Si usted es un respondedor de incidentes, un analista de SOC o un cazador de amenazas, sabe cómo una solución EDR bien diseñada puede aumentar su capacidad de visibilidad, detección y reacción. Sin embargo, en muchas organizaciones, un solo equipo azul, o cómo nos gusta llamarlos, un "todo defensor, "Puede usar todos estos sombreros. Incluso cuando todas estas funciones son realizadas por la misma persona, se requiere un enfoque diferente para cada uno de estos flujos de trabajo de operaciones de seguridad diferentes. Mientras que un respondedor de incidentes pasa la mayor parte de su tiempo conteniendo impacto, alcance, recopilación y análisis de nuevos artefactos, cazadores de amenazas busque la aguja en el pajar, encuentre la presencia de adversarios avanzados a través de consultas proactivas, análisis e investigaciones basadas en hipótesis que a menudo terminan en la declaración de un incidente.
Compare ese trabajo con el rol de analista de seguridad. Si se trata de un analista que trabaja en un interna SOC, un analista que trabaja para un servicio MSSP o MDR, o simplemente alguien que reacciona a las alertas de seguridad que aparecen en la pantalla de monitoreo EDR, en un SIEM o en una herramienta de orquestación.
¿Cómo es eso diferente? Primero, ni el respondedor del incidente ni el cazador de amenazas se preocupan por los falsos positivos o el llamado "ruido". Para un respondedor de incidentes o un cazador de amenazas, la prioridad es tener bajos falsos negativos. En otras palabras, para no perderse nada. Para ellos, la visibilidad es una prioridad, incluso si eso significa tratar con una gran cantidad de datos. Para ese propósito, una solución EDR bien diseñada debe tener una poderosa lenguaje de consulta en tiempo real así como la capacidad de proporcionar una reacción rápida a las amenazas recién descubiertas.
Un analista de seguridad, por otro lado, trabaja principalmente fuera de la pantalla de monitoreo, reaccionando a las alarmas que pueden resultar en la declaración de un incidente. En este rol, tener una baja tasa de falsos positivos es crítico. Tradicionalmente, las herramientas de detección mal configuradas han abrumado a los analistas con alertas hasta el punto en que el analista ya no puede confiar en el producto.
Pero tener una baja tasa de falsos positivos no es suficiente. La calidad de esas alarmas también es primordial. ¿Cómo definimos la calidad en este contexto? Usando la definición de Forrester, "desde una perspectiva de detección, una solución ideal alertaría una vez y correlacionaría todas las demás detecciones con esa alerta inicial. (…) Cuantas más alertas generes, menos eficiente estás ayudando a un SOC a descubrir un verdadero comportamiento de adversidad ".
Observe cómo se alinea esto con el Modelo de seguridad basado en el tiempo descrito en nuestro publicación de blog anterior. Para tener éxito como defensor, es esencial reaccionar de la manera más rápida posible, generando una alarma lo antes posible en la cadena de ataque, mientras correlaciona, agrega y resume todas las actividades posteriores para preservar la capacidad de acción.
Para ilustrar: imagine que ha instalado una cámara de seguridad que no solo le brinda visibilidad continua a través de la grabación de video 24 × 7, sino que también está equipada con un sensor de movimiento para alertar cuando alguien se acerca a su puerta principal. Si un intruso se acerca a su casa en medio de la noche, no solo desea tener una grabación completa del evento, compartirlo con la policía en una investigación, sino que también desea recibir una alerta. Pero tener una alerta no es suficiente. No querrás que te avisen cuando el ladrón salga por la puerta con tu televisor, sino lo antes posible, idealmente, antes de que pueda causar algún daño. Y piense en la calidad de las alertas. ¿Desea que su teléfono se inunde con varios mensajes por segundo provenientes del mismo sensor, para el mismo evento? ¿O preferiría tener una sola alarma con suficiente contexto de acción, como una sola captura de pantalla del intruso, dejando su dispositivo disponible para que pueda responder adecuadamente, por ejemplo llamando al 911 lo antes posible?
En McAfee, sabemos cómo funcionan las operaciones de seguridad, y por eso hemos diseñado MVISION EDR con ‘Equipo humano máquina' en mente. En este paradigma, nuestro sistema experto supervisa, rastrea, detecta, resume y agrega alertas individuales que se presentan a los analistas. como amenazas correlacionadas. Al analista se le presenta todo este contexto que le permite clasificar, validar y determinar si esta actividad representa un incidente, en función de sus políticas organizacionales. En ese caso, el analista crea una investigación para evaluar el alcance y la gravedad del incidente en toda la organización, mientras que la amenaza puede ser contenida. Además, las investigaciones se expanden automáticamente utilizando guías de investigación experta.
Considere el ejemplo de la evaluación APT29 de MITRE. Durante el ataque del día 1, MVISION EDR generó 61 detecciones a lo largo de la cadena de ataque. Imagina que eres el analista sentado frente a la consola. ¿Realmente necesitas ver 61 alarmas individuales? Claramente no. De hecho, MVISION EDR correlacionó, agregó y resumió estas detecciones sin dejar de rastrear las actividades del atacante, presentando solo 4 "amenazas" correlacionadas en la interfaz de usuario.
Estas amenazas correlacionadas se clasificaron automáticamente de acuerdo con su gravedad, como se ve en las Figuras 2 y 3.
Como se muestra en la Figura 4, esta agregación no significa perder contexto. De hecho, tEstas amenazas correlacionadas proporcionan una alta accionabilidad, lo que permite al analista tener una visión general rápida del comportamiento de la amenaza, asignada a MITER ATT & CK, así como una gran cantidad de acciones de respuesta que le permiten al analista elegir la respuesta más adecuada para su entorno en cuestión de segundos.
En conclusión, MVISION EDR pudo agregar y resumir la emulación de ataque APT29 de MITRE en 4 amenazas. Al mismo tiempo, la telemetría enriquecida y contextualizada permite que los equipos de operaciones de seguridad implementen y optimicen flujos de trabajo de operaciones de seguridad clave adicionales, como respuesta a incidentes, investigaciones y búsqueda de amenazas.
