6 casos de uso de seguridad de red

Las estadísticas de seguridad de red revelan que los ciberataques afectaron a más de 350 millones de personas en los EE. UU. En este artículo, exploramos casos de uso de seguridad de red y ejemplos del mundo real, desde la detección de amenazas internas hasta la gestión del acceso privilegiado.

Para obtener más información sobre seguridad de red:

• Aprende qué tecnologías podrían utilizar para prevenir vectores de ciberataque ,
• Evaluar el software de seguridad de red basándose en casos de uso realistas.

1. Detección y prevención automatizada de amenazas internas

Las soluciones de detección y prevención de amenazas internas identifican quién tiene acceso legítimo a la red y quién lo utiliza para perjudicar a la organización.

desafíos empresariales

• Detección de empleados malintencionados: Los empleados malintencionados son responsables de aproximadamente el 40% de todos los incidentes de seguridad reportados. ¹ A los sistemas de seguridad les resulta difícil distinguir entre actividades legítimas y maliciosas, ya que estos agentes de amenazas ya tienen acceso interno a los sistemas y datos de la organización.
• Comportamiento dinámico del usuario : El comportamiento del usuario puede cambiar con frecuencia en función de las tareas, los proyectos o factores personales, lo que dificulta la detección de anomalías. Las organizaciones con cientos de flujos de trabajo pueden no visualizar la actividad de los usuarios al responder a incidentes de seguridad.

Cómo la detección y prevención automatizada de amenazas internas ayuda

Los sistemas de detección de amenazas internas (por ejemplo, las herramientas IPS ) pueden identificar cambios en los datos de los usuarios y enviar alertas o mostrar información gráfica a los equipos de seguridad, lo que permite a las organizaciones estar al tanto de la actividad de su red.

Leer más: Seguridad de redes de IA .

Caso práctico: Netskope

Netskope es una empresa mundial de ciberseguridad que presta servicios a más de 2.000 clientes.

Desafíos

El objetivo de Netskope era obtener información precisa sobre las actividades de los usuarios que pudieran indicar amenazas internas de alto riesgo.

• Falta de automatización en la respuesta a amenazas internas: Netskope utilizaba una técnica manual que requería al menos cinco empleados, 10 herramientas y 90 minutos de trabajo para responder a cada consulta de seguridad.
• Falta de información sobre el comportamiento del usuario: Netskope necesitaba información precisa y en tiempo real sobre las acciones de los usuarios (por ejemplo, hacer clic en un enlace, crear una cuenta) que pudieran indicar amenazas internas.

Soluciones y resultados

Netskope implementó un sistema de gestión de información y eventos de seguridad (SIEM) para el análisis de datos en tiempo real, lo que proporciona visibilidad sobre el comportamiento de las amenazas internas.

• Detección de amenazas internas: Netskope detectó fugas de datos internas de forma temprana mediante la automatización de más de 200 operaciones de flujo de trabajo diarias.
• Mayor visibilidad de la red : La implementación de SIEM ayudó a Netskope a evaluar datos históricos de usuarios internos y a rastrear la actividad de los usuarios durante las investigaciones de amenazas internas.
• Monitorización de datos: Netskope aprovechó la función de gestión de contenido de su SIEM en la nube para identificar descargas de datos. Esto permite a Netskope visualizar intentos maliciosos de intercambio de datos con personal o competidores. ²

2. Gestión centralizada de registros

La gestión de registros es fundamental en diversas funciones informáticas y empresariales, ya que proporciona información valiosa y permite varios casos de uso, como la detección de amenazas, la inteligencia empresarial y la monitorización de la red.

desafíos empresariales

• Volumen: Los grandes sistemas informáticos generan una gran cantidad de datos de registro, lo que dificulta su mantenimiento y evaluación manual.
• Complejidad: Los registros se crean a partir de numerosas fuentes y formatos, lo que dificulta su agregación y análisis.
• Seguridad: Los registros incluyen información importante, como contraseñas de usuario y arquitectura de red, por lo que deben protegerse del uso no autorizado.

