Garantizar la seguridad de las redes en un entorno de TI en constante evolución y ante la continua evolución de los usuarios requiere una gama de herramientas sofisticadas para realizar análisis en tiempo real. Su infraestructura de monitorización puede incluir monitorización del rendimiento de la red y las aplicaciones (NPM/APM), registradores de datos y analizadores de red tradicionales, mientras que sus sistemas de defensa utilizan cortafuegos, sistemas de protección contra intrusiones (IPS), prevención de fugas de datos (DLP), antimalware y otras soluciones.
Por muy especializadas que sean las herramientas de seguridad y monitorización, todas tienen dos cosas en común:
• Es necesario saber exactamente qué está sucediendo en la red.
• Los resultados del análisis se basan únicamente en los datos recibidos.
Una encuesta realizada por la Enterprise Management Association (EMA) en 2016 reveló que casi el 30 % de los encuestados no confiaba en que sus herramientas recibieran todos los datos necesarios. Esto significa que existen puntos ciegos de monitoreo en la red, lo que en última instancia conlleva esfuerzos infructuosos, costos excesivos y un mayor riesgo de sufrir un ataque informático.
La visibilidad exige evitar inversiones innecesarias y puntos ciegos en la monitorización de la red, lo que requiere recopilar datos relevantes sobre todo lo que ocurre en ella. Los divisores y puertos espejo de los dispositivos de red, también conocidos como puertos SPAN, se convierten en los puntos de acceso utilizados para capturar el tráfico y analizarlo.
Se trata de una operación relativamente sencilla; el verdadero desafío reside en transferir eficientemente los datos de la red a todas las herramientas que los necesitan. Si solo se dispone de unos pocos segmentos de red y relativamente pocas herramientas de análisis, se pueden conectar directamente. Sin embargo, dada la velocidad a la que las redes siguen creciendo, incluso si es lógicamente posible, es muy probable que esta conexión uno a uno genere una pesadilla de gestión inmanejable.
Según EMA, el 35 % de las empresas citaron la escasez de puertos SPAN y divisores como la principal razón por la que no podían monitorizar completamente sus segmentos de red. Los puertos en herramientas de análisis avanzadas, como los cortafuegos, también pueden ser escasos, por lo que es fundamental evitar sobrecargar los equipos y degradar el rendimiento.
¿Por qué necesita agentes de paquetes de red?
El Network Packet Broker (NPB) se instala entre los puertos divisores o SPAN que se utilizan para acceder a los datos de red, así como a las herramientas de seguridad y monitorización. Como su nombre indica, la función básica del Network Packet Broker es coordinar los datos de los paquetes de red para garantizar que cada herramienta de análisis obtenga con precisión los datos que necesita.
NPB añade una capa de inteligencia cada vez más importante que reduce los costes y la complejidad, ayudándole a:
Para obtener datos más completos y precisos que permitan tomar mejores decisiones.
El agente de paquetes de red con capacidades de filtrado avanzadas se utiliza para proporcionar datos precisos y eficaces para sus herramientas de monitorización y análisis de seguridad.
Mayor seguridad
Cuando no se puede detectar una amenaza, es difícil detenerla. NPB está diseñado para garantizar que los firewalls, los sistemas de prevención de intrusiones (IPS) y otros sistemas de defensa siempre tengan acceso a los datos exactos que necesitan.
Resuelve problemas más rápido
De hecho, la mera identificación del problema representa el 85 % del tiempo medio de reparación (MTTR). El tiempo de inactividad supone pérdidas económicas, y una mala gestión puede tener un impacto devastador en su negocio.
El filtrado sensible al contexto que proporciona NPB le ayuda a descubrir y determinar la causa raíz de los problemas más rápidamente mediante la introducción de inteligencia artificial avanzada para las aplicaciones.
Aumentar la iniciativa
Los metadatos proporcionados por el NPB inteligente a través de NetFlow también facilitan el acceso a datos empíricos para gestionar el uso del ancho de banda, las tendencias y el crecimiento, con el fin de atajar el problema de raíz.
Mayor retorno de la inversión
Smart NPB no solo agrega el tráfico de puntos de monitoreo como conmutadores, sino que también filtra y organiza los datos para mejorar la utilización y la productividad de las herramientas de seguridad y monitoreo. Al gestionar únicamente el tráfico relevante, podemos mejorar el rendimiento de las herramientas, reducir la congestión, minimizar los falsos positivos y lograr una mayor cobertura de seguridad con menos dispositivos.
