Información de seguridad

Complemento de seguridad con análisis a nivel de paquetes en el perímetro de la red para obtener información de seguridad rápida y útil

LiveAction LiveWire security insights solution brief highlighting challenge and transforming network visibility into security intelligence
Puntos claveEsta idea clave se generó mediante modelos de lenguaje grande (LLM) que rastrearon la página y elaboraron un resumen del contenido.

Este artículo presenta Security Insights, un complemento de LiveWire accesible desde LiveNX que ofrece análisis a nivel de paquete en el perímetro de la red para transformar la telemetría de flujos y paquetes en inteligencia de seguridad escalable y utilizable. Resuelve el problema de la visibilidad fragmentada entre equipos de red y seguridad y las limitaciones del NDR tradicional —como costes, latencia y puntos ciegos— mediante detección en tiempo real, forense local y correlación multitelemétrica que acelera la investigación y la respuesta. Los resultados incluyen detección y respuesta en minutos, reducción de la complejidad operativa, integración con SIEM/SOAR/XDR y preservación de datos forenses sin mover grandes volúmenes a la nube.

¿Cómo mejora Security Insights la detección frente a las soluciones NDR tradicionales?

Security Insights mejora la detección al realizar análisis a nivel de paquete y telemetría en el perímetro (Edge-first), evitando la transferencia masiva de datos a la nube que introduce latencia y costes en los NDR tradicionales. Aprovecha datos completos de NetFlow, IPFIX, sFlow y registros unificados de Cisco, además de las capturas forenses de LiveWire (LiveFlow), para ofrecer una visibilidad unificada en LAN, WAN, SD-WAN, centros de datos y nube. Este enfoque distribuido y multitelemétrico permite detectar anomalías en tiempo real, correlacionar hallazgos entre entornos y reducir los puntos ciegos que dejan los sistemas NDR centralizados.

¿Qué flujo de trabajo siguen LiveNX y LiveWire cuando Security Insights detecta una amenaza?

Cuando Security Insights detecta una anomalía, el flujo comienza con Detection en Security Insights, que clasifica el hallazgo y lo asocia a marcos como MITRE ATT&CK y OWASP; a continuación LiveNX realiza Analysis agregando y enriqueciendo telemetría de flujos (NetFlow, IPFIX, sFlow y registros de alta velocidad) para localizar subredes, endpoints y patrones de comunicación; finalmente LiveWire efectúa Forensics mediante captura y análisis a nivel de paquete (LiveFlow) para confirmar cargas útiles, reconstruir sesiones y extraer evidencias. Los resultados se integran con SIEM, SOAR y XDR para respuesta automatizada y remediación coordinada.

¿Qué beneficios concretos han mostrado los casos de uso descritos por Security Insights?

Los casos de uso muestran beneficios claros: en el ejemplo de tráfico TLS en puerto no estándar Security Insights detectó y permitió aislar una pasarela IoT, evitando persistencia C2 y reduciendo el tiempo de detección de horas a minutos; en la búsqueda proactiva contra dominios maliciosos se identificaron endpoints comunicándose con infraestructura C2, se capturaron cargas útiles y se bloquearon dominios mediante SOAR antes de pérdidas significativas; y en el caso de certificados TLS abusados se confirmó uso de certificados autofirmados por malware, se revocaron certificados y se preservaron pruebas forenses a nivel de paquetes, mejorando cumplimiento y preparación de auditorías.

Reto

Muchas empresas operan con una visibilidad fragmentada entre los equipos de red y de seguridad. Además, las soluciones tradicionales de detección y respuesta de red (NDR) son complejas, costosas y están aisladas entre sí, lo que deja puntos ciegos que los atacantes pueden aprovechar.

Solución

Security Insights, un complemento de BlueCat LiveWire accesible a través de BlueCat LiveNX, ofrece una detección más rápida, investigación forense y búsqueda proactiva de amenazas. Transforma rápidamente los datos existentes en el perímetro de la red en inteligencia de seguridad escalable y útil, sin los puntos ciegos del NDR tradicional.

Ventajas

  • Detecta anomalías y responde en cuestión de minutos, no de horas
  • Maximice el retorno de la inversión (ROI) aprovechando los datos de flujo sin procesar y las capturas de paquetes existentes
  • Reducir la complejidad gracias a una visibilidad unificada de las operaciones de red y seguridad

Transformar la visibilidad de la red en inteligencia de seguridad útil

Los ciberdelincuentes no se limitan a un único dominio: se desplazan lateralmente por los terminales, los servidores, las redes, los entornos en la nube y los centros de datos. Sin embargo, la mayoría de las empresas siguen operando con una visibilidad fragmentada: el equipo de redes ve una parte, el equipo de seguridad ve otra, y siguen existiendo puntos ciegos. Es precisamente ahí donde prosperan los atacantes.