Cómo ayuda la gestión centralizada de registros

La gestión de registros permite un análisis sencillo y una correlación de seguridad eficaz. Centralizar los registros puede ayudarle a mejorar el tiempo medio de detección (MTTD) y el tiempo medio de resolución (MTTR) de errores de aplicación y brechas de seguridad.

Caso práctico: LaBella Associates

LaBella Associates es una empresa de ingeniería integral con sede en Nueva York, que cuenta con más de 1.500 arquitectos y empleados que operan en 30 ubicaciones.

Desafíos

• Falta de visibilidad de los datos: LaBella necesitaba un sistema de gestión de registros para supervisar sus servidores de archivos confidenciales, generar informes del historial de acceso y respaldar las investigaciones forenses en caso de filtraciones de datos.
• Falta de visibilidad de los registros: El gerente de LaBella Associates afirmó que necesitaban una solución que mantuviera registros de la actividad del sistema de archivos y supervisara las actividades de inicio y cierre de sesión de los usuarios para detectar anomalías.
  
• Búsquedas manuales de actividad de inicio de sesión: El gerente de LaBella Associates afirmó que para monitorear el sistema de archivos o las actividades de inicio de sesión tenían que visitar cada servidor de archivos y escanear manualmente los registros, lo cual consumía mucho tiempo.

Soluciones y resultados

LaBella Associates implementó una solución de gestión de información y eventos de seguridad (SIEM) con funciones de gestión de registros para controlar los registros en todos los dominios.

• Gestión de registros sólida: el equipo de seguridad informática de LaBella Associates podía obtener información sobre quién accedía a los servidores de archivos críticos para realizar análisis forenses de los registros en caso de una brecha de seguridad.
  
• Gestión eficaz del acceso: LaBella Associates podría mostrar modificaciones ilícitas de las políticas de grupo realizadas por empleados y contratistas con acceso a la red interna. Leer más: Gestión de políticas de seguridad de red .
• Mayor seguridad del dominio: La empresa identificó registros modificados o alterados en el controlador de dominio.
  
• Optimización de las investigaciones de registros: LaBella Associates eliminó el laborioso procedimiento de identificar y determinar quién realizó los cambios en la membresía del grupo. ³

3. Detección de acceso de usuario anómalo

La detección de accesos de usuario anómalos, también conocida como detección de accesos de usuario atípicos, consiste en identificar puntos de datos de acceso de usuario que se desvían de lo normal, estándar o previsto, lo que los hace inconsistentes con el resto del conjunto de datos. Las estadísticas de seguridad de red revelan que aproximadamente el 70 % de los ciberataques contra empresas comienzan con credenciales comprometidas. Por lo tanto, evaluar el comportamiento del usuario es fundamental.

desafíos empresariales

• Gran volumen y variedad de datos : Es necesario procesar y analizar grandes volúmenes de datos procedentes de diversas fuentes (registros web, registros de aplicaciones, tráfico de red, etc.).
  
• Flujos de datos en tiempo real : La detección de anomalías o patrones en tiempo real requiere una gran capacidad de procesamiento y algoritmos eficientes. Las organizaciones que carecen de automatización podrían omitir puntos de datos atípicos en sus flujos de trabajo.
  
• Interacciones complejas del usuario : Los usuarios interactúan con los sistemas de maneras complejas que son difíciles de modelar y predecir. Esto hace que las anomalías sean poco comunes y difíciles de detectar.

Cómo ayuda la detección de accesos de usuarios anormales

Las herramientas de respuesta a incidentes pueden identificar posibles brechas de seguridad de los usuarios mediante el análisis de los intentos de inicio de sesión fallidos.

Figura 1: Detección de accesos de usuarios anómalos en un conjunto de datos

Fuente: Splunk ⁴

Caso práctico: Una empresa líder en medios de comunicación.

Una importante empresa de medios de comunicación pretende detectar anomalías para proteger la información confidencial de los vectores de ciberataque más comunes en los conjuntos de datos de múltiples empresas.

