Ir al contenido
Avanet
Sophos NDR – Eliminar puntos ciegos en la red

Sophos NDR – Eliminar puntos ciegos en la red

En mis últimos artículos he escrito sobre Sophos Managed Detection and Response (MDR): desde el cambio de nombre de MTR a MDR hasta los nuevos y potentes add-ons para integrar también datos de telemetría de terceros.

Quien haya leído esos dos artículos habrá entendido que Sophos MDR es un servicio indispensable para proteger a la empresa frente a ataques de red y ciberdelincuencia. En realidad, eso es solo el principio.

No me malinterpreten: con Sophos MDR ya han hecho mucho por la seguridad de su red. Sophos Agent se ejecuta (esperemos) en todos los equipos y servidores, y su Sophos Firewall está conectado mediante Synchronized Security y envía logs al Data Lake. Además, han confiado la monitorización y la respuesta al equipo de Sophos MDR (Sophos X-Ops), que permanece alerta 24/7. ¡Bravo! 👏

¿Utiliza un firewall de otro fabricante? No hay problema. Gracias a las nuevas integraciones, con el add-on MDR Firewall también puede conectar dispositivos de Palo Alto Networks, Fortinet, Check Point, Cisco o SonicWall.

Puntos ciegos en el punto de mira

Sin embargo, aunque la combinación del firewall y Sophos Managed Detection and Response constituye un dúo absolutamente ideal para proteger la red de la empresa, aún quedan preguntas sin respuesta que quitan el sueño a un administrador de TI concienzudo:

  • ¿Cómo puedo proteger nuestros dispositivos IoT, terminales POS, impresoras, clientes ligeros, televisores inteligentes, etc., en los que no se puede instalar ningún Sophos Agent?
  • ¿Cómo puedo supervisar el tráfico de red detrás de nuestro firewall?
  • ¿Cómo puedo supervisar y analizar el comportamiento de los usuarios internos?
  • ¿Cómo puedo controlar el movimiento de datos en la red?
  • ¿Cómo consigo realizar un inventario regular de los activos de nuestra red?
  • ¿Cómo puedo detectar sistemas nuevos o no autorizados en nuestra red?
  • ¿Cómo puedo obtener información sobre el tráfico de datos cifrados en nuestra red?

Todas estas son preguntas importantes que Sophos Network Detection and Response (NDR) puede responder. NDR añade un factor decisivo a la línea de defensa. Con el firewall se controla el tráfico que entra y sale de la red corporativa, y con Intercept X Advanced y el servicio MDR se pueden detectar comportamientos sospechosos en endpoints y servidores (en los que está instalado Sophos Agent). Pero ¿qué ocurre con el tráfico dentro de todo el entorno?

Los atacantes hacen todo lo posible para no ser descubiertos, y la evasión de detección es una táctica conocida en el MITRE ATT&CK® Framework a nivel de sistema. Por ejemplo, los exploits pueden ocultarse de soluciones EDR, y los atacantes pueden desactivar y borrar registros del sistema. Sin embargo, hay algo que no pueden evitar: para avanzar tienen que moverse por la red. Y precisamente eso es lo que registrará el sensor NDR de Sophos, por silencioso o prudente que sea el atacante. Cada acción deja rastro.

¿Qué es Sophos NDR?

Sophos Network Detection and Response (NDR) se ofrece como una appliance virtual que monitoriza de forma pasiva todo el tráfico de red a través de un puerto SPAN. Todo lo que se registra por ese puerto pasa por una detección de amenazas en tiempo real basada en los cinco algoritmos principales incluidos con NDR.

Sophos adquirió la tecnología detrás de NDR en julio de 2021 mediante la compra de la empresa “Braintrace”. Braintrace había desarrollado una máquina virtual capaz de monitorizar el tráfico de red con cinco algoritmos centrales y distinguir así entre actividades maliciosas y benignas.

Cuando se detecta una amenaza basándose en estos cinco algoritmos principales, se reenvía al Sophos Data Lake, donde se clasifica y evalúa. Se generan casos que el Equipo de Respuesta a Amenazas de Sophos analiza y valida. La información del sensor NDR también puede correlacionarse con información de otros sensores, como funciones de identidad, correo electrónico, red y firewall.

Los cinco algoritmos principales de NDR

Echemos un vistazo más de cerca a los cinco potentes algoritmos que Sophos NDR pone a nuestra disposición:

ndr-detection-engines

Encrypted Payload Analytics (EPA)

Este motor puede detectar malware incluso en el tráfico cifrado, donde de otro modo a menudo puede permanecer oculto.

Domain Generation Algorithm (DGA)

Este motor ayuda a detectar la comunicación con servidores de comando y control (C2) y otros dominios maliciosos, sin datos de amenazas conocidos.

Session Risk Analytics (SRA)

Identifique características anómalas en el tráfico de red, como certificados autofirmados o el uso de puertos no estándar. Junto con otras actividades inesperadas/sospechosas, estas características indican un alto riesgo que debe investigarse.

Data Detection Engine (DDE)

Este motor está diseñado para ayudar a detectar sistemas en la red que no están gestionados por Sophos. Esto ayuda, por un lado, a identificar lagunas en la cobertura de dispositivos autorizados y, por otro, a detectar sistemas o dispositivos no autorizados, posiblemente maliciosos.

Deep Packet Inspection (DPI)

Con la inspección profunda de paquetes se pueden buscar en la red indicadores específicos de compromiso. Esto puede ser, por ejemplo, una comunicación con un servidor de mando y control (C2) o una dirección IP sospechosa que no debería estar en su red.

¿Qué se necesita para Sophos NDR?

Sophos NDR actualmente solo se ofrece como una integración MDR. Esto significa que necesita una licencia MDR activa para poder configurar NDR. Desde mediados de julio, los clientes de XDR también tienen la opción de probar NDR de forma gratuita a través del programa Early Access.

Como ya se explicó anteriormente, el sensor NDR de Sophos (colector de registros) se ejecuta en una máquina virtual (VM). Allí se recopilan datos y se reenvían al Sophos Data Lake. Actualmente, Sophos NDR es compatible con “VMware ESXi 6.7” o versiones posteriores y “Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016)” o versiones posteriores.

Prueba Sophos NDR

¿Le he convencido con esta entrada de las cualidades y ventajas de Sophos NDR, o al menos le he despertado la curiosidad? Los clientes con una licencia MDR o XDR pueden registrarse desde mediados de julio en el Early Access Program de Sophos para probar NDR gratis. Según Sophos, el EAP estará habilitado de julio a noviembre de 2023.

Si todavía no utiliza licencias XDR o MDR y quiere probar Sophos NDR, puede pedirlas cómodamente a través de nuestra tienda online:

Los pasos exactos para añadir NDR como integración en Central, configurar, descargar e instalar la imagen en la VM se pueden consultar en la siguiente guía de Sophos: Configurar Sophos NDR

Materiales informativos

Sophos Network Detection and Response (NDR) – Guía de inicio rápido del EAP

Sophos Network Detection and Response (NDR) – Hoja de datos

Sophos Network Detection and Response (NDR) – Descripción breve

Sophos Network Detection and Response (NDR) – Whitepaper

David

David

David es responsable del contenido, la estructura y la implementacion digital en Avanet. Su enfoque consiste en presentar temas tecnicos complejos de forma clara, precisa y orientada a buscadores.