Sophos Managed Detection and Response (MDR) es un servicio 24/7 totalmente gestionado por expertos en seguridad que detectan y responden a ciberataques dirigidos a ordenadores, servidores, redes, cargas de trabajo en la nube, cuentas de correo electrónico, etc.
Echa un vistazo a un día típico del analista y jefe de equipo de MDR de Sophos, Anthony Bradshaw. Compartirá las actividades diarias de un analista de seguridad, destacará un ejemplo reciente de detección y corrección de amenazas para un cliente MDR, y mucho más.
Sophos: Antes de empezar, ¿cómo definirías MDR?
Bradshaw: MDR es el acrónimo del sector para “detección y respuesta gestionadas”, pero es mucho más que eso. Es inteligencia de amenazas, caza de amenazas, investigación de amenazas, ingeniería de detección, respuesta a incidentes, etc. Es un paquete completo para proteger sistemas críticos con la capacidad de tener analistas altamente técnicos respondiendo a los adversarios en un abrir y cerrar de ojos.
A un alto nivel, las organizaciones se dan cuenta de que es difícil y caro dotar de personal a toda una unidad de ciberseguridad, además de todas las demás cosas que conlleva la gestión de activos tecnológicos, por lo que trabajar con un equipo como el nuestro reduce la complejidad de la gestión de la infraestructura de ciberseguridad, por no mencionar los costes de todas las herramientas internas necesarias para proporcionar seguridad en toda la organización.
Sophos: ¿Cuáles son las responsabilidades de un analista de MDR, y qué habilidades y cualidades se suelen buscar a la hora de contratar personal?
Bradshaw: Nuestros analistas MDR suelen tener tres responsabilidades principales: investigar incidentes, responder a incidentes y prestar servicio al cliente. La investigación y la respuesta son obvias, pero me gustaría hablar del servicio al cliente.
Nuestros analistas interactúan con nuestros clientes todo el tiempo. Tanto si se trata de una llamada telefónica rápida para confirmar una actividad sospechosa como de una sesión Zoom en toda regla para gestionar un incidente, es sumamente importante que nuestros analistas comprendan el valor de ofrecer un excelente servicio al cliente.
En cuanto a habilidades y cualidades, obviamente nos encanta el lado tecnológico. Si tienes alguna certificación o formación básica en Security+ o Network+, es un excelente comienzo porque demuestra que te interesa el campo y que eres un poco analítico. Pero las habilidades interpersonales son imprescindibles: comunicar y articular lo que hay que decir en un momento crítico es más que valioso.
También buscamos experiencia de todas las procedencias. Tenemos antiguos profesores, veteranos militares y otros que forman nuestros equipos realmente diversos. Al fin y al cabo, buscamos personas que sientan auténtica pasión por la ciberseguridad. Siempre podemos formarte en las habilidades duras y blandas necesarias para tener éxito.
Sophos: ¿En qué herramientas y tecnologías se basa un analista de MDR para hacer su trabajo?
Bradshaw: Los analistas de Sophos se basan en una variedad de herramientas propias y de código abierto para llevar a cabo investigaciones y gestionar la caza de amenazas.
Tenemos una plataforma propia en la que nuestros analistas pasan la mayor parte de su tiempo, y también utilizamos Sophos Central, nuestra consola de gestión de productos basada en la nube, para una buena parte de nuestros análisis de investigación.
Podemos utilizar datos de nuestros propios productos y de productos de terceros, que se consolidan, correlacionan y priorizan automáticamente para acelerar la detección, investigación y respuesta a las amenazas, de modo que podamos ofrecer mejores resultados de ciberseguridad.
El equipo de MDR supervisa esos datos mejorados y responde cuando recibimos alertas sobre algo inusual, como una identidad de correo electrónico extraña, la penetración de un firewall o la detección de un evento de Microsoft con MS Graph API. Emparejamos esas dos plataformas con herramientas estándar de código abierto para investigar IPs, dominios, archivos y similares.
Sophos: ¿Cómo es un día normal para alguien de tu equipo?
Bradshaw: Por lo general, los primeros 30 minutos de los turnos de nuestros analistas se dedican a ponerse al día de lo ocurrido durante el turno anterior y a iniciar sesión en sus puestos de combate para estar preparados para el día. Después de eso, empiezan a trabajar en investigaciones, ajustes de detección, caza de amenazas, incidentes en directo y cosas por el estilo.
Hace poco tuvimos un caso en el que estaba implicado un proveedor de firewalls relativamente nuevo, en el que un actor de amenazas había accedido a la interfaz del firewall de nuestro cliente y pudo realizar cambios en su política y crear nuevas cuentas de administrador. Estas se utilizaron para pivotar a la infraestructura del cliente, donde los actores de la amenaza empezaron a enumerar el dominio y a moverse lateralmente.
Detectamos el movimiento lateral y la enumeración del dominio, e inmediatamente nos pusimos en contacto con el cliente, que confirmó que la actividad era inesperada. Entonces iniciamos nuestros procedimientos de respuesta a incidentes.
Trabajando juntos, contuvimos la amenaza, lo que permitió al cliente desplegar un parche de firewall muy rápidamente. También revisamos los registros de su firewall para confirmar el acceso inicial y determinamos los IOC (indicadores de compromiso) que el cliente debía bloquear en el extremo de su red para evitar ataques similares en el futuro.
Así es como puede ser un día típico. También concedemos a nuestros analistas frecuentes jornadas de desarrollo y crecimiento, que les permiten trabajar en proyectos, investigaciones e incluso en la próxima certificación que quieran obtener. Sophos ofrece una amplia gama de programas de certificación, no solo para nuestro equipo, sino también para clientes y socios.
Dejar un comentario