Para empezar, recuerde qué es una tríada nuclear. Este término se refiere a las fuerzas armadas estratégicas de un estado equipado con armas nucleares. La tríada incluye tres componentes: aviación estratégica aérea, misiles balísticos intercontinentales terrestres, portadores de misiles submarinos atómicos marítimos.
Estimado Gartner, hizo una analogía de las fuerzas armadas estratégicas del estado con el centro de monitoreo y respuesta operativa a incidentes (SOC), destacando los siguientes elementos de la tríada SOC: información de seguridad y gestión de eventos (SIEM), análisis de tráfico de red (NTA), detección y respuesta de punto final (EDR). Al observar esta analogía, resulta obvio que el SOC puede ser máximo efectivo solo si está equipado con todos los componentes de protección: en el "aire", en la "tierra" y en el "mar".
Desafortunadamente, hoy en día la mayoría de las organizaciones usan solo "aviación estratégica" - sistemas SIEM. En raras ocasiones, "misiles balísticos intercontinentales" - NTA, que reemplaza el análisis completo del tráfico de red solo mediante la recopilación de registros de las herramientas de seguridad de red estándar. Y muy raramente es el "portador de misiles submarinos nucleares" - EDR.
En mi artículo de hoy, de acuerdo con el legado de Gartner, quiero destacar las principales razones de la importancia de incluir la tecnología EDR como uno de los elementos de un centro moderno para el monitoreo y la respuesta rápida a los incidentes.
En el mundo de la seguridad de la información, la tecnología EDR es mucho más que una protección avanzada de estaciones de trabajo y servidores contra amenazas complejas. De año en año, los trabajos siguen siendo el objetivo clave de los atacantes y los puntos de entrada más comunes en la infraestructura de las organizaciones, lo que requiere la debida atención y la protección adecuada. Y la telemetría es información valiosa necesaria para una investigación de incidentes de alta calidad, cuya importancia aumenta aún más con la llegada del nuevo protocolo de cifrado TLS 1.3 y su distribución activa.
EDR se está convirtiendo rápidamente en la fuerza impulsora detrás del aumento de la madurez y la eficacia de los SOC modernos.
A ver por qué?
Visibilidad adicional
En primer lugar, la tecnología EDR es capaz de dar visibilidad al equipo SOC donde la mayoría de las organizaciones permanecen ciegas hoy, ya que la mayoría de ellas se centran en actividades de monitoreo en la red. Dichas empresas, en el marco del funcionamiento del centro de monitoreo y la respuesta operativa a los incidentes, rara vez o solo conectan parcialmente los puntos finales como fuentes de eventos en el sistema SIEM. Esto se debe al alto costo de recopilar y procesar registros de todos los puntos finales, y también a la generación de una gran cantidad de eventos para el análisis con un nivel suficientemente alto de falsos positivos, lo que a menudo conduce a la sobrecarga de especialistas y al uso ineficiente de recursos caros en general.
Una herramienta especial para detectar amenazas complejas en hosts
Las amenazas complejas y los ataques dirigidos que utilizan códigos maliciosos desconocidos, cuentas comprometidas, métodos sin archivos, aplicaciones legítimas y acciones que no conllevan nada sospechoso requieren un enfoque de detección de niveles múltiples utilizando tecnologías avanzadas. Dependiendo de un proveedor en particular, EDR generalmente puede incluir varias tecnologías de detección que funcionan en modo automático, semiautomático y herramientas integradas que requieren tareas de configuración manualmente, involucrando personal altamente calificado. Por ejemplo, puede ser: antivirus, motor de análisis de comportamiento, sandbox, búsqueda de indicadores de compromiso (IoC), trabajo con indicadores de ataque IoA, comparación con técnicas MITER ATT & CK, así como interacción automática con Threat Intelligence y consultas manuales a la base de datos global de amenazas, análisis retrospectivo, la capacidad de buscar de forma proactiva las amenazas (Threat Hunting). EDR es una herramienta adicional para análisis SOC con una interfaz intuitiva para la capacidad de buscar amenazas en tiempo real, que le permite realizar solicitudes complejas para buscar actividades sospechosas, acciones maliciosas, teniendo en cuenta las características de la infraestructura protegida.
Todo lo anterior permite a las organizaciones detectar amenazas complejas destinadas a eludir las herramientas de protección de host tradicionales, como los antivirus convencionales, NGAV o las soluciones de clase EPP (plataforma de protección de punto final). Hoy en día, estos últimos trabajan muy de cerca con las soluciones EDR y la mayoría de los fabricantes de esta clase de productos ofrecen funcionalidad EPP y EDR dentro de un solo agente, sin sobrecargar la máquina y al mismo tiempo brindando un enfoque integrado para proteger los puntos finales de amenazas complejas, bloqueando automáticamente los más simples. amenazas, terminando con la detección y respuesta a incidentes más complejos. Los mecanismos de detección avanzados utilizados en EDR permiten a los equipos identificar rápidamente las amenazas y responder rápidamente, evitando posibles daños al negocio.
