La vieja línea "Lo que no sabes no puede hacerte daño" está totalmente equivocada cuando se trata de seguridad de la red. Lo que no sabes es exactamente lo que te hará daño. Es por eso que la visibilidad completa de la red es tan crítica para proteger su negocio' activos y evitar multas e investigaciones de cumplimiento.
¿Sabías que desde que comenzó la pandemia covid-19 el año pasado, ha habido un aumento del 300% en los delitos cibernéticos reportados al FBI? Muchos de estos ataques están dirigidos directamente a la red, y Cisco predice que para 2023, habrá 15,4 millones de DDoS Ataques. De hecho, incluso los ataques específicos que no son de red deben atravesar la red.
Las multas de cumplimiento pueden ser la menor de sus preocupaciones financieras, ya que Verizon calcula que las violaciones de datos del año pasado costaron $3.86 millones en promedio. Los líderes empresariales entienden estos problemas, y el 68% de ellos cree que los riesgos de ciberseguridad están aumentando, Accenture encontrado.
Es por eso que simplemente debe saber en qué consiste su red, incluidas conexiones, segmentos, dispositivos e incluso aplicaciones y máquinas virtuales. Todos estos elementos están en riesgo para las hordas crecientes de ciberdelincuentes cada vez más sofisticados. Puedes aprender todo lo que necesitas saber en el seminario web Progress: no puedes proteger lo que no puedes ver.
"El desafío de la visibilidad vuelve a esto; no puedes proteger lo que no puedes ver. Tener una visibilidad completa en los entornos de red, ya sea local o en la nube, es fundamental para establecer y mantener una sólida postura de seguridad y cumplimiento. La visibilidad en profundidad muestra qué aplicaciones empresariales y flujos de conectividad subyacentes se verán afectados por cambios en las reglas de seguridad o tiempo de inactividad planificado del servidor y del dispositivo. Esto es fundamental para entender la impacto en las aplicaciones clave al migrar o desmantelar servidores o solucionar problemas, y para evitar interrupciones costosas", argumentó Security Boulevard.
Por supuesto, la supervisión de la red es parte de un enfoque experto en seguridad de TI, un elemento en lo que debería ser una estrategia de defensa en profundidad , un elemento absolutamente esencial, sin embargo. Así como anti-malware y firewalls deben cubrir todos sus activos, supervisión debe comprender y realizar un seguimiento de cada recurso de red, y tener en cuenta cuándo los nuevos vienen en línea.
Hablemos de cómo la supervisión de red agrega una capa crítica de protección a su infraestructura de TI. Una buena solución de monitoreo de red detecta cambios en la configuración que podrían indicar una infracción, mientras que los registros de red muestran exactamente lo que sucedió, y lo que hay que arreglar. Las infracciones se detectan más rápido o se bloquean, se reduce la exposición al cumplimiento y las pérdidas económicas disminuyen o eliminan.
Estas violaciones son más que una molestia. 36.000 millones, sí. Y aquellos que se preocupan por el cumplimiento deben saber que el 58% de esas violaciones involucraban datos personales, encontró Verizon.
Como indica el título de nuestro blog, no puedes proteger una red que no puedes ver ni entender. Es por eso que lo primero que hace una buena solución de monitoreo de red es la detección de redes. Esto encuentra todos los bits y piezas, define un perfil y crea un inventario. Aún mejor, puede automatizar el descubrimiento para que en un preseleccionado tiempo, la solución encontrará nuevos elementos de red y dispositivos en su red, a continuación, agréguelos al inventario. De esta manera, los nuevos dispositivos, conexiones y segmentos de red no serán una nueva vulnerabilidad para su entorno.
La visibilidad de la red incluye comprender cómo se configura la red cuando se opera correctamente. Esta es la línea base de red.
La línea base debe ser completa y abarcar puntos de referencia clave de rendimiento y seguridad, como estadísticas de utilización para memoria, CPU, interfaces y disco. Una vez establecidos, puede establecer umbrales como cuando un disco está cerca de su capacidad y tienen alertas que llaman la atención sobre problemas que podrían indicar un problema de seguridad. Por ejemplo, los dispositivos sobrecargados podrían indicar un ataque DDoS peligroso que requiere atención inmediata.
Otro ejemplo es la minería criptomoneda, que si bien no necesariamente un evento de seguridad, puede obstruir su red tanto que no está disponible. Esta minería a menudo ocurre durante las horas de descanso cuando los empleados cargan su red con bitcoin u otras tareas de procesamiento criptográfico. La supervisión de la CPU y la memoria puede detectar estas actividades, incluso cuando su tienda está cerrada de otra manera, y ayudarte a ponerle fin.
En este caso, primero busque la línea base de la CPU. Algunos servidores se ejecutan al 90% porque se utilizan de forma eficiente, por lo que en estos casos establecen el umbral más alto. Si la carga normal de la CPU ronda el 50-60%, sigue adelante y establece el umbral para una alerta en un 90%. Puede supervisar todos sus servidores de esta manera para detectar comportamientos sospechosos y tener una idea de si los dispositivos están a la altura de sus tareas actuales.
Todo el descubrimiento y la base en el mundo no importará un lamedura si no se le alerta de problemas. Acabamos de hablar de alertas cuando las CPU u otros elementos de red superan los umbrales. Las alertas se pueden establecer para todo tipo de otras cosas, como problemas de rendimiento, ancho de banda sobrecargado, comportamiento inusual y un sinnúmero de otros elementos.
