinar cómo responder más rápidamente al incidente y empezar a mitigar su impacto. Por ejemplo, al ver la transferencia de un archivo, puedes averiguar el destino del archivo y saber si contiene malware u otro contenido sospechoso.

Además, las sugerencias y explicaciones generadas se encuentran en el lugar correcto de la pantalla para que se adapten de forma natural al flujo de trabajo de un analista. Dado el número de formas en las que el malware puede entrar en una red, es bueno contar con estos consejos y sugerencias, que pueden mejorar las habilidades de los analistas y servirles de recordatorio oportunos sobre cómo analizar las distintas alertas. Una vez más, la herramienta de inteligencia artificial me ayuda a entender los detalles asociados a cada alerta, como el motivo por el que se produjo, el origen y el daño potencial que causó.

Por último, Corelight se esfuerza por afirmar que Investigator «solo comparte datos con el modelo cuando un analista está investigando una amenaza, y no utilizamos los datos de los clientes para entrenar el modelo de IA». Para ello, hay dos integraciones distintas: una para los datos privados (como las direcciones IP y los detalles de los clientes) y otra para los datos públicos (que no revelan nada específico sobre el tráfico de red subyacente), que se pueden gestionar de forma independiente. Para habilitar ambas integraciones, basta con ir a la página de configuración y activarlas.

¿Qué más probé?

Investigator viene con docenas de paneles especializados que permiten un análisis más profundo. Por ejemplo, hay tres paneles relacionados con la detección de anomalías: uno proporciona un resumen general, otro ofrece información detallada y el tercero muestra la primera vez que se ha observado algo en la red. Esta última pantalla es particularmente útil porque podría mostrar a los analistas técnicas novedosas: señales de una nueva anomalía, por ejemplo. Con este nivel de granularidad, los analistas disponen de los datos que necesitan para determinar si un evento es realmente malintencionado, simplemente el resultado de una mala configuración del software o simplemente un suceso inusual pero inofensivo.

Otro enfoque complementario que comprobé fue el panel de línea de comandos integrado en el Investigador, donde podía buscar condiciones específicas. Encontrará una buena forma de obtener más información sobre la sintaxis y el uso de esta parte del producto en Guía de búsqueda de amenazas de Corelight , donde puede cortar y pegar las cadenas de comandos de ejemplo directamente en sus búsquedas de Investigator y copiar su sintaxis para sus propios fines. Esto puede ayudar a los analistas a familiarizarse más con los datos para que puedan usarlos para detectar amenazas y ataques desconocidos en el futuro.

¿Qué podría ver con la NDR que no vería de otro modo?

Una plataforma de NDR ofrece dos beneficios importantes: enriquecimiento e integración. Cada conexión de red se enriquece con los datos recopilados por el investigador. Esto puede incluir no solo qué dirección IP activó una alerta, sino también cómo se compara la actividad con la actividad de referencia normal de la red. Analizar el tráfico desde los períodos de referencia normales es muy valioso, ya que permite detectar rápidamente la diferencia entre, por ejemplo, el acceso diario a un servidor SQL y la actividad inusual señalada por el sistema. Cuando algo parece estar mal, todo el contexto que necesita está al alcance de su mano. Por ejemplo, no es necesario recordar que el puerto 123 se usa para el protocolo horario de red ni qué tipos de vulnerabilidades pueden ocurrir si alguien lo está manipulando.

El enriquecimiento también ayuda a correlacionar un evento en particular con otros puntos de datos relacionados que explican lo que está viendo. Esto tiene otro beneficio: la integración con otras herramientas de seguridad. Las integraciones son la forma en que se recopilan y comparten los metadatos enriquecidos. Por ejemplo, los archivos de registro se pueden exportar a varios SIEM para un análisis de correlación más detallado. La información sobre la NDR se puede combinar con herramientas de EDR, como CrowdStrike Falcon®, para bloquear un servidor o host en particular, o para bloquear una dirección IP determinada en combinación con un firewall como Palo Alto Networks. Para una mayor defensa, se pueden añadir las reglas de inteligencia sobre amenazas que se utilizan en tecnologías como Suricata® y Yara, así como otros indicadores de riesgo.

