Recientemente lanzamos Sophos Network Detection and Response (NDR) y ya está brindando valor en el mundo real para las organizaciones que buscan elevar sus defensas contra los atacantes sofisticados y las amenazas de día cero.
Sophos NDR supervisa continuamente el tráfico de la red para detectar actividades sospechosas que puedan ser indicativas de la actividad de un atacante, aprovechando una combinación de aprendizaje automático, análisis avanzado y técnicas de coincidencia basadas en reglas.
Detecta una amplia gama de riesgos de seguridad, incluidos dispositivos no autorizados (dispositivos potencialmente maliciosos no autorizados que se comunican a través de la red), dispositivos desprotegidos (dispositivos legítimos que podrían usarse como punto de entrada), amenazas internas, ataques de día cero y amenazas que involucran dispositivos IoT y OT.
Además, cuando se combina con otra telemetría de seguridad, Sophos NDR permite a los analistas de amenazas obtener una imagen más completa y precisa de toda la ruta y progresión del ataque, lo que permite una respuesta más rápida y completa.
Sophos NDR es una integración adicional para Sophos MDR, nuestro servicio de detección y respuesta administrado líder en el mercado que actualmente atiende a más de 14 000 organizaciones en todo el mundo. A finales de este año, también pondremos a disposición Sophos NDR con Sophos Extended Detection and Response (XDR) para aquellas organizaciones que prefieran realizar sus propias actividades de búsqueda de amenazas; más sobre esto en una publicación futura.
La importancia de la detección y respuesta de la red
NDR es una parte esencial de una estrategia efectiva de defensa en profundidad. ¿Por qué? Porque la red es el único lugar donde un adversario sigiloso y comprometido no puede esconderse.
Los atacantes hacen todo lo posible para evitar ser detectados y la evasión de defensa es una táctica bien conocida de MITRE ATT&CK a nivel de sistema. Los exploits pueden ocultarse fuera de la vista de las soluciones EDR, y los adversarios pueden desactivar y eliminar los registros del sistema. Pero todavía tienen que atravesar la red.
A medida que los adversarios continúan desarrollando sus tácticas, técnicas y procedimientos (TTP) para eludir los controles de seguridad, NDR se está convirtiendo rápidamente en un imperativo de seguridad.
Sophos NDR: detección de amenazas de red sin igual
Sophos NDR cuenta con cinco motores de detección de amenazas en tiempo real que utilizan tecnologías patentadas de varias capas para detectar incluso los ataques más sigilosos.
Data Detector Engine es un motor de consulta extensible que utiliza un modelo de predicción de aprendizaje profundo para analizar el tráfico cifrado e identificar patrones en flujos de red no relacionados.
Deep Packet Inspection utiliza indicadores conocidos de compromiso para identificar actores de amenazas y tácticas, técnicas y procedimientos maliciosos en el tráfico de red cifrado y no cifrado.
Encrypted Payload Analytics detecta servidores C2 de día cero y nuevas variantes de familias de malware en función de los patrones encontrados en el tamaño de la sesión, la dirección y los tiempos entre llegadas.
Domain Generation Algorithm identifica la tecnología de generación de dominios dinámicos utilizada por el malware para evitar la detección.
Session Risk Analytics es un potente motor lógico que utiliza reglas que envían alertas basadas en factores de riesgo basados en la sesión.
Estos cinco motores monitorean el tráfico este-oeste (interno) y el tráfico norte-sur (saliente/entrante) para detectar y marcar anomalías indicativas de actividad de amenazas. Las alertas generadas por Sophos NDR incluyen:
- Network scanning activity
- Unexpected SSH sessions to never-before accessed systems
- Suspected beaconing activity
- Suspected C2 connections
- Communication on non-standard ports
- Malware present in encrypted traffic
- Encoded PowerShell execution
- Abnormal volumes of data sent
Aprovechar la telemetría NDR de Sophos para detener las amenazas avanzadas
La telemetría de seguridad de la red es un poderoso recurso de caza de amenazas por sí mismo y es especialmente útil cuando se combina con señales de todo el ecosistema de seguridad.
Sophos MDR aprovecha las alertas de Sophos y de soluciones de red, endpoint, firewall, correo electrónico, identidad y nube de terceros para acelerar la detección y respuesta a amenazas.
Las alertas se procesan a través de Sophos MDR Detection Pipeline, donde se transforman en un esquema normalizado, se asignan al marco MITRE ATT&CK® y se enriquecen con inteligencia de terceros. Las alertas relacionadas se agrupan en grupos que luego se priorizan y escalan a los especialistas en detección para su investigación y respuesta.
Permítame mostrarle un par de escenarios de ejemplo en los que Sophos MDR aprovecha la telemetría de Sophos NDR junto con información de otras tecnologías.
Escenario 1
- La solución de correo electrónico detecta un mensaje que contiene un archivo adjunto malicioso
- Endpoint Protection detecta la descarga de un archivo sospechoso
- Endpoint Protection detecta que un proceso desconocido lanzó un shell interactivo
- Sophos NDR detecta una conexión sospechosa de comando y control (C2)
- Endpoint Protection detecta sospechas de recopilación de credenciales
- Sophos NDR detecta un movimiento lateral sospechoso mediante SSH
Al correlacionar las alertas de correo electrónico, punto final y NDR, Sophos MDR puede determinar rápidamente que probablemente se ha producido un ataque de phishing exitoso que ha resultado en el robo de credenciales y el movimiento lateral.
Armados con esta información, podemos intervenir para contener, neutralizar y remediar rápidamente el ataque, minimizando el impacto.
Escenario 2
- Sophos NDR detecta un dispositivo que se comunica en la red interna
- Endpoint Protection no tiene ningún dispositivo conocido bajo administración
La combinación de puntos de datos de estas dos tecnologías separadas nos permite identificar que hay un dispositivo no administrado que se comunica en la red. En este punto, investigamos más a fondo para determinar si es el resultado de una infracción de la política interna del usuario o de un sistema administrado por un adversario, y luego tomamos las medidas adecuadas.
¿Ya utiliza una solución NDR alternativa? No hay problema.
Entendemos que las organizaciones ya cuentan con soluciones de seguridad. El desafío para muchas empresas es cómo administrar, interpretar y responder a la información que brindan. Con demasiada frecuencia, hablamos con equipos de TI que se ahogan en alertas o son incapaces de digerir la telemetría compleja.
Con los paquetes de integración complementarios de Sophos MDR, nuestros analistas pueden aprovechar la telemetría de las herramientas de seguridad de terceros que ya está utilizando (incluidas las soluciones NDR de Darktrace y Thinkst Canary) para detectar y responder a ataques avanzados dirigidos por humanos. Con nuestros expertos administrando sus operaciones de seguridad, puede elevar sus defensas y aumentar el retorno de sus inversiones existentes.
Aprende más
Para obtener más información sobre Sophos NDR y Sophos MDR y los resultados superiores de ciberseguridad que disfrutan nuestros clientes, programe una llamada con uno de nuestros expertos en seguridad hoy. Asegúrese de visitar también nuestro canal de la comunidad NDR.
Si desea escuchar lo que nuestros clientes tienen que decir sobre Sophos MDR, eche un vistazo a las revisiones independientes en Gartner Peer Insights y vea por qué somos el servicio MDR calificado como el número 1 por G2 Peer Reviews.