Site icon Sophos News

Cómo cuatro verdades del mundo real sobre la ciberseguridad dieron forma a nuestro enfoque de XDR

En los últimos dos años, sus estaciones de trabajo se han vuelto exponencialmente más críticas de proteger.

A medida que el trabajo se ha vuelto más fluido, los límites tradicionales de la ciberseguridad se han disuelto. Ahora cada usuario tiene varios dispositivos y está trabajando en cualquier lugar, accediendo a datos que pueden no almacenarse o procesarse en su propia infraestructura.

Mientras tanto, los ataques son cada vez más sofisticados, a menudo abarcando varios dispositivos. ¿Cómo se protege contra un ataque de phishing o de ingeniería social que primero llega por mensaje de texto y luego usa esa información para apalancar comportamientos peligrosos en su escritorio?

Significa que la importancia de proteger los puntos finales es ahora mayor. Y necesita ese contexto más amplio en un momento en el que sus defensas deben volverse más flexibles y más seguras.

Y es esta combinación de factores la que está impulsando la evolución de las soluciones de EDR (detección y respuesta de puntos finales) a soluciones de XDR (detección y respuesta extendida). XDR le brinda una vista más completa, donde la protección de su endpoint se beneficia de las señales en todo su ecosistema de ciberseguridad, y viceversa.

En teoría, XDR ofrece un valioso conjunto de capacidades que lo ayudan a proteger el complicado entorno de trabajo actual. Pero en la práctica, una herramienta solo es útil si se adapta a su forma de trabajar. Entonces, cuando diseñamos Sophos XDR, nos ceñimos a un modelo mental basado en el mundo real de la ciberseguridad y TI.

Prevención antes de la detección, porque la organización tiene un ancho de banda limitado

Si se parece en algo a los profesionales de seguridad y TI que conozco, no tiene tiempo para analizar cada pequeño problema. Y con la gran cantidad de información capturada por un XDR, fácilmente podría pasar todo su tiempo persiguiendo sombras. Por tanto, la relación señal-ruido es una prioridad absoluta.

Y una de las principales formas de aumentar esa proporción es evitar las amenazas obvias antes de que el sistema comience a enviar alertas. Al hacerlo, reduce la “zona gris”, es decir, las señales potencialmente sospechosas que no pueden clasificarse automáticamente como buenas o malas y necesitan una mayor investigación para determinar si son signos de actividad maliciosa.

Como resultado, la forma en que un XDR funciona junto con sus otras soluciones de ciberseguridad es realmente importante.

Nadie está más enfocado en prevenir ataques que Sophos. Nuestra protección de endpoint Intercept X reduce la superficie de ataque para que las amenazas no puedan llegar a sus sistemas y evita que los ataques se ejecuten con la tecnología anti-ransomware y anti-exploit líder en el mundo.

Estas poderosas capacidades de protección le permiten concentrar sus esfuerzos en menos y más precisas detecciones. Vea directamente a la aguja en lugar de buscar por todo el pajar. Al eliminar la gran mayoría de los problemas de manera temprana, puede enfocar su experiencia en los casos que tienen el mayor impacto, por ejemplo, detectar la diferencia entre un ciberataque y el uso legítimo de TI que podría generar señales sospechosas, como el uso de recursos en la nube para crear un ambiente demo.

Sí, es detección extendida, pero qué puedo decir, la protección está en nuestro ADN.

Información de señales enriquecida, porque mantenerse al día con las amenazas es agotador

Cuanto más complicado se vuelve su entorno de TI, mayor es la superficie de ataque. Todos los días aparecen nuevos comportamientos y URLs sospechosas. Independientemente de cualquier otra cosa, no es razonable esperar que mantenga toda esa inteligencia de amenazas en su cabeza.

Así que no se lo pedimos.

En cambio, cuando marcamos algo como sospechoso, potenciamos la señal con todo el contexto relevante que podemos reunir. Clasificamos y codificamos por colores las alertas para que siempre sepa dónde buscar primero y sugerimos acciones de corrección, según lo que el sistema puede ver.

Para una aplicación no reconocida, ese contexto puede incluir el uso del aprendizaje automático para analizar su comportamiento potencial de antemano y proporcionarle una puntuación de riesgo. También podemos contarle sobre su reputación. ¿Es simplemente una nueva aplicación de una fuente confiable o algo más preocupante? Podemos ver si la ubicación geográfica es correcta y conectarlo con cualquier análisis relevante de fuentes de terceros.

