Análisis Forense de Amenazas y Remediación en Alta Fidelidad

Observer de VIAVI actúa como una cámara de seguridad de manera ininterrumpida, de modo que monitorea y analiza sin descanso las fuentes de datos de cada dispositivo y entidad en la infraestructura para evaluar qué está conectado, quién se está comunicando y qué operación se está realizando de un extremo a otro.

Puntos débiles del análisis forense de amenazas de alta fidelidad 

El análisis forense de amenazas de alta fidelidad de Observer aborda muchos de estos puntos débiles que padecen los equipos de SecOps y NetOps al esforzarse por obtener una mejor visibilidad y tiempos de respuesta más rápidos cuando se producen incidentes de seguridad.  

• Carencias de visibilidad: la visibilidad en la red está impedida por los departamentos que trabajan de forma aislada, las traducciones de direcciones IP repetidas y la incapacidad de interpretar fuentes de datos no estructurados. Las carencias resultantes de visibilidad, tanto histórica como en tiempo real, requieren un modo de análisis manual de observación y comparación que exponga datos más sensibles de la empresa y los clientes a medida que pasa el tiempo.  
  Observer mejora la visibilidad al combinar fuentes de datos estructurados con datos no estructurados de Syslog, de la infraestructura y de Active Directory (AD). Los registros de flujos enriquecidos resultantes ilustran claramente las relaciones entre el usuario, la dirección IP, la dirección MAC y el uso de las aplicaciones en la red.
• Puntos ciegos del equipo de seguridad:el área de seguridad equipados con herramientas como los sistemas de detección de intrusiones, los sistemas de prevención de intrusiones, los cortafuegos y los concentradores de redes VPN son los guardianes de nuestros días que protegen los puntos de entrada frente a los atacantes. Cuando se produce una brecha de seguridad, necesitan saber lo antes posible la magnitud general de la intrusión, la ubicación del host o el dispositivo fraudulento, y los activos afectados para remediar y poner fin a la amenaza. El análisis forense de amenazas suplen las carencias a fin de minimizar los puntos ciegos de los equipos de NetOps y SecOps, lo que reduce el tiempo de respuesta de horas o días a segundos.

Casos de Uso 

A pesar de la creciente diversidad de sectores y aplicaciones, todos los propietarios y usuarios de redes tienen interés en proteger sus datos, aplicaciones y otros activos de valor frente a robos y otras vulneraciones.  

• Sector Salud
  La protección de información confidencial y el cumplimiento de normativas reglamentarias (HIPAA) promulgadas para velar por la privacidad de los pacientes son de vital importancia en el sector salud. Los análisis forenses de amenazas de alta fidelidad añaden valor al localizar el origen exacto y la magnitud de la infracción rápidamente para minimizar la exposición de los historiales de los pacientes y determinar las medidas correctivas adecuadas.
• Sector financiero 
  Los activos de alto valor económico en el sector financiero hacen que estas redes sean objetivos de primer orden para ataques informáticos, amenazas internas y fraudes. La visibilidad que proporcionan los análisis forenses de amenazas de alta fidelidad proporciona la prueba irrefutable necesaria para identificar amenazas internas y externas, al tiempo que establece la granularidad de los datos necesaria para respaldar políticas de acceso de confianza cero.
• Sector Comercio 
  Los Comercios y los propietarios de comercios electrónicos suelen gestionar enormes cantidades de datos confidenciales de carácter financiero, de clientes y de puntos de venta. Las métricas optimizadas de respuesta a incidentes que se generan mejoran la confianza de los clientes y la resistencia a futuros ataques, al tiempo que permite el cumplimiento de las normativas del sector, incluidos el GDPR y el PCI-DSS.
• Sector Manufactura 
  Si bien es menos probable que los datos confidenciales de los clientes queden expuestos en un entorno de fabricación, estas redes deben proteger propiedad intelectual y secretos comerciales cuando se diseñan, fabrican y envían sus productos. Los análisis forenses de amenazas de alta fidelidad mejoran también la capacidad operativa al servir de apoyo en la investigación de anomalías en los sistemas y la infraestructura.  

Enfoque de VIAVI: valor forense incomparable 

La prevención y la detección son los pilares principales de la seguridad de una red, pero los análisis forenses de amenazas añaden un elemento intangible a la ecuación. Cuando las amenazas eluden inevitablemente la primera línea de defensa, Observer le permite optimizar el proceso de corrección (y minimizar el tiempo de respuesta) al determinar rápidamente cómo han accedido los atacantes, durante cuánto tiempo han estado, adónde se dirigieron y de qué se apropiaron. Al realizar un seguimiento de los movimientos laterales y registrarlos, Observer categoriza el alcance y la gravedad de la infracción al tiempo que proporciona información más detallada de las tácticas empleadas por los malhechores.