Cinco maneras de mejorar el retorno de la inversión con los intermediarios de paquetes de red:
• Solución de problemas más rápida
• Detectar vulnerabilidades más rápidamente
• Reducir la carga de las herramientas de seguridad
• Prolongar la vida útil de las herramientas de monitorización durante las actualizaciones.
• Simplificar el cumplimiento
¿Qué puede hacer exactamente la NPB?
Agregar, filtrar y entregar datos suena sencillo en teoría. Pero en la práctica, los sistemas NPB inteligentes pueden realizar funciones muy complejas, lo que se traduce en mejoras exponenciales en eficiencia y seguridad.
Una de sus funciones es el balanceo de carga del tráfico. Por ejemplo, si actualiza la red de su centro de datos de 1 Gbps a 10 Gbps, 40 Gbps o superior, el NPB puede reducir la velocidad para asignar el tráfico de alta velocidad a un conjunto existente de herramientas de monitorización analítica de baja velocidad (1 G o 2 G). Esto no solo amplía el valor de su inversión actual en monitorización, sino que también evita costosas actualizaciones durante la migración de TI.
Otras potentes funciones que ofrece NPB incluyen:
Los paquetes de datos redundantes se deduplican.
Las herramientas de análisis y seguridad admiten la recepción de un gran número de paquetes duplicados reenviados desde múltiples divisores. NPB puede eliminar la duplicación para evitar que las herramientas malgasten potencia de procesamiento al procesar datos redundantes.
Descifrado SSL
El cifrado Secure Socket Layer (SSL) es la técnica estándar utilizada para enviar información privada de forma segura. Sin embargo, los piratas informáticos también pueden ocultar amenazas cibernéticas maliciosas en paquetes cifrados.
Para examinar estos datos es necesario descifrarlos, pero descomponer el código requiere una gran capacidad de procesamiento. Los principales intermediarios de paquetes de red pueden descargar el descifrado de las herramientas de seguridad para garantizar la visibilidad general y, al mismo tiempo, reducir la carga sobre los recursos de alto coste.
Enmascaramiento de datos
El descifrado SSL hace que los datos sean visibles para cualquier persona con acceso a herramientas de seguridad y monitoreo. El NPB puede bloquear números de tarjetas de crédito o de la Seguridad Social, información de salud protegida (PHI) u otra información personal sensible (PII) antes de transmitirla, de modo que no se divulgue a la herramienta ni a sus administradores.
Desmontaje del colector de admisión
NPB puede eliminar encabezados como VLAN, VXLAN y L3VPN, de modo que las herramientas que no admiten estos protocolos puedan seguir recibiendo y procesando datos de paquetes. La visibilidad contextual ayuda a descubrir aplicaciones maliciosas que se ejecutan en la red y las huellas que dejan los atacantes durante su actividad en el sistema y la red.
Inteligencia de aplicaciones y amenazas
La detección temprana de vulnerabilidades reduce la pérdida de información confidencial y, en última instancia, los costos asociados. La visibilidad contextual que ofrece NPB permite descubrir indicadores de intrusión (IOC), identificar la geolocalización de vectores de ataque y combatir amenazas criptográficas.
La inteligencia de aplicaciones se extiende más allá de las capas 2 a 4 (modelo OSI) de datos de paquetes, hasta la capa 7 (capa de aplicación). Se pueden crear y exportar datos detallados sobre el comportamiento y la ubicación del usuario y la aplicación para prevenir ataques a la capa de aplicación, donde el código malicioso se hace pasar por datos normales y solicitudes válidas del cliente.
La visibilidad contextual ayuda a descubrir las aplicaciones maliciosas que se ejecutan en su red y las huellas que dejan los atacantes a medida que trabajan en su sistema y red.
Monitoreo de aplicaciones
La visibilidad de la percepción de las aplicaciones también tiene un profundo impacto en el rendimiento y la gestión. Quizás le interese saber cuándo los empleados utilizaron servicios en la nube, como Dropbox o correo electrónico web, para eludir las políticas de seguridad y transferir archivos de la empresa, o cuándo exempleados intentaron acceder a archivos mediante servicios de almacenamiento personal en la nube.
Los beneficios de la NPB
• Fácil de usar y gestionar
• Inteligencia para aliviar la carga de trabajo del equipo
• Sin pérdida de paquetes: ejecuta funciones avanzadas
• 100% de fiabilidad
• Arquitectura de alto rendimiento
Fecha de publicación: 20 de enero de 2025
