Red Seguridad 87

red seguridad cuarto trimestre 2019 77 protección opinión indicios de que una brecha está a punto de ocurrir: un malware infiltra- do en la red interna empieza a hacer un reconocimiento de los activos haciendo pings , reverse DNS loo- kups , UDP port scanning , ataques de fuerza bruta a cuentas de usuarios, elevación de privilegios, ejecución de comando y control, etc. Incluso puede ser un usuario interno inten- tando fugar datos. Reveal(x) detecta cualquier tipo de actividad anómala en tiempo real. Asimismo, capta todas las activida- des en la red y proporciona todo el forense para hacer una investigación guiada de lo ocurrido. Con pocos clics se puede llegar al grano de una brecha, e incluso ver los posibles daños y equipos afectados pero que aún no exhiben muestras de ser violados. El poder de anticipar una inciden- cia, ya sea de rendimiento o de segu- ridad, está directamente relacionado con la cantidad de información que se puede analizar en tiempo real. ¿Cuál es el secreto, pues, del éxito de Google? "No tenemos mejores algoritmos que nadie; simplemente tenemos más datos", admitió su científico jefe, Peter Norvig, en Zeitgeist en 2011 (fuente: Forbes Magazine 3/10/2011). to de la red o por el gasto, ya que sus proveedores suelen cobrar por la cantidad de logs que reciben. En multitud de ocasiones, los sistemas de seguridad generan tantas alertas que los analistas de seguridad se ven desbordados, con el resultado de no poder tratar todas las incidencias adecuadamente. Para anticipar e impedir un ataque es necesario monitorizar la red interna y externa en tiempo real. Dado que Reveal(x) analiza todo el tráfico, gene- ra más capacidad de aprendizaje de máquina, con el resultado de disponer de más precisión a la hora de antici- par incidencias anómalas. Tener guar- dados todos los comportamientos (forense) también hace que las investi- gaciones sean rápidas y precisas. Respuestas ante incidencias En 2015 Gartner creó el término ' cyber triad ', que consiste en tres elementos: Network Detection & Response (NDR), Endpoint Detection & Response (EDR) y SIEM. A este último le he añadido SOAR, que com- plementa a los SIEM para automatizar las respuestas ante incidencias. Esta tríada está reconocida como esencial para tener una visibilidad integral en todas las actividades que pueden tener una repercusión de seguridad y responder ante cualquier incidencia para atajar o minimizar cualquier daño. En concreto, Extrahop encaja en la parte de NDR. Extrahop Reveal(x) analiza todo el tráfico, incluso los contenidos de los paquetes cifrados, en tiempo real y a velocidades de cien gigabits. Extrahop no necesita guardar los contenidos porque los analiza reteniendo hasta 5.000 medi- das de comportamiento de los datos. Posteriormente elimina los conteni- dos, realizando de esta manera aná- lisis e investigaciones más ágiles y reduciendo sustancialmente el coste y espacio de almacenamiento. Extrahop Reveal(x) monitoriza el tráfico de red pasivamente en tiempo real sin agentes para detectar ano- malías de comportamiento en redes, aplicaciones, sistemas y usuarios. Ofrece la capacidad de detectar en tiempo real los pasos previos a una brecha para descubrir y avisar de un ataque antes de que se convierta en una incidencia grave. Pero antes de que se produzca cualquier problema existen ciertos Ejemplo de una alerta en Reveal(x). La solución ofrece la capacidad de detectar en tiempo real los pasos previos a una brecha para descubrir un ataque. Esta triada es esencial para tener visibilidad integral en todas las actividades que repercuten en la seguridad de la organización.