CIBERSEGURIDAD

Corelight avanza hacia la plataforma NDR abierta con una potente integración IDS / IPS de Suricata y mejoras en la recopilación de tráfico cifrado

Corelight, proveedor de las soluciones de análisis de tráfico de red (NTA) más poderosas para ciberseguridad, anunció hoy sus primeros pasos importantes para ofrecer una plataforma de detección y respuesta de red abierta (NDR) que traerá un patrón de diseño de código abierto probado en un producto unificado para los clientes. .

Corelight ha integrado dos poderosos proyectos de código abierto, Zeek y Suricata, en una solución perfecta que permite un cambio rápido de las alertas de Suricata a los ricos metadatos de la red extraídos por Zeek. Suricata es un motor de detección de amenazas de red de código abierto que ya es compatible con una amplia variedad de proveedores de conjuntos de reglas. La integración estará disponible primero como una licencia adicional en el sensor de mayor capacidad de Corelight, el AP 3000.

“El poder de la integración profunda entre Zeek y Suricata es significativo. Los que responden a incidentes a menudo manejan cientos de alertas de Suricata, pero encontrarles sentido rápidamente es un desafío ”, dijo Brian Dye, director de productos de Corelight. «Zeek aporta una gran cantidad de pruebas de la red junto con las extensas reglas y lenguaje de firmas, lo que hace posible que los equipos de seguridad pruebe rápidamente sus hipótesis de caza y convierta los descubrimientos en detecciones de amenazas automatizadas «.

El nuevo registro Suricata integrado de Corelight incluye la ID única (UID) familiar para los usuarios de Zeek, lo que significa que un analista puede pivotar directamente desde una alerta de Suricata directamente a cualquiera de los registros de Zeek para aprovechar evidencia poderosa sobre correo electrónico, tráfico web, SSL, DHCP, DNS y docenas de otros tipos de datos inherentes a Zeek.

«Conseguir nuestra visión de datos extensibles y participación de la comunidad, confiamos en software de código abierto, con características de nivel empresarial agregadas para una fácil implementación, seguridad, integración, rendimiento y extensibilidad ”, dijo Dye. “Nuestra integración de Zeek con Suricata es la progresión natural hacia una plataforma NDR verdaderamente abierta para los clientes.

«Estamos entusiasmados de apoyar y participar en la vibrante comunidad de Suricata en el futuro, además de nuestra comunidad histórica de desarrolladores y usuarios de Zeek ”, agregó Dye.

“La Open Information Security Foundation se complace en dar la bienvenida a Corelight al Consorcio. Corelight y Zeek son desde hace mucho tiempo miembros respetados de la comunidad de Suricata, y estamos encantados de ser parte de esta nueva y emocionante solución en el arsenal de defensores de la red ”, dijo la Dra. Kelley Misata, presidenta y directora ejecutiva de OISF.

La integración perfecta de Suricata en el sensor Corelight AP 3000 hace posible que los equipos de seguridad sofisticados confíen en una única fuente de datos para desbloquear capacidades de análisis avanzadas en un factor de forma fácil de implementar. Más allá de la integración funcional para acelerar la respuesta a incidentes, Corelight ha diseñado Zeek y Suricata para usar una arquitectura de CPU compartida para garantizar que el rendimiento del sensor se amplíe con el crecimiento del tráfico.

En el lanzamiento de hoy también se incluyen mejoras en Corelight Encrypted Traffic Collection (ETC). El Corelight ETC está diseñado para expandir la respuesta de los defensores a incidentes, la búsqueda de amenazas y las capacidades forenses en entornos cifrados mediante la generación de información sobre el tráfico SSH y TLS que indican un riesgo potencial de seguridad.

Los nuevos conocimientos desarrollados por el equipo de investigación de Corelight incluyen:

  • Detección de reenvío de agentes SSH: Vea cuándo se produce el reenvío de agentes SSH entre clientes y servidores, lo que puede indicar un movimiento lateral donde los adversarios han comprometido las credenciales SSH.
  • Detección SSH MFA: Vea cuándo las conexiones SSH usan autenticación multifactor (MFA), que puede ayudar a los analistas a descartar otras explicaciones de anomalías en las conexiones SSH. Esta detección también puede ayudar a los equipos a monitorear servidores SSH externos para el cumplimiento de MFA.
  • Detección SSH no interactiva: Revele cuándo las conexiones SSH no solicitan un terminal interactivo y, en su lugar, usan SSH como un túnel de reenvío de puertos, lo que puede indicar un túnel SSH malicioso.
  • Detección de túnel inverso SSH: Revelar cuándo un cliente se conecta a un servidor SSH y proporciona al servidor una terminal interactiva, lo que puede indicar un túnel SSH malicioso.
  • Detección de DNS sobre HTTP (DoH): Revele cuándo se realizan consultas de DNS a proveedores conocidos de DNS a través de HTTPS (DoH) para proporcionar información sobre el tráfico de DNS que, de otro modo, estaría oculto.

“La mayor parte del tráfico de la red, comúnmente entre el 60 y el 70 por ciento, está encriptado y el desencriptado a menudo está prohibido por razones de política o privacidad, pero los defensores aún necesitan información sobre la actividad maliciosa en su red”, dijo Dye. «Las nuevas capacidades de la colección de tráfico cifrado de Corelight revelan un conjunto de comportamientos que iluminan los pasos de los atacantes en la red».

La integración de Suricata en el sensor Corelight AP 3000, así como las mejoras en la colección de tráfico cifrado, están disponibles en la actualización de Corelight versión 19, disponible para los clientes en la actualidad.

Disponibilidad

La versión 19 del software Corelight ya está disponible para los clientes. Puede encontrar más información sobre cada una de las mejoras de hoy en el sección de productos del sitio web de Corelight.

El equipo de productos de Corelight ha publicado entradas de blog con más detalles sobre nuestra Integración Suricata y mejoras en la colección de tráfico cifrado.

Sobre Corelight

Corelight crea potentes soluciones de análisis de tráfico de red (NTA) que transforman el tráfico de red en registros enriquecidos, archivos extraídos e información de seguridad para una respuesta a incidentes, búsqueda de amenazas y análisis forense más efectivos. Corelight Sensors se ejecuta en Zeek (anteriormente llamado «Bro»), la herramienta de monitoreo de seguridad de red de código abierto utilizada por miles de organizaciones. Los sensores Corelight simplifican la implementación de Zeek y amplían su rendimiento y capacidades. Los clientes globales de Corelight incluyen compañías Fortune 500, importantes agencias gubernamentales y grandes universidades de investigación. Corelight tiene su sede en San Francisco, California. Para obtener más información, visite https://www.corelight.com o siga a @corelight_inc.

Sobre OISF

La Open Information Security Foundation (OISF), fundada en 2009, es una organización sin fines de lucro 501 (c) 3 creada para construir una comunidad y respaldar tecnologías de seguridad de código abierto como Suricata. El equipo de clase mundial de OISF de expertos en seguridad cibernética y de la información, los miembros del consorcio y una comunidad de código abierto vibrante y activa, juntos, impulsan el éxito de Suricata. Para obtener más información, visite https://www.www.oisf.net.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar