Por qué los datos de red deberían ser la base de su estrategia de seguridad 2022

datos de red

En el presente articulo aprenderá por qué los datos de red deberían ser la base de su estrategia de seguridad.

Un programa de seguridad eficaz requiere la integración de cuatro fuentes de datos clave:

  1. Registros (firewall, red, aplicación, etc.)
  2. Endpoint (archivos, procesos, registros, etc.)
  3. Inteligencia de amenazas
  4. Red (flujo y paquetes)

A continuación, describiremos cada uno de estas fuentes de datos:

1. Registros (firewall, red, aplicación)

Registro de firewall

Un firewall, en su forma más básica, se crea para detener las conexiones de redes sospechosas. Inspecciona la dirección de origen, la dirección de destino y el puerto de destino de todas las conexiones, y decide si se puede confiar en una red.

Registro de red

El registro de red es un proceso de mantenimiento de la información y todas las interacciones realizadas en un sistema o aplicación. El mantenimiento de la red es necesario para garantizar la eficacia de las herramientas utilizadas a lo largo del tiempo.

Registro de aplicación

Generalmente, el software de computadora registra información en los registros de la aplicación cuando se produce un evento. Algunos ejemplos pueden ser un servidor web que registra una transferencia de datos, una instancia de base de datos que registra la finalización correcta de la copia de seguridad o un firewall que registra solicitudes de conexión incorrectas.

Las aplicaciones de software generan registros cuando algo ocurre dentro (o afecta) a la aplicación. Por lo general, las aplicaciones escriben la información de registro relevante en un archivo en el servidor de la aplicación.


2. Endpoint (archivos, procesos, registros)

Una plataforma de protección de endpoints es una parte vital de la ciberseguridad empresarial por varias razones. En primer lugar, en el mundo empresarial actual, los datos son el activo más valioso de una empresa, y perder esos datos, o el acceso a esos datos, podría poner a toda la empresa en riesgo de insolvencia. Las empresas también han tenido que lidiar no solo con un número creciente de endpoints, sino también con un aumento en el número de tipos de endpoints.

¿Qué se considera un endpoint?

Los endpoints pueden variar desde los dispositivos más comúnmente pensados, tales como:

  • Tabletas
  • Dispositivos móviles
  • Relojes inteligentes
  • Impresoras
  • Servidores
  • Cajeros automáticos
  • Dispositivos médicos

Si un dispositivo está conectado a una red, se considera un endpoint. Con la creciente popularidad de BYOD (traiga su propio dispositivo) e IoT (Internet de las cosas), la cantidad de dispositivos individuales conectados a la red de una organización puede alcanzar rápidamente las decenas (y cientos) de miles.


3. Inteligencia de amenazas

La inteligencia de amenazas son datos que se recopilan, procesan y analizan para comprender los motivos, objetivos y comportamientos de ataque de un actor de amenazas. La inteligencia de amenazas nos permite tomar decisiones de seguridad más rápidas, informadas y respaldadas por datos y cambiar su comportamiento de reactivo a proactivo en la lucha contra los actores de amenazas.


4. Datos de Red (flujo y paquetes)

En la solución de problemas de aplicaciones y servicios distribuidos y de red, la segunda fuente común de información son los datos de nivel de flujo.

Los datos de flujo son una forma de resumir la conectividad y la carga entre dos endpoints del sistema. Los flujos resumen los datos observados en un punto específico de la red, como un conmutador, un enrutador o un puerto específico. Los datos de flujo proporcionan un resumen de paquetes y bytes a medida que viajan entre endpoints que pueden identificarse mediante capa 2 (MPLS, VLAN), capa 3 (direcciones IP), capa 4 (TCP / UDP), etc.

Explicación del funcionamiento de las cuatro fuentes de datos

La mayoría de las organizaciones crean sus programas a partir de registros o endpoint. Las organizaciones centradas en el registro comienzan con una solución de administración de eventos e incidentes de seguridad (SIEM), luego agregan inteligencia de amenazas, endpoint y, finalmente, datos de red. Las organizaciones centradas en endpoint comienzan con una detección y respuesta de enpoint (EDR), luego agregan registros, inteligencia de amenazas y, finalmente, datos de red. Se habrá dado cuenta que los datos de red suelen ser los últimos. ¿Por qué?

Los datos de red han sido los datos más difíciles y costosos de recopilar (y almacenar). Las primeras soluciones solo podían proporcionar flujo o requerían mucho hardware especializado para recopilar paquetes. Solo los programas y equipos de seguridad más maduros podían permitirse recopilar y almacenar paquetes de red. Pero a medida que las tecnologías avanzan, esa realidad ha cambiado.

Permítenos ofrecerle nuestros productos y servicios que prestamos a nuestros clientes le puede interesar, contáctanos por SISBOLIVIA.

Servicios de seguridad de la información, Contamos con varios

Información de Contacto