Recientemente lanzamos Sophos Network Detection and Response (NDR) y ya está brindando un valor real para las organizaciones que buscan fortalecer sus defensas contra los atacantes sofisticados y las amenazas de día cero.
Sophos NDR supervisa continuamente el tráfico de la red para detectar actividades sospechosas que puedan ser indicativas de la actividad de un atacante, aprovechando una combinación de aprendizaje automático, análisis avanzado y técnicas de coincidencia basadas en reglas.
Detecta una amplia gama de riesgos de seguridad, incluidos dispositivos no autorizados (dispositivos potencialmente maliciosos no autorizados que se comunican a través de la red), dispositivos desprotegidos (dispositivos legítimos que podrían usarse como punto de entrada), amenazas internas, ataques de día cero y amenazas que involucran dispositivos IoT y OT.
Además, cuando se combina con otra telemetría de seguridad, Sophos NDR permite a los analistas de amenazas obtener una imagen más completa y precisa de toda la ruta y progresión del ataque, lo que permite una respuesta más rápida y completa.
Sophos NDR es una integración adicional para Sophos MDR, nuestro servicio de detección y respuesta administrado líder en el mercado que actualmente atiende a más de 14.000 organizaciones en todo el mundo. A finales de este año, también pondremos a disposición Sophos NDR con Sophos Extended Detection and Response (XDR) para aquellas organizaciones que prefieran realizar sus propias actividades de búsqueda de amenazas.
La importancia de la detección y respuesta de la red
NDR es una parte esencial de una estrategia efectiva de defensa en profundidad. ¿Por qué? Porque la red es el único lugar donde un adversario sigiloso y comprometido no puede esconderse.
Los atacantes hacen todo lo posible para evitar ser detectados y la evasión de defensa es una táctica bien conocida de MITRE ATT&CK a nivel de sistema. Los exploits pueden ocultarse fuera de la vista de las soluciones EDR, y los adversarios pueden desactivar y eliminar los registros del sistema. Sin embargo, aún tienen que atravesar la red.
A medida que los adversarios continúan desarrollando sus tácticas, técnicas y procedimientos (TTP) para eludir los controles de seguridad, NDR se está convirtiendo rápidamente en un imperativo en seguridad.
Sophos NDR: detección de amenazas de red sin igual
Sophos NDR cuenta con cinco motores de detección de amenazas en tiempo real que utilizan tecnologías multicapa patentadas para detectar incluso los ataques más sigilosos.
El Motor de Detección de Datos es un motor de consulta extensible que utiliza un modelo de predicción de aprendizaje profundo para analizar el tráfico cifrado e identificar patrones en flujos de red no relacionados.
La Inspección Profunda de Paquetes utiliza indicadores conocidos de compromiso para identificar a los actores de la amenaza y las tácticas, técnicas y procedimientos maliciosos en el tráfico de red cifrado y no cifrado.
El Análisis de la Carga Útil Cifrada detecta servidores C2 de día cero y nuevas variantes de familias de malware basándose en patrones encontrados en el tamaño de la sesión, la dirección y los tiempos de interllegada.
El Algoritmo de Generación de Dominios identifica la tecnología de generación dinámica de dominios utilizada por el malware para evitar ser detectado.
El Análisis del Riesgo de Sesión es un potente motor lógico que utiliza reglas que envían alertas basadas en factores de riesgo de sesión.
Estos cinco motores supervisan el tráfico este-oeste (interno) y norte-sur (saliente/entrante) para detectar y marcar anomalías indicativas de actividad de amenazas. Las alertas generadas por Sophos NDR incluyen:
- Actividad de escaneado de la red
- Sesiones SSH inesperadas a sistemas a los que nunca antes se había accedido
- Actividad sospechosa de balizamiento
- Sospechas de conexiones C2
- Comunicación en puertos no estándar
- Malware presente en el tráfico cifrado
- Ejecución codificada de PowerShell
- Volúmenes anormales de datos enviados
Aprovechar la telemetría de Sophos NDR para detener amenazas avanzadas
La telemetría de seguridad de red es un potente recurso de caza de amenazas por sí solo, y especialmente útil cuando se combina con señales de todo el ecosistema de seguridad.
Sophos MDR aprovecha las alertas de Sophos y de soluciones de red, enpoints, firewalls, correo electrónico, identidad y nube de terceros para acelerar la detección y respuesta a las amenazas.
Las alertas se procesan a través de Sophos MDR Detection Pipeline, donde se transforman en un esquema normalizado, se asignan al marco MITRE ATT&CK® y se enriquecen con inteligencia de terceros. Las alertas relacionadas se agrupan en clusters que se priorizan y se remiten a los especialistas en detección para su investigación y respuesta.
Permíteme explicar un par de ejemplos en los que Sophos MDR aprovecha la telemetría de Sophos NDR junto con información de otras tecnologías.
Escenario 1
- La solución de correo electrónico detecta un mensaje que contiene un archivo adjunto malicioso
- La protección de endpoints detecta la descarga de un archivo sospechoso
- La protección de endpoints detecta que un proceso desconocido ha iniciado un shell interactivo
- Sophos NDR detecta una conexión sospechosa de Mando y Control (C2)
- La protección de endpoints detecta una presunta recogida de credenciales
- Sophos NDR detecta un presunto movimiento lateral mediante SSH
Al correlacionar las alertas de correo electrónico, endpoint y NDR, Sophos MDR puede determinar rápidamente que probablemente se ha producido un ataque de phishing con éxito que ha dado lugar al robo de credenciales y al movimiento lateral. Armados con esta información, podemos intervenir para contener, neutralizar y remediar rápidamente el ataque, minimizando el impacto.
Escenario 2
- Sophos NDR detecta un dispositivo que se comunica en la red interna
- La protección de endpoints no tiene ningún dispositivo conocido bajo gestión
La combinación de puntos de datos de estas dos tecnologías separadas nos permite identificar que hay un dispositivo no gestionado comunicándose en la red. En este punto, investigamos más a fondo para determinar si es el resultado de una infracción de la política interna del usuario o de un sistema gestionado por el adversario, y luego tomamos las medidas adecuadas.
¿Ya utilizas una solución NDR alternativa? No hay problema.
Entendemos que las organizaciones ya disponen de soluciones de seguridad. El reto para muchas empresas es cómo gestionar, interpretar y responder a la información que proporcionan. Con demasiada frecuencia, hablamos con equipos informáticos ahogados en alertas o incapaces de digerir la compleja telemetría.
Con los paquetes de integración de Sophos MDR, nuestros analistas pueden aprovechar la telemetría de las herramientas de seguridad de terceros que ya utilizas (incluidas las soluciones NDR de Darktrace y Thinkst Canary) para detectar y responder a ataques avanzados dirigidos por humanos. Con nuestros expertos gestionando tus operaciones de seguridad, puedes elevar tus defensas y aumentar el rendimiento de tus inversiones actuales.
Más información
Para saber más sobre Sophos NDR y Sophos MDR y los resultados superiores en ciberseguridad de los que disfrutan nuestros clientes, concierta una llamada con uno de nuestros expertos en seguridad hoy mismo. Asegúrate también de echar un vistazo a nuestro canal de la comunidad NDR.
Si quieres saber qué opinan nuestros clientes sobre Sophos MDR, echa un vistazo a las reseñas independientes en Gartner Peer Insights y comprueba por qué somos el servicio MDR número 1 según G2 Peer Reviews.