Opinión

  1. Home  »  Opinión   »   NetOps y SecOps deben crecer y enfrentar los nuevos desafíos juntos

NetOps y SecOps deben crecer y enfrentar los nuevos desafíos juntos

  • Luis Arís, gerente de desarrollo de negocios de Paessler para Latinoamérica
  • 24 mayo, 2023

Nube, digitalización, trabajo móvil: casi todos los principales temas de TI de la actualidad aumentan la complejidad, desafían el rendimiento de los sistemas y abren nuevas puertas de enlace para piratas informáticos y malware.

Luis Arís, gerente de desarrollo de negocios de Paessler para Latinoamérica

Mientras que, en las empresas más pequeñas, los equipos de operaciones de TI de base amplia aún pueden mantener una visión general, en las grandes empresas, los equipos independientes son responsables del rendimiento y la seguridad. Equipos de especialistas que utilizan sus propias herramientas y, a menudo, tienen un intercambio de información muy limitado. Al mismo tiempo, existen innumerables superposiciones entre operaciones (NetOps) y seguridad (SecOps), especialmente en el área de redes.

Sin embargo, aquí enfrentamos varios dilemas a la vez: la complejidad y el alcance de las áreas respectivas requieren expertos probados, tanto para la red como para la seguridad. Un enfoque holístico, que sería necesario para explotar las sinergias y reducir las redundancias, requiere a su vez generalistas experimentados. Desafortunadamente, el personal calificado es un recurso escaso y costoso. La solución está en el software adecuado.

Necesitamos sistemas que capturen, contextualicen y evalúen información relevante en todas las divisiones, revelando las interrelaciones y permitiendo la identificación avanzada de la causa raíz. Pero el nuevo software también significa mayor complejidad, esfuerzo de configuración y costos adicionales. Para mantener las implicaciones negativas lo más bajas posible, es necesaria una evaluación cuidadosa.

Análisis de tráfico de técnicas clave
Tanto para NetOps como para SecOps, el análisis de flujos de datos a través de la detección de flujos o paquetes es una parte esencial de sus operaciones. Ya en la década de 1980, las herramientas de rastreo de paquetes como tcpdump o Wireshark se usaban para leer paquetes de datos para monitorear el tráfico, detectar y solucionar problemas, identificar amenazas de seguridad y optimizar el rendimiento y la capacidad de la red.

A fines de la década de 1990, se desarrolló la inspección profunda de paquetes (DPI) como un método para examinar los paquetes de datos hasta el nivel de la aplicación. Mientras que el rastreo de paquetes sólo lee los encabezados de los paquetes y, por lo tanto, monitorea principalmente el rendimiento de la red, DPI también puede detectar malware oculto en un paquete de datos, lo que lo hace ideal como herramienta de seguridad.

También se desarrolló a fines de la década de 1990 NetFlow. Similar a la detección de paquetes, NetFlow también lee los encabezados de los paquetes de datos. Sin embargo, NetFlow es compatible con el dispositivo respectivo (firewall, switch, router), por lo que, a diferencia de Packet Sniffing, no todos los flujos de datos que se van a monitorear deben enrutarse a través de un puerto espejo o un dispositivo externo. Esto evita cuellos de botella en la red, lo que beneficia el rendimiento. Siendo NetFlow la primera y más conocida versión, el término se suele utilizar como proxy para protocolos basados en flujo como jFlow, sFlow o IPFIX. Aunque NetFlow se desarrolló originalmente principalmente como un método de monitoreo, los aspectos de seguridad también jugaron un papel importante desde el principio.

Cuanto más importante se vuelve el papel de TI para el éxito de una empresa, más datos se generan y procesan, y cuanto más complejos (y, por lo tanto, más difíciles de rastrear) se vuelven los entornos de TI, mayor es la amenaza del delito cibernético para las empresas. Esta es también una de las razones por las que muchas soluciones basadas en flujo se han centrado cada vez más en la seguridad en los últimos años. Los sistemas desarrollados originalmente para NetOps también se utilizan cada vez más en el entorno de seguridad. Sin embargo, esto también significa que se requieren habilidades de NetOps y SecOps para hacer el mejor uso de dichas herramientas. Sin un conocimiento profundo de las redes y el tráfico, no es posible el uso eficiente de herramientas basadas en flujo con fines de seguridad. En otras palabras, NetOps y SecOps deben al menos trabajar juntos; idealmente, deberían formar un equipo.

Seguimiento en tiempo real
Las herramientas de flujo no pueden hacerlo todo. Se requieren muchos otros sistemas tanto para el funcionamiento de la red como para mantener la seguridad. La red no funciona sin infraestructura. Los sistemas de almacenamiento, los servidores, pero también las aplicaciones y los servicios, todo debe funcionar y cooperar para brindar una imagen general confiable. Los mismos componentes también deben ser monitoreados constantemente desde una perspectiva de seguridad. En este contexto, es importante reconocer las interrelaciones generales: si se puede correlacionar un volumen inusualmente alto de tráfico, una mayor carga del procesador en un servidor y tal vez incluso un aumento de la temperatura en el bastidor del servidor, esto puede ser una indicación de malware. Para descubrir correlaciones tan complejas, se necesitan herramientas que sean capaces de reunir todos los diferentes sistemas, evaluar los datos y presentarlos claramente para NetOps y SecOps.

