Lo que hemos aprendido supervisando 1.000 millones de flujos de red
En Redborder hemos superado un hito importante: la supervisión de más de 1.000 millones de flujos de red. Estos flujos proceden de una amplia gama de sectores, como el financiero, el sanitario, el manufacturero y el gubernamental. Mediante el análisis de estos datos, hemos obtenido información muy valiosa sobre la naturaleza del tráfico de red y las amenazas que se esconden en él.
Esto es lo que hemos descubierto y por qué es crucial para la seguridad de su red.
- Las mayores amenazas ya están dentro
¿El dato más revelador? El 68% de la actividad sospechosa procedía del interior de la red, no de fuentes externas como hacen muchas herramientas de seguridad. Este tráfico interno, o tráfico Este-Oeste, es donde los atacantes suelen operar sin ser detectados. Ya se trate de movimiento lateral entre departamentos o de reconocimiento interno, el peligro ya está dentro de su perímetro.
Si su pila de seguridad no proporciona visibilidad del tráfico interno, básicamente está dejando la puerta trasera abierta de par en par.
- Un pequeño porcentaje de dispositivos es responsable de la mayoría de las alertas
Descubrimos que sólo el 4,7% de los hosts supervisados eran responsables del 80% de los comportamientos dignos de alerta. Estos dispositivos atípicos, a menudo dispositivos IoT comprometidos, servidores obsoletos o endpoints maliciosos, eran los que activaban las alarmas. Los atacantes no siempre necesitan entrar en tu red, solo necesitan un eslabón débil.
No se trata de protegerlo todo. Se trata de proteger el pequeño porcentaje de activos que más importan.
- DNS es una puerta de entrada para los atacantes
Uno de los vectores más ignorados por los ciberdelincuentes es el DNS. Hemos observado numerosos intentos de filtrar datos utilizando túneles DNS, junto con búsquedas sospechosas de dominios con typosquat y comunicación con servidores de comando y control. Este tráfico silencioso puede pasar desapercibido para las soluciones de seguridad tradicionales, que no prestan al DNS la atención que merece.
Si el DNS no es uno de los focos de su supervisión, está dejando sin resolver una pieza crítica del rompecabezas.
- Las ciberamenazas siguen el reloj
Otro patrón sorprendente que observamos fue que la actividad sospechosa se disparaba entre la 1:00 AM y las 4:00 AM, las horas en las que pocas personas están monitorizando activamente la red. Esta franja horaria es ideal para que los ataques automatizados o los bots lleven a cabo su trabajo sin llamar la atención.
Si su monitorización no funciona las 24 horas del día, los 7 días de la semana, está dejando su red vulnerable a ataques fuera de horario.
- El aprendizaje automático es más que una palabra de moda
Nuestro sistema basado en el aprendizaje automático detectó numerosas amenazas que las herramientas de seguridad tradicionales habían pasado por alto. Al comprender lo que es «normal» en la red a lo largo del tiempo, el sistema fue capaz de identificar comportamientos anómalos con precisión. La clave está en entrenar los algoritmos en función de patrones y comportamientos específicos de la red.
El aprendizaje automático no es sólo palabrería. Cuando se aplica correctamente, cambia las reglas del juego, reduce drásticamente los falsos positivos y descubre amenazas en tiempo real.
Lo esencial
Al fin y al cabo, los datos no mienten. Las amenazas están dentro de su red, a menudo ocultas a plena vista. Nuestra solución NDR está diseñada para revelar los riesgos ocultos, detener las amenazas antes de que se intensifiquen y proporcionar una verdadera visibilidad de la red. Es hora de dejar de reaccionar ante las amenazas y empezar a prevenirlas.
¿Quiere saber qué dice su red? Póngase en contacto con nosotros hoy mismo para una demostración y vea cómo Redborder puede transformar su postura de seguridad.