Si la aplicación está firmada, es fácil girar y profundizar en la empresa de origen; puede utilizar cualquier hilo que elija hasta que esté seguro de que tiene la información que necesita para tomar la decisión correcta.

Este enfoque le permite investigar rápida y eficazmente su zona gris (ya reducida) y tomar medidas oportunas y eficaces para proteger su organización.

Transferencia perfecta a cazadores de amenazas, porque nunca hay suficientes expertos

Por supuesto, de vez en cuando habrá algo que no sepa. Y en un mundo ideal, siempre podría escalar algo de lo que no está seguro a un experto a tiempo completo que vive y respira en busca de amenazas.

En realidad, no hay suficientes de esos expertos, de hecho la mayoría de las empresas no tienen uno, y mucho menos un equipo. Sophos, por otro lado, tiene muchos. Identificar nuevas amenazas es una gran parte de lo que hacemos. Nuestro XDR facilita el uso de nuestros servicios administrados para aumentar sus capacidades de detección y respuesta cuando lo necesite.

Lo buena noticia es que nuestros cazadores de amenazas usan los mismos sistemas que usted. Hablará con alguien que esté mirando exactamente los mismos dashboards y datos. La única diferencia es que son expertos a tiempo completo en amenazas cibernéticas. Eso significa que pueden ver su panorama de amenazas al instante y darle una respuesta rápida y fácil en tiempo real. Además, puede desarrollar su propio conocimiento viendo cómo lo hacen.

Una máquina del tiempo incorporada, porque las amenazas pueden provenir de cualquier lugar

Uno de los desafíos de un panorama de amenazas en rápida evolución es que nunca se sabe qué punto de datos será valioso más adelante. Por ejemplo, ¿quién hubiera sabido que el servicio Shadow Copy en Windows sería un factor importante de ciberseguridad, hasta que los autores de ransomware comenzaron a apagarlo para evitar que sus víctimas volvieran a un archivo de respaldo?

Eso presenta a los desarrolladores de XDR una elección difícil. Una amenaza emergente puede requerir de verificar cualquier cosa, pero un Data Lake no puede almacenar todo. Para la mayoría de los clientes, el gasto de mantener y analizar esa cantidad de datos sería extremadamente alto.

Se nos ocurrió una gran solución. Usamos recursos disponibles en los puntos finales para registrar todos los datos de los sensores locales, mientras que solo la data más importante se almacenan en el Data Lake. De esa manera, cuando una nueva amenaza hace que un nuevo punto de datos sea importante, ya está registrado y es de fácil acceso.

Piense en un drama criminal, donde los detectives identifican a un nuevo sospechoso y solicitan las imágenes de CCTV del día de los establecimientos locales para que puedan rastrear sus movimientos. Las cámaras funcionan todo el tiempo, pero las cintas solo son observadas si hay nueva actividad que las hace importantes. Es un poco así.

Seguridad avanzada de endpoints para el mundo real de TI

En general, la parte más importante de nuestro modelo mental para XDR es una idea simple: debe trabajar como usted lo hace.

Como profesional de TI o ciberseguridad, conoce lo infructuoso que es intentar dictar cómo trabajan sus usuarios. Si un procedimiento o aplicación no encaja, simplemente lo evitarán, lo que generalmente hace que sus sistemas sean menos seguros en el proceso.

En cierto modo, nos ocurre lo mismo cuando desarrollamos nuestras soluciones. Usted tiene sus propias aplicaciones y flujos de trabajo preferidos, y siempre hay algo nuevo. Y es posible que desee combinar nuestra tecnología con otro proveedor. Por lo tanto, debemos hacerlo abierto, extensible y accesible. Necesita trabajar con usted, independientemente de cómo trabaje hoy y en el futuro.

Por eso hemos creado Sophos XDR para que se adapte a su forma de trabajar. Lleve a cabo su investigación y responda usted mismo, o hágalo con cazadores de amenazas expertos en un servicio administrado. O un poco de ambos; la solución trabajará de acuerdo a sus necesidades.

Para obtener más información sobre Sophos XDR, hable con un representante de Sophos o visite nuestra página web. Si ya está utilizando la plataforma de gestión de Sophos Central, puede activar una prueba gratuita de 30 días de Sophos XDR directamente en su consola mediante la función de pruebas gratuitas.

Exit mobile version