[07/09/2022] De todos los elementos fundamentales para la seguridad de la información, el registro requiere mucho más cuidado y alimentación que sus compañeros de piedra angular, como el cifrado, la autenticación o los permisos. Los datos de registro deben ser capturados, correlacionados y analizados para que sean útiles. Debido al volumen típico de los registros, las herramientas de software para gestionar los eventos de registro son imprescindibles para las empresas de cualquier tamaño.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Tradicionalmente, los eventos de registro se han procesado y gestionado mediante herramientas de gestión de eventos e información de seguridad (SIEM, por sus siglas en inglés). Los sistemas SIEM proporcionan, como mínimo, un repositorio central de datos de registro y herramientas para analizar, supervisar y alertar sobre los eventos relevantes. Las herramientas SIEM (y las capacidades de análisis de datos) han evolucionado hacia capacidades más sofisticadas, como el aprendizaje automático y la capacidad de introducir datos de amenazas de terceros.
¿Qué es la detección y respuesta gestionada?
El SIEM tradicional se queda corto en los pasos de seguimiento, una vez que un evento o incidente alcanza un cierto nivel de preocupación. Aquí es donde entra en juego la detección y respuesta gestionadas (MDR, por sus siglas en inglés). Al igual que el gran volumen de datos de registro hace que sea ineficiente e ineficaz que los humanos revisen los archivos de registro manualmente, también la escala de los centros de datos modernos (con máquinas virtuales y contenedores de aplicaciones) hace que responder a cada amenaza con un recurso humano sea poco práctico. Los sistemas MDR toman los eventos de registro y los correlacionan con el objetivo final de identificar los incidentes que su equipo de seguridad debe investigar y toma las medidas iniciales para mitigar las amenazas y, en muchos casos, realizar un análisis de la causa raíz.
Una distinción clave entre MDR y otras tecnologías relacionadas (SIEM, detección y respuesta de puntos finales [EDR, por sus siglas en inglés], o detección y respuesta ampliada [XDR], por sus siglas en inglés) es que MDR se gestiona, lo que significa que es más que un sistema, es un servicio. La MDR suele facturarse como una extensión de un centro de operaciones de seguridad (SOC, por sus siglas en inglés) interno, lo que significa que su personal de seguridad de TI se ve incrementado por personas con experiencia tanto en la plataforma MDR como en habilidades relacionadas, como la respuesta a incidentes, el análisis de la causa raíz y la caza de amenazas. La ventaja de contar con un equipo de respuesta basado en el servicio es que se puede responder más eficazmente a los incidentes sin que ello afecte drásticamente a la plantilla.
Este componente relacionado con el servicio significa que debe tener en cuenta los acuerdos de nivel de servicio (SLA, por sus siglas en inglés), los tiempos de respuesta y otros puntos de referencia relacionados con el rendimiento del servicio a la hora de seleccionar una solución MDR. Las necesidades de la organización variarán enormemente en función del tamaño de la empresa, los requisitos de cumplimiento del sector, y otros temas clave. Del mismo modo, uno de los mayores impactos en su presupuesto de MDR serán los costos asociados al equivalente a tiempo completo (ETC), por lo que encontrar ese punto óptimo será un punto de decisión crítico.
Principales proveedores de soluciones MDR
A continuación, se describen 12 de las principales soluciones MDR, sin ningún orden en particular.
Sophos Managed Threat Response: Sophos Managed Threat Response ofrece una supervisión 24x7 de su infraestructura, y puede identificar activamente tanto las amenazas como los incidentes. Sophos también aplica el contexto a las amenazas validadas mediante la correlación de los datos de origen de los eventos con los recursos empresariales, lo que mejora su capacidad de clasificación y respuesta a los incidentes. Sophos y su equipo también pueden tomar las primeras medidas de respuesta a incidentes si es necesario, o simplemente proporcionar recomendaciones para resolver las causas de origen de los incidentes recurrentes.
