14 sep. 2020

Soluciones EDR y la "tríada de visibilidad de seguridad"

En 2015, mientras trabajaba en un documento sobre el SOC de Gartner, el Dr Anton Chuvakin acuñó el concepto de "tríada nuclear del SOC", que luego se transformó en "tríada de visibilidad del SOC" o incluso "tríada de visibilidad de seguridad". Entonces, la cosa se hizo muy popular entre algunos proveedores de seguridad, especialmente con el nombre popular de NDR - Endpoint Threat Detection & Response (ejemplo, otro ejemplo).

El modelo se construyó originalmente para demostrar la visibilidad de seguridad necesaria a través de tres pilares:
  • Registros (como a través de SIEM)
  • Datos de red (como a través de NTA / NDR)
  • Datos de punto final (como a través de EDR)

El modelo se refirió a la "visibilidad de la seguridad" como algo que es más amplio que la detección o la investigación (o respuesta) por sí sola. De hecho, se puede detectar en cualquiera de los canales por separado o ejecutar contenido de detección en una plataforma que tenga más de un tipo de datos. Lo mismo ocurre con las investigaciones: tener los tres pilares de visibilidad de seguridad significa que no se perderá nada importante durante el proceso de respuesta a incidentes.

Más tarde se convirtió en un gráfico elegante:


Fuente: Gartner, Aplicación de enfoques centrados en la red para la detección y respuesta de amenazas, marzo de 2019, ID G00373460

Por cierto, se puede señalar que un SIEM puede recopilar netflow y EDR puede mirar registros, por lo que hay un elemento menor de superposición. Sin embargo, los registros, datos de tráfico y datos de terminales (distintos de los registros, como por ejemplo observación de memoria en vivo, etc.) son tres pilares distintos de visibilidad.

¿Sigue siendo útil el modelo de la "tríada de visibilidad de la seguridad" en 2020?

Respuesta corta, es sí. Ahora, veamos los detalles.

¿Algún cambio en el orden de prioridad? Quizás el orden cambió un poco: en 2015, siempre se buscaban los registros primero, ahora se puede buscar primero EDR (y XDR). Los datos de los puntos finales se volvieron más útiles y relevantes. Sin embargo, definitivamente todavía hay casos para llegar primero a Network Detection and Response (NDR) o Network Traffic Analysis (NTA).

Es cierto que las cosas todavía se están asentando en la nube, sobretodo en ambientes IaaS. Pero, aun así la gente confía en los registros (registros tradicionales del sistema / aplicaciones y registros de la plataforma en la nube), sensores de punto final y, a veces, detección de tráfico, por lo que el modelo se mantiene en IaaS, incluso si se realizan algunos cambios en el orden de prioridad y las tecnologías utilizadas.

¿Qué pasa con los lugares que usan mucho SaaS y tienen poca presencia de centro de datos o IaaS? Aquí las cosas han cambiado. Un EDR (en el punto final, es decir, computadora portátil, etc.) se vuelve más relevante, los registros siguen siendo importantes, ya sean registros de aplicaciones SaaS y/o registros CASB, mientras que el canal de red disminuye en gran medida.

¿Qué pasa con los entornos en la nube con muchos servicios modernos nativos de la nube, contenedores y serverless? Aquí los enfoques de red y de punto final disminuyen y/o mueren, mientras que los registros y logs se convierten en el principal camino.

¿Qué pasa con la visibilidad de la seguridad de las aplicaciones? Esta es la crítica más fuerte a los modelos de EDR y, el surgimiento del movimiento de observabilidad y proyectos como OpenTelemetry indican que tal vez la visibilidad de la aplicación pueda convertirse en un cuarto pilar… convirtiendo la tríada en quad (arruinando así mi metáfora original de la tríada nuclear). Y, luego aparece los RASP que pueden encajar perfectamente en este modelo (¿alguien usa RASP?)

¿Qué pasa con las cosas que no están en el modelo? Bueno, hay algunos controles auxiliares de detección y visibilidad útiles, como el engaño. Están ahí, pero para mí su papel es auxiliar y no cambian de modelo.

Para resumir, la tríada de visibilidad de la seguridad aún funciona, pero la evolución hacia la visibilidad en la seguridad de las aplicaciones puede cambiar un poco el modelo. Quizás en 2 o 3 años, podamos hablar sobre el cuádruple de visibilidad de seguridad en su lugar.

Fuente: Anton on Security

1 comentario:

  1. Justo hace estos meses empece a escuchar en el rubro financiero como empezó el interés por soluciones de RASP...que suenan lindo con el next-generation waf y cosas de ese estilo.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!