• NAT/PAT: las traducciones de direcciones de red y puerto (NAT/PAT respectivamente) introducen cambios en línea en las direcciones IP y las credenciales que dificultan el seguimiento de las conversaciones y los movimientos laterales. El auge del trabajo remoto y la arquitectura de nube híbrida se han sumado a esta problemática. Observer analiza los datos de NAT/PAT de todos los dispositivos que traducen direcciones para crear una vista detallada de extremo a extremo de cada transacción. Los equipos de SecOps pueden sacar partido de estas funciones avanzadas para identificar actividades amenazantes, mientras que los equipos de NetOps obtienen más información de la experiencia de los usuarios finales y de la identificación de los dominios de los problemas.
• Análisis forenses sólidos: las pruebas forenses confiables se caracterizan por la autenticidad, la integridad y el valor probatorio que derivan en una fuente definitiva de verdad. Las funciones de análisis forense de amenazas de alta fidelidad de VIAVI cumplen este alto estándar al sacar el máximo partido de los datos disponibles de diversas fuentes (IPFIX/NetFlow, etc., Active Directory, Syslog, SNMP y paquetes) y establecer una huella forense que los malhechores no pueden ocultar.  

El valor de VIAVI 

Cada filtración de datos requiere a los equipos de SecOps una media de 277 días de contención, así que la visibilidad de las amenazas se ha convertido en un problema crítico que resolver. VIAVI ofrece una solución de análisis forense de alta fidelidad y de extremo a extremo, escalable, compacta y robusta con funciones y capacidades avanzadas sin precedentes en el mercado.  

• Huellas forenses: la capacidad de almacenar registros de flujos enriquecidos en forma de análisis forenses de total fidelidad junto con las funciones de retención de paquetes de Observer GigaStor permite a los equipos de SecOps y NetOps analizar de forma retroactiva cualquier transacción de la red y establecer una visibilidad de red sin precedentes.
• Registros de flujos enriquecidos: Observer es la única solución disponible que combina de forma inteligente fuentes de datos estructurados y no estructurados para crear un “super-registro” de cada conversación en toda la infraestructura y la ruta. Los registros de flujos convencionales (no enriquecidos) se suelen limitar a los datos de enrutadores y conmutadores de la capa 3.
• Fuentes de datos integradas: los datos aislados pueden ser tan ineficaces como las operaciones de TI aisladas. Observer integra a la perfección los análisis forenses de datos tanto de paquetes como de flujos para crear vistas procesables en Observer APEX. 

VIAVI Análisis forense de amenazas en alta fidelidad  

La plataforma Observer de VIAVI es el resultado de décadas de colaboración con administradores de red, equipos de operaciones y expertos en seguridad de red. Observer lleva las prácticas de análisis forense de amenazas al siguiente nivel al utilizar flujos de trabajo predefinidos y paneles de alto nivel. Los componentes de la plataforma modular Observer se unen para conseguir objetivos empresariales, además de superar los desafíos clave en materia de visibilidad de red, tecnología y gestión de activos. 

• Observer GigaStor: la solución líder de captura, análisis y almacenamiento de paquetes está ahora disponible en dos versiones virtuales distintas para garantizar la visibilidad en todos los entornos IT/Nube híbridos. Las opciones de captura completa de paquetes y solo metadatos ofrecen alternativas basadas en limitaciones de almacenamiento y costo.  
• Observer GigaFlow: los registros de flujos enriquecidos integran los datos de la red, la infraestructura y los usuarios en un único registro que contiene información detallada de las aplicaciones y el tráfico. GigaFlow optimiza el análisis de la red, la planificación de la capacidad y las investigaciones de ciberseguridad al proporcionar a todas las partes interesadas de la TI y los líderes empresariales una visibilidad completa de la red.
• Observer Apex: el eje de la plataforma Observer es también la primera solución de monitorización del desempeño del sector que genera una puntuación de la experiencia del usuario final (EUE) para cada flujo de cliente/servidor. Sus paneles flexibles permiten la identificación de problemas y el análisis de las causas raíz basándose en todas las fuentes de datos disponibles para reducir el tiempo medio de reparación (MTTR).