Productos y Servicios PRODUCTOS Y SERVICIOS

Cómo cuatro verdades del mundo real sobre la ciberseguridad dieron forma a nuestro enfoque de XDR

En los últimos años, la protección de los endpoints se ha vuelto exponencialmente más crítica. A medida que el trabajo se ha vuelto más fluido, los límites tradicionales de la ciberseguridad se han disuelto. Ahora cada usuario tiene varios dispositivos y está trabajando desde cualquier lugar, accediendo a datos que pueden no estar almacenados o procesados en tu propia infraestructura.

Mientras tanto, los ataques son cada vez más sofisticados, a menudo abarcando varios dispositivos. ¿Cómo nos protegemos contra un ataque de phishing o de ingeniería social que primero llega por mensaje de texto y luego usa esa información para generar comportamientos de riesgo en tu escritorio?

Significa que la importancia de proteger los endpoints es ahora mayor. Y necesitas ese contexto más amplio en un momento en el que las defensas deben volverse más flexibles y más seguras.

Y es esta combinación de factores la que está impulsando la evolución de EDR (detección y respuesta de endpoints) a XDR (detección y respuesta extendidas). Esto ofrece una visión más completa, donde la protección del endpoint se beneficia de las señales en todo el ecosistema de ciberseguridad, y viceversa.

En teoría, XDR ofrece un valioso conjunto de capacidades que ayudan a proteger el complicado lugar de trabajo actual. Pero en la práctica, una herramienta solo es útil si se adapta a tu forma de trabajar. Entonces, cuando diseñamos Sophos XDR, nos ceñimos a un modelo mental basado en el mundo real de la ciberseguridad y la TI.

Prevenir antes de detectar, porque el ancho de banda es limitado

Si eres como los profesionales de la informática y la seguridad que conozco, no tienes tiempo para investigar cada pequeño problema. Y con la gran cantidad de información capturada por XDR, podrías pasar fácilmente todo tu tiempo persiguiendo sombras. Así que la relación señal-ruido es una prioridad absoluta.

Y una de las principales formas de aumentar esa proporción es apartar las amenazas obvias antes de que el sistema comience a enviar alertas. Al hacerlo, reduces la “zona gris”, es decir, las señales potencialmente sospechosas que no pueden clasificarse automáticamente como buenas o malas y necesitan una mayor investigación para determinar si son signos de actividad maliciosa.

Por lo tanto, la forma en que XDR funciona junto con sus otras soluciones de ciberseguridad es realmente importante.

Nadie está más centrado en prevenir ataques que Sophos. Nuestra protección de endpoint Intercept X reduce la superficie de ataque para que las amenazas no puedan llegar a tus sistemas y evita que los ataques se ejecuten con la tecnología anti-ransomware y anti-exploit líder en el mundo.

Estas poderosas capacidades de protección te permiten centrar tus esfuerzos en menos detecciones y mucho más precisas. Ve directamente a la aguja en lugar de buscar en el pajar. Al eliminar la gran mayoría de los problemas con antelación, puedes enfocar tu experiencia en los casos en los que tiene el mayor impacto, por ejemplo, detectar la diferencia entre un ciberataque y el uso legítimo de TI que podría generar señales sospechosas, como el uso de recursos en la nube para crear una demostración.

Sí, es una detección extendida, pero qué puedo decir, la protección está en nuestro ADN.

Información de señales enriquecida, porque mantenerse al día con las amenazas es agotador

Cuanto más complicado sea tu entorno informático, mayor será la superficie de ataque. Cada día aparecen nuevos comportamientos y URLs sospechosos. Aparte de todo lo demás, no es razonable esperar que guardes toda esa información sobre amenazas en tu cabeza.

Así que no te lo pedimos.

En cambio, cuando marcamos algo sospechoso, potenciamos la señal con todo el contexto relevante que podamos reunir. Clasificamos y codificamos por colores las alertas para que siempre sepas dónde buscar primero y sugerimos acciones de corrección, según lo que el sistema puede ver.

Para una aplicación no reconocida, ese contexto puede incluir el uso del aprendizaje automático para analizar su comportamiento potencial de antemano y proporcionarte una puntuación de riesgo. También podemos contarte sobre su reputación. ¿Es simplemente una nueva aplicación de una fuente confiable o algo más preocupante? Podemos ver si la ubicación geográfica es correcta y conectarlo con cualquier análisis relevante de terceros.