Las alertas, sin embargo, deben configurarse correctamente. En primer lugar, no quieres alertas para cada cosa que parece la menor parte fuera de lo común. Los informes pueden realizar un seguimiento de ellos y cuando llegan a un nivel crítico pueden convertirse en una alerta. Con sobrecarga de alerta, La TI está distraída por eventos triviales, y no siempre puede prestar atención a eventos que realmente importan.
Las alertas no deben enviarse en masa a todos los que usan la solución de supervisión de red, sino que se dirigen en función de la responsabilidad, con alertas de servidor dirigidas al equipo servidor, alertas de aplicaciones que van a ese grupo y elementos de ancho de banda a aquellos que administran sus conexiones. Las alertas también pueden tener diferentes niveles de gravedad. La mayoría de las alertas que desea ver, pero no son emergencias, pueden ir a soluciones de correo electrónico o de colaboración como Slack, mientras que los elementos críticos se pueden enviar como un texto para la atención inmediata.
¿Sabías que Gartner dice que el 80% de las infracciones se deben a una mala configuración u otro tipo de error administrativo?
Para obtener acceso a las redes, los atacantes a menudo reconfiguran servicios o hosts, y en el proceso de reconfiguración los hacen temporalmente no disponibles. La supervisión de la red puede detectar la pérdida de servicio y encontrar la reconfiguración maliciosa día.
Afortunadamente, una buena solución de supervisión detecta y documenta sus configuraciones, e incluso puede enviar alertas, correo electrónico o mensajes de texto dependiendo de la gravedad del cambio de configuración. Aún mejor, puede configurar configuraciones automáticas basadas en y las políticas probadas, por lo que sabrá que la configuración se realiza correctamente. Si pierde una configuración o hay problemas con ella, las copias de seguridad automatizadas garantizan que nunca se pierdan realmente y se puedan restaurar fácilmente a la configuración adecuada.
A menudo, los errores de configuración provienen de nuevas configuraciones que se alejan de las normas probadas establecidas. El inventario de configuración y las configuraciones automáticas se encargan de estos problemas.
También puede establecer directivas de seguridad, como habilitar el cifrado de contraseñas y garantizar el cumplimiento de las directivas.
Muchos problemas de seguridad (y rendimiento) se relacionan con el ancho de banda, razón por la cual el análisis de tráfico de red es tan importante. Con esto, puede analizar NetFlow, NSEL, S-Flow, J-Flow e IPFIX y obtener detalles completos y granulares sobre qué recursos, departamentos, grupos o incluso individuos están utilizando el ancho de banda. Este análisis puede detectar un comportamiento inusual, como ataques a botnets y adquisiciones de redes, exfiltración de datos por parte de ciberdelincuentes, ataques DDoS, minería de datos que discutimos anteriormente, e incluso empleados que atracan viendo Netflix o Amazon Prime.
Si tiene una buena línea base, la supervisión del uso de ancho de banda en tiempo real muestra cuándo algo está fuera de lugar. Y esta función informa sobre las tendencias históricas del ancho de banda, por lo que tendrá una idea de cuándo necesita actualizar la red.
El análisis de tráfico de red también es clave para los análisis forenses de seguridad, el descubrimiento de aplicaciones no autorizadas, el seguimiento de volúmenes de tráfico entre pares específicos de origen y destinos y la búsqueda de flujos de tráfico elevados a puertos nomonitorizados.
Con WhatsUp Gold, puede alertar a los administradores cuando los usuarios accedan a dark web, que la gente de llegar a usar Tor, la red de voluntarios de retransmisiones que el visitante de Dark Web puede ser enrutado a través de permanecer en el anonimato. TI puede supervisar todos los orígenes de red de puertos Tor conocidos y detectar o bloquear el acceso a la Web oscura.
Como habrá adivinado, todas las funciones de monitoreo de red descritas en este blog están disponibles en WhatsUp Gold from Progress Software. Aquí hay tres más que podría interesar.
NetFlow – Con la capacidad de NetFlow, TI puede analizar fácil y automáticamente los datos de los dispositivos Cisco para analizar el comportamiento de la red, detectar problemas de seguridad, y configurar alertas en tiempo real para problemas de red y seguridad.
Administración de registros: la administración de registros es fundamental para la seguridad, vital para cumplir con las regulaciones de cumplimiento y esencial para mostrar exactamente lo que sucedió y qué pasos se tomaron cuando se produjo un evento de seguridad.
Auditorías de cumplimiento programadas: ¿Qué sucede si su solución de supervisión de red también viene con la capacidad de ejecutar auditorías regularmente de la manera en que SOX, HIPAA, PCI y FISMA las necesitan para ejecutarse? ¡WhatsUp Gold hace!
Aprenda todo acerca de la visibilidad de la red
Siéntese y deje que los expertos de Progress le enseñen todo lo que necesita saber sobre la visibilidad de la red en nuestro seminario web : no puede proteger lo que no puede ver.
Hay mucho más en WhatsUp Gold 2021, pero sólo hay mucho espacio aquí. Puedes aprender más sobre lo que hay nuevo en WhatsUp Gold en nuestra página Novedades o probarlo tú mismo de forma gratuita. Echa un vistazo a nuestro what's new con WhatsUp Gold 2021 Webinar.
Get our latest blog posts delivered in a weekly email.