La visibilidad es clave para detener una ciberamenaza avanzada antes de que se produzca un daño mayor: si puedes ver los intentos de intrusión, la entrada no autorizada en la red y otros comportamientos sospechosos en el momento en que se producen, es mucho más fácil intervenir rápidamente y neutralizarlos.
Y aunque las soluciones tecnológicas avanzadas -incluida la protección de endpoints de última generación y los firewalls- son capas críticas de defensa, detener los ataques avanzados dirigidos por humanos requiere la máxima atención 24/7.
La buena noticia es que la mayoría de las organizaciones ya están recopilando gran parte de la telemetría bruta necesaria para ver estos riesgos a través de sus inversiones en seguridad existentes.
Las soluciones de endpoint, firewall, identidad, correo electrónico, nube y red proporcionan información valiosa que permite a los analistas de seguridad cualificados detectar y responder a ataques sofisticados.
Combinar la telemetría para obtener información más rápida y profunda
Cada fuente de telemetría es útil por separado. Sin embargo, cuantas más señales puedan reunir los analistas de amenazas de todo el entorno, más verán y más rápido podrán reaccionar. Veamos un par de ejemplos de cómo podemos combinar las fuentes de telemetría para acelerar la respuesta a las amenazas.
Como podemos ver, la señal del endpoint en el primer escenario y la señal del correo electrónico en el segundo escenario son sospechosas por sí solas. Sin embargo, junto con los datos del firewall, la telemetría de identidad y otras pistas, los analistas pueden identificar con mucha más seguridad los intentos de exfiltración de datos en el primer escenario y el Compromiso del correo electrónico empresarial en el segundo.
El reto del defensor: la complejidad de la telemetría
Conseguir una visibilidad procesable a partir de la telemetría de seguridad es una habilidad especializada. Aunque muchas tecnologías generan alertas de seguridad y datos útiles para los analistas altamente cualificados, aprovechar la información es todo un reto.
Los defensores se enfrentan a:
- Enormes volúmenes de datos
- Una miríada de puntuaciones de gravedad incoherentes (1-10, 5-1, Alta/Media/Baja, etc.)
- Diferentes tipos y cantidades de datos de cada proveedor
- Formatos de información muy variados
Como resultado, a la mayoría de las organizaciones les resulta casi imposible correlacionar los datos e identificar los problemas a tiempo. Los equipos de TI acaban abrumados por las alertas, incapaces de identificar cuáles están relacionadas y a qué dar prioridad.
El enfoque de Sophos MDR
En Sophos MDR, cuanto más vemos, más rápido actuamos. Recopilamos telemetría de todos los entornos de seguridad de nuestros clientes, utilizando señales y alertas de:
- Las galardonadas soluciones de seguridad para endpoint, correo electrónico, red, firewall y nube de Sophos
- Tecnologías de terceros, como Amazon Web Services (AWS), Check Point, CrowdStrike, Darktrace, Fortinet, Google, Microsoft, Okta, Palo Alto Networks, Rapid7 y muchos otros
- Cualquier combinación de ambos
A continuación, convertimos este enorme volumen de telemetría de seguridad en información procesable y priorizada para que nuestros analistas la investiguen utilizando el Flujo de Eventos MDR de Sophos.
La telemetría entra en nuestro lago de datos y se procesa a través de las seis etapas de nuestro canal de detección patentado:
- Ingerir y filtrar – Ingerir la telemetría y filtrar el ruido no deseado
- Limpieza – Transforma los datos en un esquema normalizado y los asigna a MITRE ATT&CK®.
- Enriquecer – Añadir información adicional de terceros sobre amenazas y contexto empresarial
- Correlaciona – Agrupa las alertas en función de las entidades, la categorización MITRE ATT&CK y el tiempo
- Priorizar – Puntúa las alertas y las agrupaciones para clasificarlas por orden de prioridad
- Escalar – Lógica que escala ciertos clusters a casos para su investigación
Los resultados limpios, mejorados, correlacionados y agrupados se transmiten a los expertos de nuestro equipo de operaciones MDR para su investigación y respuesta.
Para que te hagas una idea de la escala a la que hacemos esto: en un día normal, procesamos alrededor de 31.000 millones de eventos y 358 millones de detecciones. Esto da lugar a 367 casos que son investigados por el equipo, dando lugar a 47 escaladas y una amenaza activa.
Aprovechar la telemetría entre entornos de esta forma ayuda a Sophos MDR a detectar y neutralizar amenazas más rápido que nadie. Nuestro tiempo medio de respuesta a las amenazas es de sólo 38 minutos, lo que es considerablemente más rápido que otros proveedores de seguridad y más de cinco veces más rápido que incluso el equipo interno más rápido.
Más información
La visibilidad es vital para detener los ciberataques avanzados dirigidos por humanos en las primeras fases de la cadena de ataque. Afortunadamente, todas las organizaciones generan ya telemetría de seguridad que puede ser utilizada por analistas cualificados para detectar y responder a los ataques. Sophos MDR aprovecha estos datos, aplicando nuestro proceso único de flujo de eventos de seguridad y una experiencia humana sin igual para identificar y neutralizar rápidamente las amenazas antes de que se produzcan daños.
Para saber más sobre Sophos MDR y cómo utilizamos las detecciones entre entornos para acelerar la respuesta a las amenazas, habla hoy mismo con nuestros expertos en seguridad.
Dejar un comentario