Desafíos

• Alto riesgo de terceros: La dependencia de la empresa de proveedores externos para la prestación de servicios aumenta las vulnerabilidades de seguridad.
  
• Amenazas internas : La empresa se enfrentó a desafíos únicos en materia de amenazas internas debido a que los empleados de los medios de comunicación debían acceder a información y tecnología confidenciales.

Soluciones y resultados

La empresa de medios implementó un software de análisis del comportamiento de usuarios y entidades (UEBA, por sus siglas en inglés) para detectar anomalías comparando el comportamiento actual con las líneas de base establecidas.

• Análisis del comportamiento de usuarios y entidades (UEBA): La empresa utilizó UEBA para detectar actividades sospechosas en tiempo real e identificar anomalías en el comportamiento de los usuarios que pudieran indicar riesgos de seguridad.
  
• Mayor visibilidad de la red : La empresa obtuvo una mejor comprensión de su postura de seguridad mediante la monitorización y el análisis del comportamiento de los usuarios, el tráfico de la red y las actividades del sistema.
  
• Prevención avanzada de amenazas: El equipo de seguridad de la empresa supervisó comportamientos inusuales y anomalías, detectando y alertando sobre ataques dirigidos e identificando amenazas sofisticadas como el malware . ⁵

4. Gestión de identidades basada en la nube

La seguridad de las aplicaciones basadas en la nube es un enfoque para proteger las aplicaciones alojadas en entornos de nube de posibles amenazas y vulnerabilidades de seguridad.

desafíos empresariales

• Falta de visibilidad: Organizaciones con Al ser accesibles varios servicios en la nube fuera de las redes corporativas y a través de terceros, se puede perder el control de quién tiene acceso a los datos.
  
• Multitenencia: Las empresas con múltiples infraestructuras de clientes almacenadas en entornos de nube pública son más vulnerables a los atacantes maliciosos, ya que las infraestructuras de los clientes pueden infectar sus servicios alojados como daño secundario.
  
• Gestión de accesos y TI en la sombra: Las organizaciones que permiten el acceso sin filtros a los servicios en la nube desde cualquier dispositivo o ubicación podrían perder el control sobre los puntos de acceso en los entornos de la nube. Por ejemplo, las organizaciones con sistemas de TI implementados por terceros tendrán poco control sobre la gestión del acceso a los dispositivos. Esto aumentará la presencia de TI en la sombra y podría permitir que los atacantes eludan las limitaciones de la red.
  
• Cumplimiento normativo: Las organizaciones que no supervisan ni registran activamente la seguridad en la nube se enfrentan a riesgos considerables de gobernanza y cumplimiento normativo al gestionar los datos de sus clientes.

Cómo ayuda la gestión de identidades basada en la nube

• Configuraciones de seguridad flexibles : Las plataformas en la nube permiten configuraciones de seguridad flexibles que se pueden ajustar rápidamente según cambien los requisitos. Por ejemplo, los equipos de seguridad pueden ajustar dinámicamente las reglas del firewall en función de la información sobre amenazas en tiempo real. Más información: Plataformas de inteligencia sobre amenazas .
• Actualizaciones de seguridad periódicas : Los proveedores de seguridad en la nube (CSP) actualizan periódicamente la infraestructura de las organizaciones para protegerse contra las últimas amenazas. Por ejemplo, los CSP pueden aplicar parches automáticamente a la infraestructura en la nube para mitigar las vulnerabilidades conocidas.
  
• Funciones de seguridad avanzadas : Los proveedores de servicios en la nube (CSP) ofrecen funciones de seguridad avanzadas, como cifrado, gestión de identidades y accesos (IAM) y detección de amenazas, cuya implementación local puede resultar compleja. Esto permite a las organizaciones utilizar servicios de cifrado integrados para proteger los datos tanto en reposo como en tránsito. Por ejemplo, los equipos de seguridad pueden usar IAM para simplificar el acceso de los usuarios, permitiendo que un único conjunto de credenciales les permita acceder a múltiples aplicaciones (por ejemplo, empleados que utilizan sus credenciales corporativas para acceder al correo electrónico, sistemas de recursos humanos y herramientas de gestión de proyectos).
• Reducción de gastos de capital : Al aprovechar los servicios en la nube, las organizaciones pueden reducir los gastos de capital asociados con la compra y el mantenimiento de hardware de seguridad local. Por ejemplo, pueden usar firewalls y gateways de seguridad basados en la nube en lugar de invertir en costoso hardware físico.