Las empresas confían en soluciones de gestión de información y eventos de seguridad (SIEM), orquestación, automatización y respuesta de seguridad (SOAR) y detección y respuesta ampliadas (XDR) para proteger sus redes. Sin embargo, las herramientas tradicionales de detección y respuesta de red (NDR), que ingieren grandes volúmenes de datos de paquetes en sistemas centralizados basados en la nube para su análisis, suelen requerir un gran volumen de transferencia de datos, resultar caras y ser lentas.

Al mismo tiempo, los datos de paquetes y flujos constituyen una rica fuente de información sobre seguridad. Sin embargo, con demasiada frecuencia, las organizaciones limitan estos datos a la supervisión del rendimiento, dejando sin aprovechar todo su potencial forense y de detección. Aprovechar y analizar la telemetría de paquetes y flujos directamente en el perímetro de la red elimina las lagunas de visibilidad, acelera la detección y evita la sobrecarga que supone el NDR tradicional.

Este resumen de la solución analiza cómo Security Insights, un complemento de LiveWire —la solución de captura de paquetes de red y análisis forense de BlueCat— y accesible a través de LiveNX —la plataforma de observabilidad de red de BlueCat—, proporciona a los equipos de red y seguridad inteligencia de seguridad escalable y útil, sin puntos ciegos. Este resumen explica cómo funciona Security Insights y ofrece ejemplos concretos de casos de uso en escenarios de detección de ataques. Además, destaca los principales elementos diferenciadores respecto a las soluciones NDR tradicionales y describe sus principales ventajas.

Descripción general de la solución

Security Insights es una alternativa moderna al NDR. Mientras que las herramientas tradicionales son costosas, complejas y no detectan el tráfico crítico, Security Insights ofrece detección en tiempo real de anomalías y comportamientos sospechosos mediante un análisis a nivel de paquete que se extiende hasta el perímetro de la red.

El análisis de los flujos y los datos de paquetes de LiveNX y LiveWire sin necesidad de trasladar datos innecesariamente a la nube permite a los equipos de seguridad obtener información útil más rápidamente. Los resultados se integran a la perfección en las plataformas SIEM, SOAR y XDR, lo que se traduce en una protección escalable, una reducción del riesgo y una mayor resiliencia sin las ineficiencias del NDR.

Tanto si se implementa en un único sitio como en una empresa global, Security Insights proporciona una base coherente y escalable para la defensa híbrida de la red, actuando como una capa de inteligencia entre la red y su pila de operaciones de seguridad.

Cisco Secure, LiveAction, Splunk, and XDR integration for network analytics, telemetry, NetFlow, and packet capture

Figura 1. Arquitectura de Security Insights

Cómo funciona

Como complemento de LiveWire accesible a través de la interfaz de usuario de LiveNX, Security Insights funciona de forma nativa en los entornos existentes de LiveNX y LiveWire, transformando la observabilidad de la red en inteligencia de seguridad útil. Utilizando los mismos datos que alimentan la supervisión del rendimiento, permite una detección práctica de la red sin añadir herramientas ni complejidad. Al aprovechar la telemetría de flujos de LiveNX y el análisis a nivel de paquetes de LiveWire, Security Insights correlaciona estos hallazgos en todos los entornos —LAN, WAN, SD-WAN, centro de datos y nube—, lo que proporciona a los equipos una visibilidad completa de dónde y cómo surgen las amenazas.

LiveWire proporciona una visibilidad forense en profundidad mediante la captura y el análisis a nivel de paquetes en el perímetro de la red. No solo captura cargas útiles —tanto cifradas como en texto claro—, sino que también identifica patrones y reconstruye sesiones. Este proceso de captura y análisis se denomina LiveFlow. A continuación, estos registros de LiveFlow se envían a LiveNX, que detecta anomalías mediante la agregación y el enriquecimiento de datos telemétricos exhaustivos del tráfico de red. Los datos de flujo de tráfico se recopilan en LiveNX a partir de NetFlow, IPFIX, sFlow y los registros de alta velocidad y unificados de Cisco.

