Definiciones Servicio MDR

Qué es MDR?

El objetivo de los servicios MDR es identificar y limitar rápidamente el impacto de los incidentes de seguridad para los clientes. Estos servicios se centran en actividades de monitoreo, detección y respuesta dirigida a amenazas las 24 horas, los 7 días de la semana. En ETEK usamos una combinación de tecnologías de host y capa de red, así como análisis avanzados, inteligencia de amenazas, datos forenses y experiencia humana para la investigación, la búsqueda de amenazas y la respuesta a las amenazas detectadas.

Servicios MDR

  • Monitoreo y detección de amenazas: Monitoreo dedicado en busca de signos de amenazas a la seguridad.
  • Respuesta a incidentes: Capacidad iniciales de respuesta automatizada basadas en playbooks.
  • Threat Hunting: Búsqueda continua de amenazas cibernéticas que no son detectadas por los controles de seguridad convencionales.

Gestión de Incidentes

  • Evento: Ocurrencia observable en un sistema o una red
    • Un usuario que se conecta a un recurso compartido
    • Un usuario enviando un correo electrónico
    • Un bloqueo de un intento de conexión por un Firewall
  • Incidente: Violación real o inminente de las políticas de seguridad de la información de una organización
    • Se engaña a los usuarios para que abran un reporte “legítimo” e infectarlos con un programa maligno (Malware).
    • Conexiones de estaciones de trabajo a direcciones reconocidas como centros de comando y control (C&C).
    • Un usuario enviando un correo electrónico.
    • Indisponibilidad de servicios por ataques de programa maligno (Malware).

Casos de uso y playbooks

  • Caso de uso: Servicios que apuntan a mejorar la forma en que las empresas detectan amenazas, responden a incidentes y monitorean sus activos de TI continuamente
  • Playbook: Un Playbook es una lista de verificación con los pasos y acciones necesarios para responder con éxito a tipos de incidentes y amenazas específicas. Los Playbooks de respuesta a incidentes proporcionan un sencillo enfoque de orquestación paso a paso y de arriba a abajo. Ayudan a establecer procesos y procedimientos formalizados de respuesta a incidentes dentro de las investigaciones y pueden garantizar que se sigan sistemáticamente los pasos

Riesgos que se mitigan con un servicio MDR

  • Pérdida o no acceso a la información necesaria para la operación de los procesos
  • Fuga de información que se almacena y comparte masivamente que puede conllevar a la afectación del negocio.
  • Pérdida de confidencialidad de la información y su posterior divulgación que puedan favorecer a la competencia
  • Pérdida de clientes debido a la sustracción y divulgación no autorizada de la información
  • Reprocesos que puedan afectar la producción de la organización.
  • Modificación de información no autorizada de los archivos.
  • Perdida de disponibilidad de la información por exposición de información de configuración y puertos disponibles
  • Materialización de ataques cibernéticos en las direcciones y puertos identificados
  • Fuga de información que se almacena y comparte que puede llevar a la afectación del negocio.
  • Pérdidas financieras ya sea por perdidas de clientes o demandas
  • Fallas en el acceso a la información necesaria para la operación de la organización.

Equipos presentes en MDR

  • Red Team: Emula ataques a la postura de seguridad empresarial para medir la efectividad de sus controles.
    • Funciones
      • El Red Team realiza un proceso de emulación de escenarios de amenazas a los que se puede enfrentar una organización.
      • Genera indicadores de compromiso para nuevos ataques.
      • Prueba de casos de uso.
      • Apoyo al Blue Team en la creación de escenario personalizados para demos a clientes.
    • Servicios
      • Ethical hacking
      • Análisis de vulnerabilidades
      • Cumplimiento de normativas de Ciberseguridad
      • Ingeniería Social
      • Explotación de vectores de fraude.
      • Escenarios de malware
  • Blue Team: Responsables de ejecutar actividades de defensa de redes informáticas en un sistema de información de una empresa.
    • Funciones
      • El principal objetivo del Blue Team es realizar evaluaciones de las distintas amenazas que puedan afectar a las organizaciones.
      • Monitorizar actividades de seguridad (red, sistemas, etc.)
      • Recomendar planes de actuación para mitigar los riesgos.
      • Respuesta ante incidentes.
      • Análisis forense
      • Establecimiento de medidas de detección para futuros casos.
    • Servicios
      • Correlación de eventos
      • Respuesta a incidentes.
      • Configuración casos de uso y Playbooks.
      • Monitoreo Disponibilidad
      • Afinamiento de reglas de SIEM.
  • Purple Team: Existen para garantizar y maximizar la efectividad de los equipos Rojo y Azul. Lo hacen integrando las tácticas defensivas y los controles del Equipo Azul con las amenazas y vulnerabilidades encontradas por el Equipo Rojo
    • Funciones
      • El principal objetivo de un Purple Team es gestionar la seguridad de los activos de la organización
      • Realizar pruebas para comprobar la eficacia de los mecanismos y procedimientos de seguridad
      • Definir/desarrollar controles de seguridad adicionales para disminuir el riesgo de la organización.
      • Rol de mediadores entre ambos equipos, Red & Blue
    • Servicios
      • Facilita las mejoras en la detección y la defensa
      • Define Casos de uso.
      • Define Playbooks.
      • Crea estrategias de acuerdo con las necesidades del cliente.