Caso práctico: B. Braun

B. Braun es una empresa del sector sanitario con sede en Alemania y más de 60.000 empleados. B. Braun se propuso mejorar la seguridad, garantizar el cumplimiento normativo y gestionar el acceso a datos fiables en un entorno informático híbrido.

Desafíos

• La alta rotación de personal genera una gestión de acceso compleja: el entorno laboral de B. Brauons cambia continuamente debido a cambios de puesto, rotación de personal y nuevas contrataciones.
  
• Gestión manual de datos: Los procesos manuales de B. Braun ralentizaban la creación y eliminación de cuentas de usuario. Esto aumentaba el riesgo de acceso no autorizado a los datos y de incumplimiento de la normativa de seguridad de datos .
  
• Transformación digital: B. Braun buscaba un sistema de gestión de identidades para impulsar la transformación digital. Por lo tanto, la empresa necesitaba una solución que se comunicara con la infraestructura local y los servicios en la nube, como Office 365.

Soluciones y resultados

B. Braun, en Alemania, automatizó la identificación y la gestión de accesos para mejorar la seguridad.

• Se garantizó el acceso adecuado para las personas correctas: B. Braund aprovechó la creación y eliminación automatizada de cuentas. Por ejemplo, el departamento de recursos humanos ingresa la información de los nuevos empleados (nombre, puesto, departamento, fecha de inicio). La solución IAM ayudó a la empresa a crear automáticamente cuentas de usuario para los nuevos empleados en diversos sistemas, como Active Directory (AD), el sistema de correo electrónico y el almacenamiento de archivos.
  
• Control de acceso mejorado: La implementación mejoró el cumplimiento de las normas de seguridad de datos, reduciendo el riesgo de uso no autorizado. Por ejemplo, el sistema IAM asignó a cada usuario un rol en función de su puesto dentro del departamento de finanzas:
  
  • Gerente financiero : Acceso completo a todos los informes financieros, transacciones y funciones administrativas.
  • Contable : Acceso a los registros de transacciones diarias, pero no a la configuración administrativa.
• Notificaciones digitales de acceso para usuarios: B. Braun conectó su infraestructura local con servicios en la nube como Office 365. Los empleados comprendían el estado de acceso de sus solicitudes. ⁶
  

5. Monitoreo y análisis del tráfico malicioso de la red.

El análisis y la monitorización del tráfico de red malicioso pueden ayudar a las empresas a identificar actividades anormales o sospechosas dentro del tráfico de red que puedan indicar una amenaza o un ataque a la seguridad.

desafíos empresariales

• Complejidad y volumen de datos : Los datos de tráfico de red pueden ser masivos, llegando a comprender millones de paquetes y conexiones por minuto. Analizar esta enorme cantidad de datos en tiempo real o casi en tiempo real requiere algoritmos de detección e infraestructura escalables y eficientes.
• Variabilidad en los patrones de tráfico : Los patrones de tráfico de red legítimos pueden variar considerablemente según la hora del día, el comportamiento del usuario y el uso de las aplicaciones. Distinguir entre variaciones normales y patrones genuinamente maliciosos requiere técnicas sofisticadas de detección de anomalías.
• Preocupaciones sobre el cifrado y la privacidad : El uso cada vez mayor del cifrado (por ejemplo, HTTPS, TLS) en las comunicaciones de red oculta el contenido de los paquetes, lo que dificulta la inspección del tráfico en busca de cargas útiles o patrones maliciosos.