A continuación, el panel de control centralizado de LiveNX muestra estas amenazas detectadas y las anomalías de tráfico. Security Insights es una plataforma abierta y basada en estándares, lo que permite la correspondencia con los marcos Open Worldwide Application Security Project (OWASP) y MITRE ATT&CK, así como una integración perfecta con herramientas SIEM, SOAR y XDR para una respuesta coordinada. Si una amenaza detectada se observa por primera vez en un SIEM u otra solución de seguridad, los equipos de seguridad y de redes pueden aprovechar LiveNX y LiveWire para realizar una investigación más exhaustiva.

Tanto LiveWire como LiveNX son componentes necesarios para Security Insights.

Casos de uso

En esta sección se describen tres escenarios de detección reales que demuestran las ventajas de utilizar Security Insights.

Caso de uso 1: Detección de actividad anómala en el protocolo Transport Layer Security

MITRE ATT&CK ID T1571 – Puerto no estándar

Una empresa de logística global experimenta picos inesperados de tráfico cifrado en puertos no estándar. Security Insights detecta automáticamente este patrón como «Cifrado inesperado en un puerto reservado por la IANA», un claro indicador de actividad maliciosa de tunelización utilizada para ocultar comunicaciones de comando y control (C2).

Flujo de trabajo de investigación:

  1. Detection (Security Insights)
    • Detecta tráfico cifrado en el puerto 8088, que no suele utilizarse para comunicaciones seguras.
    • Asigna la detección a MITRE T1571 y marca el evento.
    • Realiza cruces de referencias con los puertos reservados por la IANA para su validación y avisa automáticamente al equipo de operaciones de seguridad.
  2. Analysis (LiveNX)
    • Visualiza las subredes afectadas e identifica los sistemas que generan el tráfico anómalo.
    • Correlaciona los registros de flujo a través de enlaces WAN y SD-WAN, lo que confirma que el patrón se limita a una única pasarela de IoT.
    • Detecta intervalos de comunicación recurrentes, un rasgo característico de las balizas.
  3. Forensics (LiveWire)
    • Captura e inspecciona paquetes para confirmar las cargas útiles cifradas.
  4. Response
    • El equipo de operaciones de seguridad aísla la pasarela de IoT y bloquea todo el tráfico saliente en los puertos no autorizados.
    • Los datos forenses se exportan al SIEM para su validación tras el incidente y la elaboración de informes de cumplimiento normativo.

Resultado: la detección temprana impidió que el malware estableciera persistencia C2, redujo el tiempo de detección de horas a minutos y mejoró la visibilidad del tráfico cifrado sin la sobrecarga que supone el descifrado.

Security Insights dashboard displaying top source and destination IPs, ports, severities, sources, and findings over time

Figura 2. Panel de resumen y vista detallada de Security Insights en LiveNX

Caso de uso 2: Búsqueda proactiva de amenazas con indicadores de inteligencia sobre amenazas

ID de MITRE ATT&CK: T1102 – Servicio web

La fuente de inteligencia sobre amenazas de una entidad financiera informa de dominios sospechosos asociados a una reciente campaña de infraestructura C2. Mediante Security Insights, el equipo de seguridad busca de forma proactiva en toda su red híbrida cualquier indicio de contacto con dichos dominios.

Flujo de trabajo de investigación:

  1. Detection (Security Insights)
    • Importa indicadores de compromiso de inteligencia sobre amenazas desde una fuente externa y los asocia a MITRE T1102.
    • Realiza una correlación en toda la red utilizando telemetría de flujos para identificar las comunicaciones salientes hacia dominios sospechosos.
    • Se detectan múltiples puntos finales que se comunican con el dominio app-sync-storage[.]net, clasificado como un posible servicio web C2.
  2. Analysis (LiveNX)
    • Los analistas utilizan LiveNX para visualizar la frecuencia y la duración de las comunicaciones por terminal.
    • Correlaciona las consultas de DNS y los registros de flujo para confirmar contactos repetidos procedentes de una única subred dentro de la red de I+D.
    • Detecta patrones inusuales en el tamaño de los datos compatibles con la filtración a través de HTTPS.
  3. Forensics (LiveWire)
    • Realiza la captura de paquetes de los hosts marcados para confirmar el comportamiento de la carga útil.
    • Identifica las solicitudes POST que contienen datos codificados en Base64 dirigidos al dominio sospechoso.
    • Extrae la carga útil para su análisis en un entorno aislado con el fin de confirmar la exfiltración maliciosa.
  4. Response
    • Envía datos al SOAR para bloquear automáticamente los dominios comprometidos y los rangos de IP asociados.