Arctic Wolf Managed Detection and Response: Arctic Wolf Managed Detection and Response es otro servicio que ofrece supervisión y gestión de amenazas activas las 24 horas del día. Arctic Wolf no solo realiza una caza activa de amenazas, sino que realiza un escaneo continuo de sus sistemas, buscando vulnerabilidades y evaluando el riesgo. Arctic Wolf también ofrece una solución EDR y supervisa tanto los dispositivos móviles como los de la IoT, lo que le permite identificar rápidamente el riesgo para los dispositivos de borde.
Red Canary Managed Detection and Response: Red Canary Managed Detection and Response aporta una monitorización respaldada por SLA las 24 horas del día y una detección avanzada de amenazas. Red Canary también tiene capacidades de análisis y monitorización de adversarios. En cuanto a las herramientas, Red Canary aporta manuales de automatización y orquestación para facilitar una respuesta rápida a los incidentes, así como informes ejecutivos para las métricas de los acuerdos de nivel de servicio, como el tiempo medio de respuesta. Para las empresas en las que las infracciones o incluso los falsos positivos afectan a la disponibilidad del servicio y a los resultados finales, Red Canary ofrece pruebas de detección y validación para ayudar a garantizar la eficacia del servicio.
Crowdstrike Falcon Complete: Crowdstrike Falcon Complete no solo ofrece una supervisión 24x7, sino que lo hace con un equipo global de profesionales capaces de rastrear activamente las amenazas en tiempo real. La plataforma de Crowdstrike está construida para la nube, lo que significa que las herramientas de gestión están alojadas, y no hay necesidad de hardware o software de servidor adicional en su centro de datos. Crowdstrike no solo admite la supervisión de las cargas de trabajo en la nube y los puntos finales, sino que las identidades también son un buen juego.
SentinelOne Vigilance Respond: SentinelOne Vigilance Respond también supervisa su infraestructura las 24 horas del día y ofrece un tiempo medio de recuperación (MTTR, por sus siglas en inglés) de 18 minutos. Tal vez la característica más intrigante que ofrece SentinelOne es su tecnología Storyline, que le ayuda a visualizar el contexto de las amenazas a su red, tanto en términos de impacto en el negocio como en la línea de tiempo, lo que le permite responder con mayor eficacia. SentinelOne aumenta su SOC con profesionales de la seguridad que pueden ayudar con la respuesta a incidentes, la ciencia forense digital e incluso el análisis de malware. SentinelOne ofrece reuniones periódicas (a petición o programadas trimestralmente, dependiendo de su nivel de servicio) en un esfuerzo por mantener a su equipo de seguridad interno al día sobre su postura de seguridad y las posibles amenazas.
Rapid7 Managed Detection and Response: Rapid7 Managed Detection and Response tiene una escala que respalda su solución de supervisión. Con más de 1,2 billones de eventos de seguridad rastreados cada semana, Rapid7 tiene un rico conjunto de datos con el que desarrollar firmas y modelos analíticos. Rapid7 también aporta técnicas como la detección del tráfico y el flujo de la red, e incluso tecnologías de trampa como los honeypots para identificar los ataques en su red de forma temprana. También se incluye la búsqueda proactiva mensual de amenazas, investigaciones completas e informes sobre las amenazas validadas, así como recomendaciones prioritarias para responder a las amenazas. Rapid7 también ofrece supervisión 24x7 por parte de un equipo de profesionales de la seguridad distribuidos por todo el mundo.
Alert Logic MDR Solutions: Al igual que Rapid7, Alert Logic ofrece escala como característica principal en sus servicios MDR. Más de 140 mil millones de eventos de registro son analizados diariamente por un SOC 24x7 con base en todo el mundo. Alert Logic supervisa plataformas en la nube, una serie de aplicaciones SaaS, contenedores y una variedad de recursos locales. Alert Logic también aporta informes de cumplimiento para satisfacer una variedad de necesidades específicas del sector, como PCI, HIPAA y SOX. Alert Logic se basa en la nube y ofrece la posibilidad de ampliar su despliegue en respuesta a incidentes, y de reducirlo una vez que se haya mitigado la amenaza. La integración con Slack, Microsoft Teams, ServiceNow y otras plataformas de colaboración habituales facilita la gestión de las notificaciones, mientras que los manuales de respuesta personalizados ayudan a formalizar la respuesta a los incidentes.
