Telemetría para la ciberseguridad

¿Qué es la telemetría?

Las topografías de las redes de los centros de datos y las empresas modernas son complejas. Incluyen muchos dispositivos diferentes (enrutadores, conmutadores, servidores locales y en la nube, hipervisores, cortafuegos y otros dispositivos de seguridad, estaciones de trabajo, etc.), utilizan diversos medios de transmisión como Ethernet, fibra óptica y Wi-Fi, y alojan una amplia gama de aplicaciones que son fundamentales para las operaciones empresariales. Estos entornos digitales necesitan soluciones complejas de generación de informes que proporcionen a los administradores una visibilidad amplia y granular de las actividades de la red. 

La telemetría son datos recogidos de un entorno de red que pueden analizarse para supervisar la salud y el rendimiento, la disponibilidad y la seguridad de la red y sus componentes, lo que permite a los administradores de red responder rápidamente y resolver los problemas de la red en tiempo real. Los datos de telemetría contribuyen a mantener una red altamente disponible, optimizada y resistente. El análisis avanzado de telemetría también puede emplear inteligencia artificial y aprendizaje automático para proporcionar datos procesables basados en eventos sobre las operaciones de la red y detectar actividad de red anómala e indicadores de comportamiento potencialmente malicioso.

Componentes de telemetría

Para facilitar la recopilación y el análisis de los datos de telemetría, los dispositivos deben configurarse con un software que envíe las métricas pertinentes a un sistema centralizado donde se introducen en un motor de análisis, se procesan y se ponen a disposición de los miembros del equipo de TI a través de un panel de análisis. La telemetría de red se centra en el rendimiento de una red y todos sus dispositivos críticos, y la telemetría de punto final se centra en informar de la actividad que se produce en los puntos finales individuales.

Para obtener una comprensión de alto nivel de la telemetría de red, la funcionalidad de una red informática puede modelarse como tres "planos" teóricos. Estos tres planos son:

Plano de datos: Reenvía paquetes/tramas de una interfaz a otra. Si el flujo de datos es análogo al tráfico en una autopista, compare el plano de datos con las carreteras y las comunicaciones con los vehículos.

Plano de control: Operativiza las reglas para determinar qué caminos toman los datos entre dispositivos, como los protocolos de enrutamiento de un router o switch. En la analogía del tráfico, el plano de control puede compararse con los semáforos y las señales.

Plano de gestión: Controla y supervisa los dispositivos. El plano de gestión puede compararse con la combinación de una aplicación de navegación con datos de tráfico en tiempo real y un planificador urbano que ajusta los semáforos y las señales para optimizar el flujo de tráfico.

La telemetría del plano de datos y control puede utilizarse para realizar cambios informados en la arquitectura o configuración de la red con el fin de mejorar el rendimiento y la seguridad. Las herramientas avanzadas de ingeniería de redes y los productos de seguridad -como Extended Detection and Response (XDR)- operan en el plano de gestión para ajustar automáticamente la topografía y la configuración de la red.

Por ejemplo, cuando los recursos de hardware de un dispositivo (CPU, RAM, disco duro e interfaz de red) están a punto de agotarse o fallan, o un dispositivo o aplicación se comporta de forma inesperada, se pueden crear alertas para los miembros del equipo de TI, y los equilibradores de carga o las conmutaciones por error pueden asignar automáticamente nuevos recursos, como VPS, para mantener el rendimiento de la red.

Telemetría de punto final

La telemetría de endpoints incluye información de sistemas operativos, servicios y aplicaciones en cada endpoint. La telemetría de endpoints se utiliza para supervisar sistemas y aplicaciones individuales con el fin de identificar fallos del sistema causados por condiciones operativas normales y actividad maliciosa causada por malware. Los componentes de la telemetría de endpoints son muy flexibles y dependen del servicio proporcionado por el endpoint que se está supervisando. Un agente en cada endpoint transmitirá los datos relevantes al repositorio centralizado para que puedan ser analizados en busca de indicadores de compromiso (IOC) u otra actividad.

Ventajas de la telemetría de punto final

Protección frente a la pérdida de datos

Supervisión de servicios como los de correo electrónico, intercambio de archivos y API en la nube o estaciones de trabajo de los empleados para detectar comportamientos anómalos en relación con la transferencia de datos que puedan indicar que un atacante está intentando filtrar datos.

Autenticación y autorización

Servicios de supervisión de intentos de autenticación y acceso a recursos alojados para detectar actividades sospechosas.

Procesos del sistema

Supervisión de un sistema operativo en busca de procesos maliciosos y procesos que puedan ser generados por el compromiso de una aplicación en un ciberataque.

Cambios en los archivos del sistema

Supervisar un sistema operativo o una aplicación para detectar cualquier cambio en los archivos críticos del sistema o en los ajustes de configuración.

Comportamiento de los usuarios

Supervisión de un punto final en busca de actividad, como pulsaciones de teclado y movimientos del ratón, apertura de documentos o uso de Internet.

Telemetría para la ciberseguridad

Los datos de telemetría se aplican a la ciberseguridad de varias maneras. Los ingenieros de redes pueden utilizar la telemetría para observar el tráfico de la red en tiempo real y garantizar la disponibilidad y el alto rendimiento de todos los sistemas. En escenarios de ciberseguridad más avanzados, los datos de telemetría pueden utilizarse para responder a un IOC y responder.

Por ejemplo, las soluciones XDR ingieren telemetría de los puntos finales de la red y reaccionan automáticamente ante un IOC notificado poniendo en cuarentena un punto final y protegiendo aún más el resto de la red mediante el uso de la telemetría IOC para ajustar las defensas en todo el entorno de red. Esto permite una estrategia de ciberseguridad defensiva más allá del escaneado tradicional de virus de los archivos entrantes en busca de firmas conocidas y permite la supervisión en tiempo real de todos los sistemas en busca de comportamientos anómalos. El resultado es un menor tiempo de permanencia.

La telemetría de endpoints ayuda a los equipos de seguridad a mejorar la cobertura de detección de amenazas e identificar antes las actividades maliciosas.

Como servicio gestionado de detección y respuesta 24x7x365 basado en suscripciones y centrado en el ser humano, CylanceGUARD® ofrece la experiencia y el apoyo que necesitan los CISO. CylanceGUARD combina la profunda experiencia de BlackBerry Cybersecurity Services con la protección de endpoints basada en IA a través de CylanceENDPOINT. En resumen, CylanceGUARD proporciona a las empresas las personas y la tecnología necesarias para proteger a la empresa del panorama moderno de amenazas.