Actualmente, dos tipos de soluciones en particular, que recopilan y evalúan información de otros sistemas, están experimentando mucha publicidad. En primer lugar, existen herramientas de análisis que recopilan y evalúan cantidades gigantescas de datos. Sin embargo, la tarea de estas herramientas no es tanto identificar problemas en el día a día del negocio, sino más bien realizar análisis profundos y de largo plazo para la optimización sostenible de TI. Luego, existen herramientas de administración de alertas que recopilan alertas y notificaciones de varios sistemas y las transmiten de manera específica. Aquí, el foco está claramente en el día a día del negocio, pero es simplemente una cuestión de gestión de las notificaciones, no de correlaciones entre los datos obtenidos de diferentes sistemas.

Para que NetOps y SecOps cooperen con éxito, necesitan herramientas que capturen datos de sistemas dispares e integren otras soluciones. Que alerten lo más rápido posible en caso de fallos e irregularidades y que, sobre todo, sean fáciles de usar. Esta función se puede cumplir con herramientas generales de monitoreo de TI que pueden proporcionar un monitoreo básico receptivo al tiempo que integran otras soluciones más especializadas de los dominios de red y seguridad. Una lista de verificación para evaluar una solución de este tipo se parece a la siguiente:

● Facilidad de uso
● Funcionalidad integral de monitoreo de la infraestructura de TI
● Interfaces para una fácil integración de otras herramientas de monitoreo
● Opciones para monitorear herramientas de seguridad
● Opciones para correlacionar datos de diferentes fuentes
● Interfaces para la integración con herramientas de gestión de alertas para una gestión avanzada de alertas

Digitalización de casos especiales
Entre los principales temas de TI de nuestro tiempo, mencioné la digitalización al principio. Ya sea IoT, IIoT o “algo inteligente”, la digitalización crea nuevos desafíos para NetOps y SecOps: se deben transportar y procesar enormes volúmenes de datos adicionales y exigen mucho a la red. Al mismo tiempo, los dispositivos IoT forman puertas de enlace potenciales para ataques maliciosos, a menudo en cantidades apenas manejables. Ya sea que la digitalización tenga lugar en un entorno industrial, en un hospital o en la tecnología de la construcción, es de importancia secundaria: el factor decisivo es el acceso a los sistemas que se utilizan allí, que a menudo hablan sus propios lenguajes o protocolos únicos. Si los entornos digitalizados caen dentro del ámbito de competencia de los equipos de NetOps y SecOps, esto genera un requisito adicional para la lista de verificación:

● Soporte para métodos y protocolos utilizados en entornos digitalizados.

Si una solución de monitoreo admite métodos como OPC UA, DICOM, HL7, Modbus o MQTT y cumple con los demás requisitos de la lista de verificación, entonces puede ser el factor decisivo para fusionar NetOps y SecOps. Y así, aumentar la eficiencia, ahorrar costos, mejorar el rendimiento y aumentar la seguridad.

Luis Arís, gerente de desarrollo de negocios de Paessler para Latinoamérica

Artículos relacionados:

Hillstone Networks

Hillstone Networks ayuda a SIAPA a modernizar su infraestructura de seguridad para asegurar la entrega de servicios de agua

  • 18 abril, 2024
teclado

Check Point Software estima que se robaron 22 mil millones de registros de cookies en 2022

  • 18 abril, 2024
ciberseguridad

Qué es el estándar de Ciberseguridad 2.0 y por qué las empresas mexicanas deben cumplirlo en 2024

  • 18 abril, 2024
Tenable Cloud Security

Tenable ofrece funcionalidad de nube Zero Trust para Kubernetes

  • 18 abril, 2024

Artículos recientes

Tecnosinergia Express Plus Marina Nacional

Tecnosinergia abre nueva tienda para entregas exprés y showroom en Marina Nacional

  • 22 abril, 2024
Darío Mojica, Director de Ingeniería Preventa para Latinoamérica en Motorola Solutions

Motorola Solutions lleva la analítica de video al siguiente nivel con detección de arma visible

  • 20 abril, 2024
Fanbo Meng, Director Comercial de Tiandy Technologies

Tiandy Technologies arriba a México con cámaras IP de costo asequible para sustituir tecnología análoga

  • 20 abril, 2024
Bolide Technology Exposeguridad 2024

Bolide Technology insta a los integradores a poner atención en proyectos de transporte de mercancía

  • 20 abril, 2024
Ricardo González, Director Comercial en ADISES

ADISES destaca por su perfil de mayorista de seguridad electrónica especializado en proyectos

  • 20 abril, 2024
SecuriTIC