Componentes generales del servicio MDR

  • Soporte Proactivo
    • Monitoreo proactivo
    • Conocimiento de la arquitectura de servicios del cliente y CMDB
    • Base de conocimientos de casos de uso actualizada
    • Ejercicios continuos de guerra cibernética
  • Servicios gestionados
    • Administración de dispositivos apalancada por detección proactiva y capacidades de automatización
    • Búsqueda de amenazas
    • Respuesta a incidentes basada en mejores prácticas
    • Personal con múltiples habilidades y certificaciones
  • Videos demostrativos
  • Contáctenos
  • Brochures y papers
  • Casos de éxito

Protección de siguiente generación para los endpoint “EDR (Endpoint Detection and Response)”

Las ciberamenazas no solamente han aumentado en número, también en complejidad, campañas de hacking que hace unos pocos años estaban orientadas a explotar ciertos códigos medianamente conocidos han pasado a ser procesos estructurados y camaleónicos, capaces de estudiar una red y sus vulnerabilidades antes de explotar las mismas. Por ende, soluciones basadas en el análisis de comportamientos de los códigos maliciosos ya conocidos en los END POINT (llámese servidores, PCs, Tablets, Moviles entre otros) han tenido que evolucionar.

Una nueva serie de herramientas orientadas a defender los ENDPOINT de aquellas amenazas cuyos trabajos son cada día más especializados, son imprescindibles en las nuevas estrategias de ciberdefensa de toda organización u empresa, estas soluciones se conocen con el nombre de EDR (Endpoint Detect and Response) y se han convertido en una de las tendencias de defensa más importantes del mercado de la ciberseguridad, cambiando la perspectiva reactiva ante incidentes de seguridad por respuestas proactivas que priorizan la operación segura de las empresas. Este concepto asociado a la proactividad se conoce como THREAT HUNTING (Caza de Amenzas) y es una tendencia que se esta desarrollando en la industria, y que se puede ver o aplicar en muchas capas, ENDPOINT, RED, APLICACIÓN, entre otras.

Durante los últimos años las amenazas han evolucionado a una velocidad considerable, casi en términos exponenciales, y es en esta misma medida que las organizaciones han ampliado sus niveles de exposición, las necesidades de trasformación digital, comercio electrónico, tendencias de conectividad entre otras han derivado en una ecuación cuya resultante no es otra que un espectro tecnológico cada vez más amplio y complejo para proteger.

Las estrategias orientadas al uso de tecnologías que en otra época eran funcionales han desencadenado en tener una sensación falsa de seguridad. Por ejemplo, cuando las herramientas tradicionales de protección de ENDPOINT generan una gran cantidad de reportes en donde se señala que se han identificado y limpiado un número significativo de códigos maliciosos hace pensar que se está completamente protegido y resta importancia a mejorar la postura de ciberseguridad.

Lamentablemente de no existir códigos maliciosos o los a veces mal llamados Virus, que al ser explotados generen un impacto visible a la organización seria casi imposible entender la necesidad de mejorar y/o evolucionar los controles de seguridad existentes.

De ninguna manera se pone en entredicho la necesidad de herramientas como firewalls, anti-virus (anti-malware), WAF, IPS entre otras. Estas son herramientas que hacen parte de la protección por capas en un modelo de defensa en profundidad que toda empresa debe tener hoy en día; sin embargo, que pasa con aquellas amenazas que son capaces por medio de una u otra técnica (ofuscamiento, fileless, logical bomb, wrapping entre otras) de evadir los controles básicos, ellas requieren también una atención especial, peor aún si estas están de forma silenciosa en la red, quizás teniendo el control de uno o varios equipos, quizás servidores, modificando archivos, sacando información, quizás minando criptomonedas o en el peor de los casos interviniendo comunicaciones.