Contexto adicional
Los datos sobre eventos de host del EDR son una adición significativa a la información generada por otros elementos de seguridad y aplicaciones comerciales de la infraestructura protegida, que son comparados por el sistema SIEM en el centro de monitoreo y respuesta a incidentes. EDR proporciona acceso rápido a datos de infraestructura de punto final ya enriquecidos en un contexto adicional, lo que permite, por un lado, identificar rápidamente falsos positivos, por otro lado, utilizar estos datos como un valioso material preprocesado en la investigación de ataques complejos, es decir, EDR proporciona registros relevantes correlacionar con eventos de otras fuentes, mejorando así la calidad de las investigaciones globales en el SOC.
Automatización adicional
Para las organizaciones que no tienen EDR, la detección de amenazas complejas en la infraestructura de los puntos finales, que incluye: recopilar, almacenar y analizar datos, así como llevar a cabo diversas acciones en las etapas de investigación y respuesta a incidentes complejos, parece una tarea bastante laboriosa sin el uso de herramientas de automatización.
Hoy en día, muchos analistas pasan mucho tiempo en operaciones de rutina que son necesarias e importantes, pero que pueden automatizarse. La automatización de estas tareas manuales de rutina permitirá a las organizaciones no solo ahorrar el costoso tiempo de trabajo del analista, sino también reducir su carga de trabajo y permitirles concentrarse en analizar y responder a incidentes verdaderamente complejos. Los EDR proporcionan un flujo de trabajo de gestión de incidentes totalmente automatizado, desde la detección de amenazas hasta el análisis y la respuesta. Esto permite que el equipo de SOC realice tareas diarias de manera más eficiente sin perder tiempo en el trabajo manual, lo que reduce el costo de analizar registros innecesarios.
Acceso rápido a los datos y su representación visual de la información.
Las organizaciones pueden encontrar algunas dificultades para obtener los datos necesarios para una investigación, como la imposibilidad de acceder rápidamente a estaciones de trabajo y servidores con una infraestructura distribuida o la imposibilidad de obtener información contextual de máquinas específicas debido a su destrucción o cifrado de datos por parte de intrusos. Esto, por supuesto, hace que sea imposible obtener los datos necesarios para un proceso de investigación efectivo y una mayor respuesta a los incidentes. Cuando el incidente ya ha ocurrido, el uso de la tecnología EDR, incluida la grabación continua y centralizada, elimina las conjeturas y ahorra tiempo al analista.
Un atacante a menudo destruye sus huellas, pero el EDR, como ya se mencionó, registra cada acción de ataque. Toda la cadena de eventos se registra y se almacena de forma segura para su uso futuro. Cuando se activa una advertencia de cualquier tipo, EDR proporciona una herramienta conveniente con la cual los analistas de SOC pueden solicitar rápidamente información para verificar amenazas, eliminar falsos positivos y hacer solicitudes para volver a escanear datos retrospectivos para aumentar la efectividad de la investigación y la respuesta.
Todas las acciones en los hosts se presentan en la interfaz en forma de un árbol de eventos, lo que ayuda a los analistas a ver la imagen completa del ataque, así como a buscar la información que necesitan para investigar y tomar medidas operativas para prevenir la amenaza.
El almacenamiento centralizado de telemetría, objetos y veredictos previamente generados permite a los analistas trabajar con datos retrospectivos como parte de una investigación de amenazas, incluidos los ataques que se extienden a lo largo del tiempo. EDR hoy es una fuente de datos valiosos para el SOC actual.
Respuesta centralizada
Cuando se detecta un incidente, EDR proporciona opciones avanzadas para tomar medidas en diferentes etapas de su investigación: por ejemplo, poner en cuarentena un archivo, ejecutar comandos arbitrarios en un host, eliminar un objeto, aislar la red de hosts y otras acciones. EDR le permite responder de inmediato a los incidentes a través de la presentación visual de información y la configuración centralizada de tareas, lo que no requiere viajes a la escena del crimen para encontrar evidencia y tomar medidas de respuesta. EDR es una herramienta para optimizar los costos laborales de los especialistas en SOC. Las organizaciones reducen significativamente el número de operaciones manuales de rutina, ahorran el tiempo de los analistas de SOC y reducen el tiempo de respuesta de horas a minutos.
Conclusión
Los EDR son una fuente inestimable de datos para los SOC, que brindan potentes capacidades de búsqueda de amenazas y respuesta centralizada a incidentes, al tiempo que maximizan la automatización de los procesos para recopilar, analizar y responder a las amenazas detectadas.
El uso de EDR dentro del SOC permitirá a las organizaciones:
- para aumentar la eficiencia del procesamiento de incidentes complejos debido a la visibilidad adicional del nivel de punto final, la posibilidad de búsqueda proactiva de amenazas y la presentación visual de información sobre eventos detectados en los hosts;
- enriquecer SOC con datos relevantes preprocesados de estaciones de trabajo y servidores, para compararlos con registros proporcionados por otras fuentes para una investigación efectiva;
- Reduzca significativamente la cantidad de horas que los analistas dedican a tareas tediosas pero necesarias asociadas al análisis de datos de estaciones de trabajo y servidores, así como a la respuesta a incidentes.