Glosario
Los términos, definidos sin rodeos.
Escrito para el lector que no ha pasado la última década en seguridad de red. Las definiciones siguientes son como CybrIQ utiliza cada término en el sitio, en lenguaje claro.
- Capa 1
- La capa física de una red. Donde se envían señales eléctricas por cobre o fibra. El modelo OSI coloca siete capas encima: conmutación en Capa 2, enrutamiento IP en Capa 3, TCP en Capa 4, hasta llegar a aplicaciones en Capa 7. La mayoría de las herramientas de seguridad operan en Capa 2 y superiores. CybrIQ opera en Capa 1, por lo que puede identificar dispositivos que no coinciden con lo que dicen de sí mismos en capas superiores.
- Device DNA™
- La firma patentada de CybrIQ para cada dispositivo conectado, derivada del comportamiento observable en Capa 1: patrón de negociación de enlace, OUI de MAC, cadencia de paquetes, forma de respuesta y características temporales. La firma no depende de lo que el dispositivo dice de sí mismo, por eso detecta dispositivos cuyos descriptores autodeclarados son incorrectos, falsificados o modificados aguas arriba.
- Drift
- Un cambio entre el dispositivo que se conocía previamente en un puerto y el dispositivo que está en él en este momento. Se cambió el codec, el puerto se reasignó, apareció un switch no gestionado, llegó el portátil de un contratista. CybrIQ detecta drift comparando la firma actual de Capa 1 con la anterior, y la presenta como un evento discreto sobre el que el equipo de seguridad puede actuar.
- NAC (Control de acceso a la red)
- Una clase de herramienta de seguridad que controla qué dispositivos se permiten en la red corporativa. NAC opera en Capa 2 y superiores; ve la VLAN corporativa y aplica políticas de admisión sobre ella. NAC no ve el comportamiento de Capa 1, por eso un switch no gestionado detrás de una sola toma se ve como un endpoint para NAC y como cuatro para CybrIQ.
- EDR (Detección y respuesta de endpoint)
- Una clase de herramienta de seguridad que ejecuta un agente en endpoints gestionados (portátiles, servidores) para detectar y responder a amenazas en esos endpoints. EDR ve lo que ve el agente. Los dispositivos que se entregan sin clase de agente (codecs, cartelería, IoT, equipo biomed, kioscos) quedan fuera de la cobertura de EDR. CybrIQ los identifica por el cable, no por un agente.
- Evidencia de Capa 1 defendible ante auditoría
- Un registro por dispositivo, por puerto y fechado de qué había en la red y cómo se verificó su identidad, en una forma que la firma de auditoría acepta tal cual. Distinto del «estado operativo» (el sistema de control dice que la sala está en verde). La auditoría pide el cable; CybrIQ lo produce.
- Brecha de visibilidad
- El espacio entre lo que NAC, EDR y la gestión de activos pueden ver, y lo que realmente está en la red. Codecs de salas de conferencias, switches no gestionados, equipo de contratistas, dispositivos gestionados por proveedor, sensores IoT que se entregan sin clase de agente. La brecha de visibilidad es de donde salen los hallazgos de auditoría y por donde entra el atacante.
- Registro de activos
- La lista interna de dispositivos que la organización cree tener en la red. Construida a partir de registros de compras, tickets de despliegue e inventarios biomed/HTM. Autoritativa el día uno y ficción al siguiente trimestre, porque la red cambia más rápido que la hoja de cálculo. Más en «El registro de activos miente.»
- Sesión de trabajo
- El encuadre de CybrIQ para un compromiso delimitado de 30 minutos. Cinco minutos de delimitación, veinte minutos ejecutando la plataforma en vivo contra uno de los entornos del cliente, cinco minutos de decisión. El artefacto al final (un inventario Device DNA™ de una sala o un edificio) se queda con el cliente en cualquier caso.
- Registro de Capa 1
- La salida continua, por dispositivo y por puerto, de la plataforma CybrIQ. Distintos alcances (RoomIQ a nivel de sala, SpacesIQ a nivel de edificio) alimentan el mismo registro. El registro es la base de hechos subyacente de la que extraen el paquete de evidencia, los eventos de drift y los mapeos de marcos.
- NDAA Sección 889
- Una regulación federal estadounidense que prohíbe el equipamiento de telecomunicaciones cubierto de Huawei, ZTE, Dahua, Hikvision y Hytera en entornos de contratistas federales. CybrIQ identifica a estos proveedores por Device DNA™ sin importar la etiqueta, y las políticas los bloquean al detectarlos. Ver Cumplimiento NDAA 889 para el detalle.
- Huella de dispositivo
- Una firma derivada de cómo se comporta un dispositivo en la red, utilizada para identificarlo. La huella conductual (usada por las plataformas de clasificación) lee el comportamiento en capas superiores. La huella de Capa 1 (Device DNA™ de CybrIQ) lee el comportamiento eléctrico en el cable. Las dos son complementarias.
- Agente
- Una pieza de software instalada en un dispositivo para monitorizarlo o gestionarlo. Muchas herramientas de seguridad dependen de agentes para su visibilidad (EDR, MDM, gestión de activos basada en agente). Los dispositivos que no pueden aceptar un agente (codecs, sensores IoT, equipo biomed, reproductores de cartelería) quedan fuera de la cobertura basada en agente. CybrIQ no requiere un agente en los endpoints monitorizados.
- Capa 2
- La capa de enlace de datos de una red. Donde los switches reenvían tramas usando direcciones MAC. NAC opera en Capa 2 y superiores. La brecha de visibilidad que CybrIQ cierra es todo lo que hay debajo.
- Paquete de evidencia
- El artefacto defendible ante auditoría de CybrIQ: un registro por dispositivo, por puerto y fechado, delimitado al entorno del cliente y pre-mapeado al marco que se está auditando. La forma que cada vez más firmas de auditoría aceptan en una primera lectura.
El vocabulario aterriza más rápido sobre un entorno real que en un glosario.
Trae una de tus salas o una planta de un edificio. Al final de la sesión de trabajo, los términos anteriores significarán algo específico para tu red.