ClickCease Insuficiente supervisión interna de la red en ciberseguridad

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Insuficiente supervisión interna de la red en ciberseguridad

Joao Correia

15 de enero de 2024 - Evangelista técnico

Este artículo forma parte de una serie en la que analizamos un reciente Asesoramiento conjunto sobre ciberseguridad de la NSA/CISA sobre los principales problemas de ciberseguridad identificados durante los ejercicios del equipo rojo/azul llevados a cabo por estas organizaciones. En este artículo, encontrará una visión más profunda del problema específico, con escenarios del mundo real en los que es aplicable, así como estrategias de mitigación que pueden adoptarse para limitarlo o superarlo. Esto amplía la información proporcionada por el informe NSA/CISA.

La supervisión eficaz de la red interna es crucial para detectar y mitigar las ciberamenazas. Una monitorización insuficiente puede dejar a las organizaciones vulnerables a compromisos adversos no detectados. Este capítulo explora las implicaciones de una monitorización inadecuada de la red y proporciona estrategias para mejorar las capacidades de monitorización.

 

El problema de una supervisión insuficiente

 

Limitaciones en las configuraciones de los sensores de host y de red

 

Muchas organizaciones no configuran de forma óptima los sensores de host y de red para la recopilación de tráfico y el registro del host final. Esta inadecuación puede llevar a un compromiso no detectado de los adversarios y limita la capacidad de recopilar los datos de tráfico necesarios para establecer una línea de base de seguridad y detectar anomalías.

 

Retos de la supervisión basada únicamente en el host

 

Confiar únicamente en la supervisión basada en el host puede ser insuficiente, ya que este enfoque informa sobre las actividades adversas en hosts individuales, pero no sobre las actividades que atraviesan entre hosts. Por ejemplo, una organización con una supervisión basada en el host podría identificar hosts infectados pero no el origen de la infección, lo que obstaculizaría los esfuerzos para prevenir futuros movimientos laterales e infecciones.

Además, la falta de una correlación de supervisión adecuada entre los hosts dificulta la comprensión de los patrones, ya sea antes o después de la explotación, lo que conduce a ineficiencias y posibles descuidos al intentar rectificar la situación.

 

Fallo en la detección de movimientos laterales y actividades de mando y control

 

Las organizaciones con una supervisión insuficiente de la red podrían no detectar el movimiento lateral y las actividades de mando y control dentro de sus redes. Incluso las posturas de ciberseguridad más maduras pueden verse comprometidas si la supervisión de la red no es exhaustiva, como demuestran los equipos de evaluación que obtienen un acceso profundo sin activar respuestas de seguridad.

Estrategias de mitigación

Establecer una base de aplicaciones y servicios

 

Audite regularmente el acceso y uso de aplicaciones y servicios, especialmente para actividades administrativas. Esta práctica ayuda a comprender el comportamiento normal de la red, facilitando así la detección de anomalías.

 

Implantar una supervisión exhaustiva de la red

 

Combine la supervisión basada en el host con la supervisión de la red para obtener una visión completa del panorama de la ciberseguridad. Esta combinación permite detectar actividades maliciosas tanto en hosts individuales como a medida que se desplazan por la red.

 

Auditorías periódicas del tráfico de red

 

Realice auditorías rutinarias del tráfico y los patrones de la red para identificar actividades inusuales o intentos de acceso no autorizados. Este enfoque proactivo ayuda a la detección temprana y la respuesta a amenazas potenciales.

 

Uso de herramientas analíticas avanzadas

 

Emplee herramientas analíticas y algoritmos avanzados para analizar el tráfico de red en busca de patrones indicativos de ciberamenazas. Las técnicas de aprendizaje automático pueden ser especialmente eficaces para detectar ataques sofisticados que podrían eludir los métodos de supervisión tradicionales.

 

Formar al personal en prácticas de supervisión de redes

 

Asegúrese de que el personal informático está bien formado en prácticas de supervisión de redes y es consciente de las últimas ciberamenazas. Las sesiones de formación periódicas pueden ayudar a mantener al equipo actualizado sobre las nuevas tecnologías y los vectores de ataque.

 

Crear planes de respuesta a incidentes

 

Desarrollar y actualizar periódicamente planes de respuesta a incidentes que incluyan procedimientos para responder a las anomalías detectadas mediante la supervisión de la red. Estos planes deben incluir tanto respuestas técnicas como estrategias de comunicación.

 

Aplique una adecuada segregación de hosts

 

Si no hay razón para que dos hosts se comuniquen, entonces se debe considerar mover cada uno a segmentos de red separados. Aunque no es una política de supervisión per seesto al menos intenta reducir la visibilidad y la exposición de los actores de amenazas.

 

Cambiar las reglas de bloqueo por las de bloqueo y registro

 

Identifique e investigue los intentos bloqueados de comunicación entre sistemas separados. El simple bloqueo de la conexión puede hacer que los intentos de sondeo pasen desapercibidos durante largos periodos de tiempo.

 

Conclusión

 

Si comprenden las deficiencias de las prácticas de supervisión actuales y aplican estas estrategias de mitigación, las organizaciones pueden mejorar significativamente su capacidad para detectar y responder a las ciberamenazas.

Resumen
Insuficiente supervisión interna de la red en ciberseguridad
Nombre del artículo
Insuficiente supervisión interna de la red en ciberseguridad
Descripción
Explora las implicaciones de una supervisión inadecuada de la red y ofrece estrategias para mejorar las capacidades de supervisión.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín