Sophos NDR – Eliminación de los puntos ciegos de la red
En mis últimos artículos, escribí sobre Sophos Managed Detection and Response (MDR). Empezando por el cambio de nombre de MTR a MDR, hasta los nuevos y potentes complementos para poder integrar adicionalmente datos telemétricos de terceros proveedores.
Cualquiera que haya leído estos dos artículos seguramente habrá comprendido que Sophos MDR es un servicio indispensable para proteger su empresa contra los ataques a la red y la ciberdelincuencia. Pero, en realidad, esto es sólo el principio.
No me malinterprete: con Sophos MDR ha hecho mucho por la seguridad de su red. El agente de Sophos se ejecuta (con suerte) en todos los ordenadores y servidores, y su Sophos Firewall os está conectado a través de Synchronised Security y envía registros al lago de datos. Además, ha confiado la supervisión y la respuesta al equipo de Sophos MDR (Sophos X-Ops), que está de guardia 24 horas al día, 7 días a la semana. ¡Bravo! 👏
Puntos ciegos a la vista
Pero aunque la combinación del cortafuegos y Sophos Managed Detection and Response es un dúo de ensueño para proteger la red de la empresa, aún quedan preguntas que quitan el sueño a un administrador informático concienzudo:
- ¿Cómo puedo proteger nuestros dispositivos IoT, terminales de punto de venta, impresoras, clientes ligeros, televisores inteligentes, etc. que no pueden tener instalado un agente de Sophos?
- ¿Cómo puedo supervisar el tráfico de red detrás de nuestro cortafuegos?
- ¿Cómo puedo controlar y analizar el comportamiento de los usuarios internos?
- ¿Cómo puedo controlar los movimientos de datos en la red?
- ¿Cómo consigo hacer un balance periódico de los activos de nuestra red?
- ¿Cómo puedo detectar sistemas nuevos o no autorizados en nuestra red?
- ¿Cómo puedo conocer el tráfico de datos cifrados en nuestra red?
Todas estas preguntas son importantes, y Sophos Network Detection and Response (NDR) puede responderlas todas. El NDR añade un factor crucial a la línea de defensa. Con el cortafuegos, controla el tráfico que entra y sale de la red corporativa, y con Intercept X Advanced y el servicio MDR, puede detectar comportamientos sospechosos en endpoints y servidores (donde esté instalado Sophos Agent). Pero, ¿qué ocurre con el tráfico dentro de todo el entorno?
Los atacantes harán cualquier cosa para evitar ser detectados, y evitar ser detectados es una táctica bien conocida en el marco MITRE ATT&CK® a nivel de sistema. Los exploits pueden ocultarse de las soluciones EDR, por ejemplo, y los atacantes pueden desactivar y borrar los registros del sistema. Sin embargo, no se puede obviar el hecho de que un atacante tiene que moverse por la red. Y eso es exactamente lo que registrará el sensor NDR de Sophos, sin importar lo silenciosa o cuidadosamente que proceda el atacante. Deja su huella en cada acción.
¿Qué es Sophos NDR?
Sophos Network Detection and Response (NDR) se ofrece como un dispositivo virtual que supervisa de forma pasiva todo el tráfico de red a través de un puerto span. Todo lo que se graba a través de este puerto pasa por la detección de amenazas en tiempo real basada en cinco algoritmos centrales proporcionados con NDR.
Si se detecta una amenaza mediante estos cinco algoritmos principales, se envía al lago de datos de Sophos, se clasifica y se evalúa. Se generan casos que son analizados y validados por el equipo de respuesta ante amenazas de Sophos. La información del sensor NDR también puede correlacionarse con la de otros sensores, como los de identidad, correo electrónico y funciones de red y cortafuegos.
Los cinco algoritmos principales del NDR
Veamos con más detalle los cinco potentes algoritmos que nos proporciona Sophos NDR:
Análisis de carga útil cifrada (EPA)
Este motor puede detectar programas maliciosos incluso en el tráfico de datos cifrados, donde a menudo permanecen ocultos.
Algoritmo de generación de dominios (AGD)
Este motor ayuda a detectar la comunicación con servidores de mando y control (C2) y otros dominios maliciosos, sin datos de amenazas conocidas.
Análisis de riesgos de sesión (SRA)
Identificar características anómalas en el tráfico de red, como certificados autofirmados o el uso de puertos no estándar. Junto con otras actividades inesperadas/sospechosas, estas características indican un alto riesgo que debe investigarse.
Motor de detección de datos (DDE)
Este motor está diseñado para ayudar a detectar sistemas en la red no gestionados por Sophos. Por un lado, esto ayuda a identificar lagunas en la cobertura de los dispositivos autorizados, así como a detectar sistemas o dispositivos no autorizados, posiblemente maliciosos.
Inspección profunda de paquetes (DPI)
La inspección profunda de paquetes puede utilizarse para buscar en la red indicadores específicos de peligro. Podría tratarse de una comunicación a un servidor de mando y control (C2) o de una dirección IP sospechosa que no tiene nada que hacer en su red.
Qué necesita para Sophos NDR
Sophos NDR actualmente sólo viene como una integración MDR. Esto significa que necesitas una licencia MDR activa para poder configurar NDR. Desde mediados de julio, los clientes de XDR también tienen la oportunidad de probar NDR gratuitamente a través del Programa de Acceso Anticipado.
Como se ha explicado anteriormente, el sensor de Sophos NDR (recopilador de registros) se ejecuta en una máquina virtual (VM). Los datos se recopilan allí y se envían al lago de datos de Sophos. Actualmente, Sophos NDR es compatible con «VMware ESXi 6.7» o más reciente y «Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016)» o más reciente.
Pruebe Sophos NDR
¿Le he convencido de las cualidades y ventajas de la solución NDR de Sophos con esta entrada de blog, o al menos le he despertado la curiosidad? Los clientes con una licencia MDR o XDR han podido registrarse en el Programa de Acceso Anticipado de Sophos desde mediados de julio para probar NDR gratuitamente. Según Sophos, el PAE se desbloqueará entre julio y noviembre de 2023.
Si aún no dispone de una licencia XDR o MDR y desea probar Sophos NDR, sólo tiene que solicitarlas fácilmente en nuestra tienda en línea:
- Intercept X Advanced con XDR
- Intercept X Advanced für Server y XDR
- Managed Detection and Response Essentials
- Managed Detection and Response Complete
- Managed Detection and Response Essentials Server
- Managed Detection and Response Complete Server
Los pasos exactos para añadir NDR como integración en Central, configurar la imagen, descargarla e instalarla en la máquina virtual se encuentran en la siguiente guía de Sophos: Configurar Sophos NDR