Wizard Spider es un grupo criminal motivado financieramente que ha estado realizando campañas de ransomware desde agosto de 2018 contra una variedad de organizaciones, que van desde grandes corporaciones hasta hospitales. Sandworm es un grupo de amenazas ruso altamente destructivo, conocido por lanzar los ataques de ransomware NotPetya que causaron estragos en 2017.
Estos dos actores de amenazas se eligieron en función a su complejidad, relevancia para las organizaciones y la forma en que el personal de MITRE Engenuity logra emular adecuadamente al adversario para una prueba confiable del mundo real.
Entregar la máxima visibilidad de amenazas
Sophos se enorgullece de compartir que Intercept X demostró una capacidad de clase mundial para prevenir y detectar amenazas avanzadas, incluidas Wizard Spider y Sandworm. Específicamente, Intercept X bloqueó ambos ataques simulados y detectó los pasos principales de los dos escenarios de ataque.
“El desafío de proteger a su organización contra las ciber-amenazas del mundo real es un esfuerzo exigente en precisión y escala. Proporcionar el más alto nivel de contexto a un defensor es clave para mejorar la velocidad a la que puede identificar y responder a las técnicas, tácticas y procedimientos (TTP) del atacante. Los adversarios se adaptan y evolucionan continuamente sus herramientas para aprovechar nuevas oportunidades, evadir la detección e intentar mantenerse un paso por delante de los equipos de seguridad. Por ese motivo, nos complace ser reconocidos en las evaluaciones de MITRE Engenuity, que se centran en las TTPs reales de dos atacantes modernos”, dijo Joe Levy, director de tecnología y productos de Sophos.
Puede ver las técnicas utilizadas en la evaluación en el Navegador de ATT&CK consultando el archivo que dejamos a su disposición aquí, y los resultados de Sophos detectándolas acá.
Detener amenazas más rápido
“Estamos muy satisfechos con la forma en que la evaluación de MITRE muestra la capacidad de detección de amenazas de Sophos Intercept X. Esto permite a nuestros clientes disuadir ataques activos en fases tempranas en el ciclo de vida del ataque y reducir el impacto de amenazas costosas como el ransomware”, agrega Levy. La prevención de un solo incidente de ransomware, como se simula en las evaluaciones de ATT&CK, podría resultar en un ahorro de millones de dólares, sin mencionar el daño colateral potencial, simplemente al detener los ataques antes de que culminen en algo más complicado.
A la vez que el presidente Biden publica una declaración en la que indica que los grupos de amenazas rusos (como los responsables de Sandworm) pueden estar cambiando hacia acciones ciber-ofensivas contra las organizaciones e infraestructuras occidentales, es importante que las organizaciones optimicen la prevención. Un paso importante es reducir la superficie de ataque, eliminando oportunidades para que los atacantes vulneren su organización. Algunos ejemplos de cómo Sophos logra esto son:
- Bloqueando aplicaciones potencialmente no deseadas PUAs
- Bloqueando websites maliciosos o sospechosos basado en su contenido o calificación de la URL
- Controlando cuales aplicaciones están permitidas para ejecutarse en la organización
- Controlando cuales dispositivos están permitidos para conectarse a la red de la organización o a los activos en la nube
- Bloqueando configuraciones en servidores con un solo click
El siguiente paso es evitar que se ejecuten los ataques, utilizando tecnologías de protección en capas para detener tanto las amenazas como las tácticas que usan los atacantes:
- Detección y prevención de comportamientos, basado en actividades anómalas y de adversario
- Modelos de inteligencia artificial (IA) para asignar puntajes de riesgo a artefactos, incluidos aquellos nunca antes vistos
- Protección anti-ransomware basada en el comportamiento para sistemas locales y remotos
- Prevención de exploits que detiene las técnicas que utilizan los atacantes, protegiendo contra un amplio conjunto de ataques, incluidos aquellos que aprovechan malware desconocido
El ataque Kaseya del año pasado destaca la importancia de la combinación de prevención y detección: cuando se detectó el ataque, ya era demasiado tarde y los archivos estaban cifrados. Ni un solo cliente de Sophos con nuestra protección para endpoints de última generación correctamente implementada vio sus archivos cifrados en ese ataque.
Minimizar el tiempo de detección y respuesta
Optimizar la prevención como minimiza el tiempo para detectar y responder frente a las amenazas del mundo real y permite a los defensores concentrarse en menos y más precisas detecciones.
Sophos Intercept X con XDR, al lograr la calificación de contexto más alta para la mayoría de las detecciones en la evaluación, demostró cómo permite agilizar todo el proceso de investigación y respuesta. Nuestra consola intuitiva facilita el análisis con un amplio conjunto de consultas e investigaciones de amenazas predefinidas en varias categorías, incluidas las orientadas a MITRE ATT&CK.
Los clientes inscritos en nuestro servicio experimentan un tiempo medio de detección (MTTD) inferior a un minuto. Las técnicas de investigación enriquecidas dan como resultado un tiempo medio de investigación (MTTI) de 25 minutos.
Nuestras investigaciones dirigidas por humanos aprovechan el contexto de detección superior identificado por MITRE, lo que nos permite lograr una respuesta más rápida y precisa. El resultado es un tiempo medio de resolución (MTTR) de solo 12 minutos, o un tiempo total desde la detección de la amenaza hasta su resolución de menos de 38 minutos.
Entregar resultados para escenarios reales
Nuestro objetivo en Sophos es ayudar a nuestros clientes a prevenir, detectar y responder a incidentes de ciber-seguridad más rápido, lo que le permite lograr mejores resultados en ciber-seguridad.
Estamos comprometidos a probar Sophos Intercept X con una amplia gama de pruebas líderes como MITRE Engenuity, además de solicitar revisiones de las organizaciones que protegemos todos los días. Los resultados hablan por sí solos: Sophos ofrece una protección líder en la industria, fue nombrado el proveedor mejor calificado y más revisado en Gartner Peer Insights™ Customer’s Choice para soluciones de Endpoint Protection, y fue nombrado mejor Enterprise Endpoint Protection por SE Labs.
Para obtener más información y conocer cómo podemos ayudarlo con sus desafíos de ciber-seguridad, visite nuestro website y hable con un miembro del equipo.
Si necesita asistencia inmediata para investigar, contener y neutralizar una amenaza activa, puede contactar 24/7 a Sophos Rapid Response.