Cybereason MCR: Cybereason MDR y su SOC global de 24 horas ofrecen tiempos de respuesta agresivos: detección de amenazas en un minuto o menos, triaje en cinco, y remediación en menos de media hora. Cybereason aprovecha su métrica de puntuación de gravedad MalOp para ayudar a priorizar los esfuerzos de respuesta, así como el contexto y la correlación con las amenazas para ayudarle a calibrar el riesgo para sus servicios empresariales críticos. La aplicación de administración móvil MDR proporciona una forma sencilla de visualizar las amenazas e iniciar una respuesta desde cualquier lugar. Cybereason dispone de varios niveles de servicio con informes mensuales, búsqueda proactiva de amenazas y antivirus de última generación como características de sus ofertas premium.
Binary Defense Managed Detection and Response: Binary Defense Managed Detection and Response aporta su SOC-as-a-service 24x7 con un tiempo medio de respuesta a las amenazas de 12 minutos, garantizado a 30 minutos. La detección basada en el comportamiento, los sistemas de honeypot y la caza de amenazas se utilizan para identificar las amenazas a su red. La caza activa de amenazas y los esfuerzos del equipo rojo también están disponibles para llevar la identificación de amenazas al siguiente nivel. Binary Defense también publica su visión del producto y el calendario de hitos en un esfuerzo por establecer la confianza de que sus capacidades a largo plazo coinciden con los requisitos de su negocio.
WithSecure Contercept: WithSecure Contercept es otra opción de MDR 24x7 que afirma contener y remediar más del 99% de las amenazas, el resto de las cuales se escalan automáticamente a WithSecure Incident Response. El equipo de Detección y Respuesta (D&R) de WithSecure dedica la mitad de su tiempo a investigar las vulnerabilidades y a elaborar estrategias de detección y mitigación. WithSecure también promociona su "valor en tiempo de paz", donde analizan continuamente su infraestructura en busca de vulnerabilidades, y proporcionan informes para ayudarle a endurecer sus sistemas para reducir su riesgo de ataque de forma proactiva.
Critical Start MDR Services: Critical Start MDR afirma una reducción del 80% de los falsos positivos en el primer día, con una escalada de menos del 0,01% de las alertas. Critical Start monitoriza sus sistemas 24x7 y ofrece respuesta a incidentes remota o in situ y capacidades forenses digitales. Critical Start se integra estrechamente con otras plataformas de seguridad que pueda tener ya instaladas (MS Defender for Endpoint/Sentinel, VMWare Carbon Black, Crowdstrike, SentinelOne, Splunk, etc.) para aumentar el tiempo de valor, y aumenta la visibilidad de sus alertas activas a través de su aplicación móvil CriticalStart MobileSOC.
Expel Managed Detection and Response: Expel Managed Detection and Response es un servicio MDR 24x7 construido sobre una plataforma XDR. Expel se integra con la infraestructura existente a través de conexiones API, lo que permite una identificación y respuesta a las amenazas más eficaz. Expel se integra estrechamente con los sistemas basados en la nube (tanto IaaS como SaaS) para identificar las amenazas a sus sistemas o identidades (identidades comprometidas, comportamiento anómalo de los usuarios o abuso de acceso privilegiado). La infraestructura local también se supervisa en busca de movimientos laterales, scripts maliciosos y evasión de los sistemas de defensa. Expel aprovecha los bots para el análisis de registros y eventos, así como para construir el contexto y realizar el triaje de amenazas. La elaboración de informes es un punto fuerte de Expel, ya que proporciona detalles sobre los incidentes, así como sobre la actividad que considera "interesante". El contexto de los informes incluye un análisis basado en la huella de su propia empresa, así como el nivel general de amenazas de toda la base de clientes de Expel.
Basado en el artículo de Tim Ferrill (CSO) y editado por CIO Perú
Puede ver también: