Mayor visibilidad en la red: 5 Nuevas Formas en que WatchGuard Aumenta la Detección y la Respuesta de las redes

A medida que sus clientes crecen y evolucionan, se le pide que se incluya más superficie en la protección, a menudo con tiempo y recursos escasos. La mayoría de las redes de sus clientes ahora abarcan oficinas, hogares, la nube y aplicaciones SaaS, y los atacantes ganan tiempo en las vulnerabilidades que existen entre las herramientas que no están conectadas a la seguridad. 

La detección y respuesta de red (NDR) ayuda a reducir el tiempo necesario para detectar y contener amenazas mediante el análisis del tráfico de red y la telemetría de flujos, con el fin de identificar comportamientos sospechosos, enriquecerlos con contexto y activar u orientar las acciones de respuesta junto con herramientas de seguridad adyacentes, lo que acelera los procesos de investigación y contención.

Por qué NDR Ahora es Importante

Las intrusiones modernas rara vez afectan un único lugar. Se desplazan lateralmente, hacen un uso abusivo del acceso remoto, se entremezclan con sesiones legítimas y persisten porque operan “entre” los controles tradicionales. NDR se enfoca en lo que los endpoints y firewalls por sí solos no pueden identificar. Mediante el análisis del tráfico de red y de los metadatos de flujo, NDR detecta comportamientos sospechosos que las defensas basadas en firmas a menudo pasan por alto. 

Debido a que la red es el plano compartido entre usuarios, dispositivos y cargas de trabajo en la nube, la visibilidad a nivel de red se vuelve fundamental para detectar el movimiento lateral y los patrones de acceso sigiloso.

¿Cuáles son las Novedades de WatchGuard NDR?

WatchGuard hizo importantes actualizaciones en los servicios de NDR para acelerar el proceso desde la detección hasta la contención, incluso en entornos de proveedores mixtos. 

1. WatchGuard NDR para Firebox

WatchGuard NDR para Firebox es una solución de detección y respuesta de red nativa de la nube pensada para organizaciones, que se centra en el tráfico perimetral de alto riesgo. Supervisa tanto las conexiones entrantes como las conexiones hacia Internet, con el fin de brindar a su equipo una visibilidad clara sobre las rutas de las que los atacantes tienen mayor probabilidad de aprovecharse. 

A diferencia de las soluciones NDR heredadas que dependen de dispositivos físicos y sensores distribuidos, WatchGuard NDR para Firebox es una solución totalmente basada en la nube e impulsada por la telemetría de Firebox. 

Con NDR para Firebox, incorporar NDR a su entorno Firebox es sencillo. En lugar de otorgar licencias por usuario o dispositivo, activa NDR por unidad de Firebox e implementa esta solución directamente a través de WatchGuard Cloud, lo que permite transformar su Firebox en un motor de detección de amenazas impulsado por IA en cuestión de minutos. 

Cuando esté listo para ampliar a Total NDR y obtener una visibilidad profunda referida al tráfico este-oeste, las cargas de trabajo en la nube, las aplicaciones SaaS y los informes de cumplimiento, la transición se realizará sin complicaciones.

2. Bloqueo de IP de firewall abierto para Fortinet, Palo Alto y Check Point (BETA)

Las soluciones NDR de WatchGuard ya incorporan datos NetFlow provenientes de dispositivos de terceros con el fin de detectar actividades sospechosas. Sin embargo, hasta ahora, las acciones de respuesta se limitaban a WatchGuard Firebox. 

Esta situación cambia al lanzarse Open Block List de ThreatSync, que permite que los firewalls de terceros bloqueen amenazas en función de las detecciones de NDR de WatchGuard.  Las detecciones de NDR se agregan automáticamente a Open Block List y se incorporan a los feeds de amenazas de los firewalls Fortinet, Palo Alto y Check Point, lo que les permite bloquear direcciones IP de forma automática sin interrumpir su flujo de trabajo. 

3. Detección de amenazas de comportamiento para VPN (BETA)

El acceso por VPN es un punto de entrada habitual, ya que puede parecer legítimo y no se suele analizar más allá de la autenticación básica. WatchGuard ahora extiende la detección a las VPN de terceros, gracias a que detecta anomalías y líneas de base de identidad y comportamiento.

Al incorporar datos de syslog, NetFlow y las estadísticas de sesiones VPN, los servicios NDR de WatchGuard pueden marcar patrones como los que se indican a continuación:

• horarios de acceso inusuales
• geolocalizaciones anómalas
• picos repentinos en la cantidad de inicios de sesión fallidos
• usuarios que acceden a una VPN por primera vez

De esta manera, se traslada la supervisión de VPN desde la revisión de registros hacia la detección basada en el comportamiento, lo que permite identificar abusos que las alertas basadas en reglas a menudo no detectan.

4. Mayor visibilidad en Azure con la integración de NSG Flow Log (Beta)

Los entornos en la nube requieren la misma profundidad de visibilidad de red que los entornos locales. Los registros de flujo de Azure NSG proporcionan datos de tráfico en bruto, pero los datos en bruto, por sí solos, no generan resultados de seguridad.

WatchGuard NDR ahora enriquece los registros de flujo de Azure NSG con la identidad del host, los detalles de segmentación y el contexto de comportamiento. La compatibilidad ampliada con DHCP fortalece la atribución y permite que las detecciones se asignen a sistemas y usuarios específicos en lugar de a IP anónimas. De esta forma, se mejora la velocidad de investigación y la precisión de la respuesta en redes complejas en la nube.

5. ¿No está listo para administrar NDR? ¡Lo respaldamos!

WatchGuard ahora ofrece NDR como servicio totalmente administrado (como parte de Total MDR y Open MDR), que proporciona visibilidad persistente, análisis de expertos y respuesta guiada o automatizada, sin requerir que usted o su cliente deban crear un SOC. 

Con NDR administrado, nuestros expertos supervisan los entornos NDR de sus clientes en su nombre, y detectan y responden a las amenazas las 24 horas del día, los 7 días de la semana, los 365 días del año. 

Prepárese para lo que viene

Las actualizaciones de NDR de WatchGuard están diseñadas para dar respuesta a la realidad a la que debe enfrentarse: entornos más amplios, equipos más reducidos y adversarios que se mueven con rapidez y se aprovechan de las brechas que existen entre las herramientas. 

Al convertir la telemetría de Firebox en detección nativa en la nube, ampliar la respuesta a los firewalls de terceros, aplicar análisis de comportamiento a la actividad de VPN, enriquecer las señales de red de Azure con contexto de identidad y ofrecer una ruta administrada mediante MDR, WatchGuard reduce el tiempo que transcurre desde la detección hasta la contención en redes híbridas y de múltiples proveedores. 

El resultado es una alerta más temprana, investigaciones más rápidas y acciones más veloces, lo que le permite proteger una mayor superficie sin incrementar la complejidad.

¿Todo listo para comenzar? ¡Únase a una versión beta de WatchGuard NDR o póngase en contacto con su representante de WatchGuard para programar una demostración!