Cómo ayuda la monitorización y el análisis del tráfico de red malicioso

Las funciones de análisis y monitoreo del tráfico de red malicioso pueden identificar rápidamente comportamientos anormales o sospechosos dentro del tráfico de red. Las organizaciones pueden utilizar herramientas de auditoría de seguridad de red o herramientas de monitoreo de red que pueden identificar picos en el tráfico de red o de puerto. Estos sistemas pueden:

• Supervise la seguridad de la red para detectar posibles filtraciones de datos.
• Analizar las comunicaciones de los intermediarios para identificar valores atípicos.
• Detectar vectores de ataque, incluidos los ataques de denegación de servicio distribuido (DDoS), la actividad de botnets y el malware.

Caso práctico: Micron21

Micron21 es un distribuidor de centros de datos ubicado en Melbourne.

Desafíos

• Red y ancho de banda masivos: A medida que la red de Micron21 crecía y aumentaba la cantidad de ancho de banda utilizado, resultaba cada vez más difícil evaluar y categorizar los patrones de tráfico.
• Fuentes de datos fragmentadas : Los datos de Micron21 están dispersos en múltiples sistemas, departamentos y plataformas, lo que dificulta obtener una visión unificada.

Soluciones y resultados

Micron21 implementó una solución de seguridad de red para monitorizar su red.

• Análisis del tráfico de red: Micron21 comenzó a analizar el historial de ventilación, los registros de tráfico y los datos analíticos accesibles.
• Monitorización de red basada en grupos de IP: Micron 21 permite a los clientes iniciar sesión y examinar su tráfico dentro de su grupo de IP, proporcionando métricas de red para el tráfico que pasa por el rango de IP del cliente. ⁷

6. Gestión de acceso privilegiado

La gestión de acceso privilegiado (PAM, por sus siglas en inglés) se refiere a las prácticas y tecnologías que utilizan las organizaciones para proteger y controlar el acceso a las cuentas privilegiadas, que tienen permisos y privilegios de acceso elevados dentro de los sistemas y redes de TI.

desafíos empresariales

• Gran volumen de cuentas: Las organizaciones pueden mantener docenas o incluso cientos de cuentas privilegiadas para que los administradores puedan realizar tareas críticas. Estas credenciales privilegiadas representan un riesgo de seguridad significativo, ya que pueden ser explotadas por sus propietarios o secuestradas por intrusos debido a la falta de control de acceso y visibilidad.
  • Control de acceso : Garantizar que solo los usuarios autorizados tengan acceso a las cuentas privilegiadas y que estos usuarios tengan el nivel mínimo de acceso necesario para sus funciones.
  • Visibilidad : Controlar todas las cuentas privilegiadas, incluidas las creadas por defecto, manualmente o mediante aplicaciones.
• Aprovisionamiento y desaprovisionamiento de accesos: Sin flujos de trabajo automatizados o una solución de gestión de acceso privilegiado (PAM), las organizaciones tendrán dificultades para garantizar el aprovisionamiento y desaprovisionamiento oportunos de las cuentas privilegiadas y así evitar el acceso no autorizado.

Cómo ayuda la asignación de evaluación de cuentas privilegiadas

Asignar permisos privilegiados a usuarios, procesos de negocio y sistemas permite optimizar los controles de acceso. Esto garantiza el principio de mínimo privilegio y limita los derechos de acceso de los usuarios al mínimo indispensable, mitigando así los daños causados por amenazas externas e internas.

Leer más: Ejemplos de RBAC .

Caso práctico: Una empresa regional del sector sanitario

Una empresa regional del sector sanitario con más de 8.000 empleados en California.

Desafíos

• Acumulación y sobreasignación de privilegios: A medida que los empleados de las empresas amplían sus funciones, asumen nuevas responsabilidades y privilegios, manteniendo el acceso a los anteriores. Esto genera una sobreasignación de privilegios.
• Información inconsistente y desactualizada sobre usuarios, cuentas, activos y credenciales: La empresa contaba con múltiples puertas traseras para atacantes, incluidos exempleados que aún tienen acceso a las cuentas corporativas.

Soluciones y resultados

La organización implementó una herramienta de gestión de acceso privilegiado (PAM) y auditó las conexiones Secure Shell (SSH) entre entornos UNIX y Linux para mejorar los controles de acceso de los usuarios.