Resultado: Se detuvieron las comunicaciones C2 encubiertas antes de que se produjeran pérdidas significativas para la empresa.

Caso de uso 3: Investigación forense de un ataque de uso indebido de certificados TLS

ID de MITRE ATT&CK: T1587.003 – Certificados digitales

Un gran proveedor de servicios sanitarios detecta un comportamiento irregular de los certificados SSL en todos sus centros de datos. Security Insights señala que se están utilizando múltiples certificados TLS autofirmados en el tráfico saliente, lo que podría indicar que hay malware utilizando certificados falsificados para eludir los controles de inspección.

Flujo de trabajo de investigación:

  1. Detection (Security Insights)
    • Identifica múltiples certificados TLS autofirmados y no fiables que se utilizan en las conexiones salientes internas.
    • Se asocia a MITRE T1587.003 y se clasifica como «Actividad inusual de certificados».
  2. Analysis (LiveNX)
    • Los analistas utilizan la visualización de flujos para aislar el tráfico procedente de los sistemas afectados.
    • Confirma sesiones TLS repetitivas y de corta duración desde una subred de dispositivos médicos IoT hacia una IP externa.
    • Detecta intervalos anómalos en el protocolo de enlace TLS y discrepancias en los cifrados.
  3. Forensics (LiveWire)
    • Captura paquetes para un análisis forense completo.
    • Confirma que las conexiones salientes contienen comandos cifrados ocultos dentro de las cargas útiles TLS.
    • Identifica el uso de certificados autofirmados generados por el malware para establecer la persistencia.
  4. Response
    • Integra los resultados en el SIEM y el SOAR para la revocación automatizada de certificados y el envío de alertas.
Live packet capture interface showing HTTP and TCP traffic details with packet list, metadata, and hex viewer

Figura 3. Panel de datos de paquetes individuales de Security Insights utilizado para una búsqueda forense

Resultado: se evitó la persistencia de C2 mediante certificados TLS falsificados, se mejoró el cumplimiento normativo y la preparación para auditorías al conservar pruebas a nivel de paquetes, y se reforzó la gestión de certificados en toda la organización.

Factores diferenciadores clave

Mientras que los sistemas NDR tradicionales son centralizados, complejos y costosos, Security Insights es distribuido, eficiente e inmediato. Transforma rápidamente los datos existentes de LiveNX y LiveWire en inteligencia de seguridad útil y escalable, sin los puntos ciegos ni las cargas de los sistemas NDR tradicionales.

Estos cuatro factores diferenciadores clave distinguen a Security Insights de las soluciones NDR:

Calidad y visibilidad de los datos sin igual, sin los puntos ciegos del NDR

Las soluciones NDR tradicionales suelen verse limitadas por fuentes de datos restringidas o integraciones específicas de cada proveedor. Security Insights ofrece una visibilidad unificada y de alta fidelidad en todos los dominios, LAN, WAN, SD-WAN, centros de datos y la nube, independientemente del proveedor o la arquitectura. Recopila datos de telemetría de múltiples sistemas y los correlaciona en una única vista. Como resultado, mientras que las herramientas NDR solo ven fragmentos, Security Insights ofrece una visibilidad de extremo a extremo.

Ingesta rica y multitelemétrica: mientras que el NDR depende de fuentes parciales

Las soluciones NDR tradicionales suelen basarse en datos de paquetes muestreados o filtrados para reducir el volumen de ingesta, lo que sacrifica la precisión y el contexto. Security Insights agrega y enriquece datos completos de telemetría, NetFlow, IPFIX, sFlow, así como registros de alta velocidad y registros unificados de Cisco para identificar anomalías y patrones ocultos en toda la estructura de la red. Este enfoque ofrece a los analistas una visión completa, no solo un resumen de muestras de tráfico.

Captura completa de paquetes y análisis forense en profundidad, sin el coste ni el retraso que ello conlleva

La mayoría de las herramientas de NDR transfieren enormes conjuntos de datos de paquetes a una nube centralizada o a un lago de datos para su análisis, lo que genera problemas de latencia, costes y cumplimiento normativo. Gracias a la tecnología de LiveWire, Security Insights realiza análisis de paquetes con calidad forense de forma local en el perímetro de la red. Los equipos pueden pasar al instante de los registros de flujo a las cargas útiles completas de los paquetes para llevar a cabo investigaciones precisas sin necesidad de transferir los datos, sin incurrir en retrasos ni en los gastos que supone recurrir a la nube para el análisis.

icon used for an eye

Análisis «Edge-first»: detección en tiempo real del origen de las amenazas

Las arquitecturas NDR tradicionales analizan los datos después de que hayan sido transportados y agregados, lo que introduce retrasos que los atacantes aprovechan. Security Insights cambia este modelo, generando información directamente en el perímetro, donde se originan muchas amenazas. Al detectar anomalías en tiempo real, acorta el tiempo de permanencia, reduce los costes operativos y garantiza que los datos confidenciales nunca salgan de los entornos controlados.