Una de las nuevas tendencias en cuestión de mejoramiento de posturas de ciberseguridad y que está encaminada de forma bastante acertada en hacer frente a aquellas amenazas que han y siguen evolucionando es el Threat Hunting (Caza de Amenzas).

¿Pero que es el threat hunting (Caza de Amenzas)?  

El threat hunting se puede definir como la continua iteración dentro de la red de datos para la búsqueda de amenazas avanzadas, su posible detección y aislamiento. El resultado del proceso de Threat Hunting (Caza de Amenzas) debe verse como un análisis proactivo y no reactivo.

Es la perspectiva de proactividad la que enmarca la gran diferencia con otro tipo de herramientas que suelen ser más reactivas, que suelen utilizarse una vez se ha dado el ataque o el incidente.

Se puede ejemplificar de manera muy sencilla a partir de un incidente de seguridad, en donde si se piensa desde la perspectiva reactiva, este (el incidente) se puede dar partiendo de la premisa de un evento que genero un impacto sobre la organización y el cual las diferentes herramientas de seguridad nos permitirían entender lo sucedido, luego afinar los niveles de detección y control, ya sea creando nuevas reglas, activando algún nuevo tipo de funcionalidad o simplemente descargando un paquete extra actualizado de firmas; ahora bien si se piensa desde la perspectiva proactiva o el Threat Hunting (Caza de Amenzas), el incidente se da a partir de la recolección y análisis continuo de la actividad normal de la red y sus posibles desviaciones, entendiendo que quizás posibles accesos a archivos del sistema, apertura de puertos, ejecución de powershell, lectura de carpetas, modificación de llaves de registro o simple conectividad con ciertos sitios, pueden ser nuevos indicadores de compromiso y así deben ser tratados después de un proceso arduo de telemetría de seguridad que debe perfilar de la manera más acertada los equipos, usuarios, redes y/o el tráfico de la compañía.

Descripción grafica de la diferencia entre Detección de amenazas y Theat Hunting (Caza de amenazas)

Ahora bien, es justamente en el planteamiento de la hipótesis y la analítica de la “Data” mostrada en la Ilustración 1 y que se obtiene de los ENDPOINT, donde las herramientas de EDR están teniendo éxito.

Las estrategias de EDR parten del uso de herramientas de esta naturaleza, donde ellas hacen un monitoreo del ENDPOINT y sus respectivos tráficos de red, llevando dicho input a una base de datos muy diferente a la de los antivirus tradicionales. En dicha base de datos se realiza los procesos asociados a la telemetría de seguridad, los cuales se soportan en herramientas de analítica de datos reales de la organización; no firmas o patrones genéricos.

La analítica que proveen este tipo de herramientas permite no solo un enfoque real de la situación de seguridad de los ENDPOINT sino también una mejora en la postura de seguridad desviando o conteniendo ataques con base a la identificación temprana de amenazas internas y externas.

Técnicamente hablando una estación de trabajo que levante un proceso anómalo, genere un cambio sobre algún tipo de llave de registro que no se venía presentando, abra puertos altos para conexiones hacia él o incremente considerablemente el tamaño de un proceso del sistema donde seguro exista algún tipo de wrapping, será asociado por la analítica avanzada de los EDR como un objetivo de investigación y rápida respuesta; labor que la protección de endpoint tradicional no cubre debido a su naturaleza de validación de firmas y/o heurística base. No se pretende restar valor a las herramientas de antivirus sino complementar la labor de protección y respuesta de los ENDPOINT, ese es el sentido de un EDR. 

Es importante entender que no solamente una estrategia de EDR se basa en lo que la herramienta pueda entregar, es importante las fuentes de investigación que acompañen dichas herramientas y que al mismo tiempo generan los nuevos indicadores de compromiso. Por ende, se recomienda en los procesos de inmersión en estrategias de hunting, acompañar la adquisición de tecnologías con grupos de investigación que posean las habilidades de leer, investigar y alimentar los indicadores de compromiso propios de cada organización.

Referencias

Thanks for your message , we will reply soon

Message sent

succesfully!

Gracias por tu mensaje , pronto responderemos

¡Mensaje enviado

con éxito!