Soluciones EDR y la "tríada de visibilidad de seguridad"
El modelo se construyó originalmente para demostrar la visibilidad de seguridad necesaria a través de tres pilares:
- Registros (como a través de SIEM)
- Datos de red (como a través de NTA / NDR)
- Datos de punto final (como a través de EDR)
El modelo se refirió a la "visibilidad de la seguridad" como algo que es más
amplio que la detección o la investigación (o respuesta) por sí sola. De
hecho, se puede detectar en cualquiera de los canales por separado o ejecutar
contenido de detección en una plataforma que tenga más de un tipo de datos. Lo
mismo ocurre con las investigaciones: tener los tres pilares de visibilidad de
seguridad significa que no se perderá nada importante durante el proceso de
respuesta a incidentes.
Más tarde se convirtió en un gráfico
elegante:
Fuente: Gartner, Aplicación de enfoques centrados en la red para la detección y respuesta de amenazas, marzo de 2019, ID G00373460
Por cierto, se puede señalar que un SIEM puede recopilar netflow y EDR puede mirar registros, por lo que hay un elemento menor de superposición. Sin embargo, los registros, datos de tráfico y datos de terminales (distintos de los registros, como por ejemplo observación de memoria en vivo, etc.) son tres pilares distintos de visibilidad.
¿Sigue siendo útil el modelo de la "tríada de visibilidad de la seguridad" en 2020?
Respuesta corta, es sí. Ahora, veamos los detalles.
¿Algún cambio en el orden de prioridad?
Quizás el orden cambió un poco: en 2015,
siempre se buscaban los registros primero, ahora se puede buscar
primero EDR
(y
XDR). Los datos de los puntos finales se volvieron más útiles y relevantes. Sin
embargo, definitivamente todavía hay casos para llegar primero a
Network Detection and Response (NDR)
o
Network Traffic Analysis (NTA).
Es cierto que las cosas todavía se están asentando en la nube, sobretodo en
ambientes IaaS. Pero, aun así la gente confía en los registros (registros
tradicionales del sistema / aplicaciones y registros de la plataforma en la
nube), sensores de punto final y, a veces, detección de tráfico, por lo que el
modelo se mantiene en IaaS, incluso si se realizan algunos cambios en el orden
de prioridad y las tecnologías utilizadas.
¿Qué pasa con los lugares que usan mucho SaaS y tienen poca presencia de
centro de datos o IaaS?
Aquí las cosas han cambiado. Un EDR (en el punto final, es decir, computadora
portátil, etc.) se vuelve más relevante, los registros siguen siendo
importantes, ya sean registros de aplicaciones SaaS y/o registros CASB,
mientras que el canal de red disminuye en gran medida.
¿Qué pasa con los entornos en la nube con muchos servicios modernos nativos
de la nube, contenedores y serverless?
Aquí los enfoques de red y de punto final disminuyen y/o mueren, mientras que
los registros y logs se convierten en el principal camino.
¿Qué pasa con la visibilidad de la seguridad de las aplicaciones? Esta
es la crítica más fuerte a los modelos de EDR y, el surgimiento del
movimiento de observabilidad
y proyectos como
OpenTelemetry indican
que tal vez la visibilidad de la aplicación pueda convertirse en un cuarto
pilar… convirtiendo la tríada en quad (arruinando así mi metáfora
original de la tríada nuclear). Y, luego aparece los
RASP
que pueden encajar perfectamente en este modelo (¿alguien usa RASP?)
¿Qué pasa con las cosas que no están en el modelo?
Bueno, hay algunos controles auxiliares de detección y visibilidad útiles,
como el
engaño. Están ahí, pero para mí su papel es auxiliar y no cambian de modelo.
Para
resumir, la tríada de visibilidad de la seguridad aún funciona, pero la
evolución hacia la visibilidad en la seguridad de las aplicaciones puede
cambiar un poco el modelo. Quizás en 2 o 3 años, podamos hablar sobre el
cuádruple de visibilidad de seguridad en su lugar.
Fuente:
Anton on Security
Justo hace estos meses empece a escuchar en el rubro financiero como empezó el interés por soluciones de RASP...que suenan lindo con el next-generation waf y cosas de ese estilo.
ResponderBorrar