Si la aplicación está firmada, es fácil cambiar de rumbo y profundizar en la empresa de origen: puedes tirar del hilo que quieras hasta que estés seguro de que tienes la información que necesitas para tomar la decisión correcta.

Este enfoque te permite investigar rápida y eficazmente tu zona gris (ya reducida) y tomar medidas oportunas y eficaces para proteger tu organización.

Transferencia perfecta a los cazadores de amenazas, porque nunca hay suficientes expertos

Por supuesto, de vez en cuando habrá algo que no sepas. Y en un mundo ideal, siempre podrías escalar algo de lo que no estás seguro a un experto a tiempo completo que vive y respira en busca de amenazas.

En realidad, no hay suficientes de esos expertos, por lo que la mayoría de las empresas no tienen uno, y mucho menos un equipo. Sophos, por otro lado, tiene muchos de ellos. Identificar nuevas amenazas es una gran parte de lo que hacemos. Nuestro XDR facilita el uso de nuestros servicios administrados para aumentar tu experiencia cuando lo necesites.

Lo bueno es que nuestros cazadores de amenazas usan los mismos sistemas que tú. Hablarás con alguien que esté mirando exactamente los mismos paneles y datos. La única diferencia es que son expertos a tiempo completo en ciberamenazas. Eso significa que pueden ver tu perspectiva al instante y darle una respuesta rápida y fácil en tiempo real. Además, puedes desarrollar tu propio conocimiento viendo cómo lo hacen.

Una máquina del tiempo incorporada, porque las amenazas pueden surgir de cualquier lugar

Uno de los desafíos de un panorama de amenazas en rápida evolución es que nunca se sabe qué datos serán valiosos. Por ejemplo, ¿quién hubiera sabido que el servicio Shadow Copy en Windows sería un indicador importante de ciberseguridad, hasta que los autores de ransomware comenzaron a apagarlo para evitar que sus víctimas recuperaran un archivo de respaldo?

Eso presenta a los desarrolladores de XDR una elección difícil. Una amenaza emergente puede requerir que verifiques cualquier cosa, pero tu lago de datos no puede almacenar todo. Para la mayoría de los clientes, el gasto de mantener y analizar esa cantidad de datos sería prohibitivamente alto.

Se nos ocurrió una buena solución. Usamos recursos sobrantes en los endpoints para registrar todos los datos de los sensores locales, mientras que solo los más importantes se almacenan en el lago de datos. De esa manera, cuando una nueva amenaza hace que un nuevo conjunto de datos sea importante, ya está registrado y es de fácil acceso.

Piense en una película policíaca, donde los detectives identifican a un nuevo sospechoso y solicitan las imágenes de CCTV del día de los establecimientos locales para que puedan rastrear sus movimientos. Las cámaras funcionan todo el tiempo, pero las cintas solo se ven si hay nueva información que las hace importantes. Es un poco así.

Seguridad avanzada de endpoints para el mundo real de TI

En general, la parte más importante de nuestro modelo mental para XDR es una idea simple: debe funcionar como tú.

Como profesional de la informática o ciberseguridad, sabrás lo infructuoso que es intentar dictar cómo trabajan tus usuarios. Si un procedimiento o aplicación no encaja, simplemente lo evitarán, lo que generalmente hace que tus sistemas sean menos seguros en el proceso.

En cierto modo, nos ocurre lo mismo cuando desarrollamos nuestras soluciones. Tienes sus propias aplicaciones y flujos de trabajo preferidos, y siempre hay algo nuevo. Y es posible que desees combinar nuestra tecnología con otro proveedor. Por lo tanto, debemos hacerlo abierto, extensible y accesible. Necesita trabajar contigo, independientemente de cómo trabajes hoy y en el futuro.

Por eso hemos creado Sophos XDR para que se adapte a tu forma de trabajar. Lleve a cabo su investigación y respondas tú mismo, o hazlo con cazadores de amenazas expertos en un servicio administrado. O haz un poco de ambos; la solución funcionará contigo.

Para obtener más información sobre Sophos XDR, contacta con un representante de Sophos o visita nuestra página web. Si ya estás utilizando la plataforma de gestión de Sophos Central, puede activar una prueba gratuita de 30 días de Sophos XDR directamente en tu consola mediante la función de pruebas gratuitas.