• Controles de acceso privilegiado robustos: La implementación simplificó la ejecución de cambios de trabajo complejos, como la desactivación del acceso cuando las personas con privilegios abandonan la empresa.
• Reglas basadas en políticas: La empresa creó reglas que permitían el acceso basado en políticas a las cuentas privilegiadas.
• Gestión de sesiones privilegiadas (PSM): La empresa extrajo automáticamente las credenciales privilegiadas de una caja fuerte y auditó todas las sesiones. ⁸

Software clave de ciberseguridad para mantener procesos empresariales seguros

• Herramientas de microsegmentación: Segmenta una red en formas granulares y aplica políticas de seguridad basadas en cada zona de la red.
• Herramientas de auditoría de seguridad de red : Identifican vulnerabilidades y comportamientos maliciosos para ayudar a las empresas a mitigar los ciberataques.
• Proveedores de DSPM : Permiten obtener información sobre la red relativa a la ubicación de datos confidenciales, los niveles de acceso y su uso en toda la nube.
• Soluciones de gestión de políticas de seguridad de red (NSPM): Desarrollan políticas y procedimientos para proteger la red y los datos de una organización contra el acceso, uso, divulgación e interrupción ilegales.
• Software SDP : Oculta la infraestructura conectada a Internet (servidores, enrutadores, etc.) para que terceros y atacantes no puedan verla, ya sea que esté alojada en las instalaciones o en la nube.
• Software de auditoría de firewall : Proporciona visibilidad sobre el acceso y las conexiones actuales de su firewall.
• Analizadores de tráfico de red (NTA) : Recopilan y analizan datos de flujo de red para proporcionar información sobre el volumen y el tipo de tráfico, así como sobre el rendimiento de los dispositivos de red.

Enlaces de referencia

1.

Tessian is Now Proofpoint | Proofpoint US

Proofpoint

2.

Automatización de la monitorización de amenazas internas

3.

LaBella leverages Log360 to enhance its security posture

4.

Security Use Cases Enhanced by AI and ML - Thanks | Splunk

5.

Empresa líder en medios

6.

Una cura para los males de la gestión de acceso heredada

7.

Securing Datacenter Using NetFlow Analyzer - A case study

8.

IAM Healthcare Case Study : Deploying an Integrated PAM and IGA Solution - Integral Partners

Integral Partners LLC

Cem Dilmegani

Analista principal

Síguenos

Cem ha sido el analista principal de AIMultiple desde 2017. AIMultiple informa a cientos de miles de empresas (según similarWeb), incluyendo el 55% de las empresas Fortune 500 cada mes. El trabajo de Cem ha sido citado por importantes publicaciones globales como Business Insider, Forbes, Washington Post, firmas globales como Deloitte, HPE y ONG como el Foro Económico Mundial y organizaciones supranacionales como la Comisión Europea. Puede consultar más empresas y recursos de renombre que citan a AIMultiple. A lo largo de su carrera, Cem se desempeñó como consultor, comprador y emprendedor tecnológico. Asesoró a empresas en sus decisiones tecnológicas en McKinsey & Company y Altman Solon durante más de una década. También publicó un informe de McKinsey sobre digitalización. Lideró la estrategia y adquisición de tecnología de una empresa de telecomunicaciones, reportando directamente al CEO. Asimismo, lideró el crecimiento comercial de la empresa de tecnología avanzada Hypatos, que alcanzó ingresos recurrentes anuales de siete cifras y una valoración de nueve cifras partiendo de cero en tan solo dos años. El trabajo de Cem en Hypatos fue reseñado por importantes publicaciones tecnológicas como TechCrunch y Business Insider. Cem participa regularmente como ponente en conferencias internacionales de tecnología. Se graduó en ingeniería informática por la Universidad de Bogazici y posee un MBA de la Columbia Business School.

Ver perfil completo

Sé el primero en comentar

Tu dirección de correo electrónico no será publicada. Todos los campos son obligatorios.

Nombre

Dirección de correo electrónico

Comentario

0/450

Publicar comentario