Estas integraciones le permiten combinar la visibilidad de la red de NDR con la EDR, lo que permite identificar qué puntos finales o hosts pueden ser el origen de actividades sospechosas o podrían verse comprometidos por un mal actor. Resulta especialmente ventajoso a la hora de rastrear el malware. Hoy en día, es habitual ver malware que se mueve entre varios dominios de amenazas (como este reciente exploit que utilizaba una cuenta de correo electrónico falsa, un router sudafricano comprometido, un paquete de suplantación de identidad como servicio y una infraestructura que conectaba máquinas en Rusia, EE. UU. y Croacia). Contar con este nivel de visibilidad de la red es crucial para entender estas complejas relaciones y movimientos de amenazas.

Se pueden realizar más de 50 integraciones de este tipo con la solución de Corelight, por lo que se puede utilizar como una forma de agregar información de muchas fuentes de detección diferentes, y estos resultados se pueden exportar a muchos productos que ofrecen resolución. Disponer de un repositorio de detalles de vulnerabilidades comunes como estos puede ser una referencia fácil para un analista del SOC que ya haya visto esa vulnerabilidad en particular o que esté aprendiendo sobre nuevas vulnerabilidades. Añadir estas integraciones también es sencillo. Por ejemplo, puedes bloquear el tráfico de direcciones IP específicas agregándolas a las listas dinámicas externas de Palo Alto y simplemente intercambiando claves criptográficas.

¿Estoy preparado para ser analista de seguridad de red ahora?

No del todo. Si bien me gusta y quiero seguir con mi trabajo diario (escribir sobre seguridad y probar nuevos productos), esta experiencia me permitió estar más en contacto con lo que hace el analista de SOC del día a día para ganarse la vida. Gracias a Investigator, pude aprovechar mis habilidades básicas y mis conocimientos sobre protocolos de red y convertirlos en tareas prácticas. También me ayudó a aprender sobre las operaciones internas de los distintos exploits que detecté en mi red de muestra. Piense en Investigator como un multiplicador de fuerzas para el personal de nivel medio de su SOC, ya que les permite ahorrar tiempo y proporcionar más recursos para detectar las amenazas y las medidas de mitigación.

Este análisis del funcionamiento interno se debe a la posibilidad de vincular una alerta con otras partes de la red (un proveedor de DNS personalizado, un proveedor de alojamiento web que no debería enviar datos a ningún sitio o un almacén de datos en la nube abierto), lo que podría conducir a la clave para solucionar un problema en particular.

Sin una plataforma de NDR para recopilar y correlacionar toda esta información, me esforzaría principalmente por encontrar los distintos fragmentos de datos, o cortaría y pegaría datos manualmente de un programa de seguridad a otro. De esta forma, tenía todo el corpus de datos al alcance de la mano, con las relaciones de conexión y la actividad que el software detectaba automáticamente. No tuve que perder el tiempo cortando y pegando una dirección IP o una cadena de búsqueda: simplemente hice clic en el elemento en particular y el software me mostró la relación en particular.

Sí, las cosas han cambiado desde los primeros días del Sniffer. Pero mi día me pongo manos a la obra con Corelight Investigador me enseñó valiosas lecciones sobre cómo crear hipótesis de amenazas, comprender cómo se mueven las amenazas en una red y, lo que es más importante, me dio la oportunidad de aprender más sobre cómo funcionan las redes y cómo pueden defenderse en la era moderna. Para obtener más información sobre la plataforma NDR abierta de Corelight, visite corelight.com . Si quieres obtener más información sobre cómo los equipos SOC de élite utilizan la plataforma abierta de NDR de Corelight para detectar tipos de ataques novedosos, incluidos los que utilizan técnicas de inteligencia artificial, visita corelight.com/elitedefense .

Nota: Este artículo fue cuidadosamente escrito y contribuido para nuestra audiencia por David Strom.

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.