Ventajas de la solución

Security Insights permite a las empresas que utilizan LiveNX y LiveWire modernizar la detección y la respuesta ante amenazas con potentes capacidades que simplifican las operaciones, aceleran las investigaciones y refuerzan los resultados de seguridad en todos los entornos. Con Security Insights, los equipos de redes y seguridad obtienen las siguientes ventajas:

Detección y respuesta más rápidas

Reduzca el tiempo de investigación de horas a minutos gracias a la visibilidad en tiempo real y a la información útil.

Detección avanzada de amenazas

Aprovecha los datos de flujo sin procesar y sin agregar para descubrir amenazas ocultas y acelerar los análisis forenses.

Visibilidad unificada

Reducir la complejidad al reunir los datos de red y seguridad en una única vista correlacionada.

Security Insights dashboard with MITRE filter options and multiple donut charts for applications, categories, sources, ports, and destinations

Figura 4. Filtro de «Security Insights» por ID de MITRE ATT&CK

Apéndice: Conclusiones sobre seguridad

Este apéndice ofrece una lista de hallazgos de seguridad generados por LiveNX y LiveWire. Estos hallazgos ponen de relieve anomalías, comportamientos sospechosos e incumplimientos de políticas detectados mediante el análisis de flujos y paquetes. Aunque no se trata de un catálogo exhaustivo de NDR, representan información de gran valor que acelera la detección, la investigación y la respuesta. A medida que LiveNX y LiveWire evolucionan, esta biblioteca de hallazgos sigue ampliándose, lo que garantiza que los equipos de red y de seguridad se beneficien de una mayor visibilidad y de resultados más sólidos con el paso del tiempo.

Security finding MITRE ATT&CK ID (if applicable)
Encryption On IANA Reserved Port T1571
Kerberos Detected
Kerberos RC4 Detected
Malicious IP or Domain Detected
Microsoft IP Detected
NTLM Protocol Detected
RDP On Non-Standard Port T1571
Threat Intel Indicator T1102
TLS Certificate Anomalies Detected TLS
TLS Client Excessive Handshakes TLS
TLS Forbidden Version T1071.002
TLS Long Lived Connection TLS
TLS Missing SNI T1587.003
TLS Self-Signed Certificate T1587.003
TLS Unusual Certificate T1587.003
Unassigned Encryption
Unauthorized Application Use T1071.002
Unexpected Encryption T1571
TLS Unexpected Plaintext T1571
TLS Weak Cipher Suite
RDP Connection After Brute Force Attempt T1021
SSH Connection After SSH Brute Force Attempt T1021
Unauthorized Application Use
RDP Brute Force Attempt Detected T1110
SSH Brute Force Attempt Detected T1110
New Encryption Protocol T1571
Found RDP On Non-Standard Port T1571
New Encryption User T1573
New Encryption Service T1573
New SSH Client Version Found T1573
New SSH Server Version Found T1573
New TLS Version Found T1573
Insecure/weak cipher T1587.003
New TLS SHA1 Found T1588
New TLS JA3C Found T1588.004
New TLS JA3S Found T1588.004
Lateral Movement Anomaly <application>
Clique Expansion
Interface Volumetric Anomaly
Application Interface Volumetric Anomaly
DSCP Interface Volumetric Anomaly
Application Site Volumetric Anomaly
Site Volumetric Anomaly

Próximos pasos

Descubre cómo Security Insights puede transformar tus operaciones de red.

Operaciones de red inteligentes (NetOps) de BlueCat

Las soluciones de NetOps inteligente de BlueCat proporcionan los análisis y la inteligencia necesarios para habilitar, optimizar y proteger la red con el fin de alcanzar los objetivos empresariales. Con una suite de NetOps inteligente, las organizaciones pueden modificar y modernizar la red más fácilmente según lo exijan los requisitos empresariales.

Isometric blue UI tiles showing gear, shield, chip, and magnifying glass icons on a grid background

📣  Now live: Explore BlueCat Horizon, our SaaS-first Intelligent NetOps platform.