Contexto significativo para sus investigaciones de amenazas de punto final


Inteligencia de amenazas (TI) el arte de destilando todo lo que está sucediendo globalmente en el adversario tpaisaje urbano y Programas TI – reductor a lo que es necesario contexto para que su empresa y su equipo de seguridad sepan y tomar medidas de mitigación contra – es difícil. Sin embargo, muchas compañías continúan intentando y crear una capacidad de inteligencia de amenazas desde el suelo arriba y encontrar que su TLos programas no son lo que realmente querer es ser. No es de extrañar, entonces, que mientras el 64% de las empresas dicen que tienen un programa de inteligencia de amenazass, solo el 36% cree que atraparían a un atacante sofisticado, según un informe de Ernst & Young sobre inteligencia de amenazas cibernéticas. Wsombrero es causando la desconexión en efectividad de those TI programas?

Una parte significativa del problema. con TI es eso el analistas humanos debe absorber la TI global, priorizar para su organizacióny luego en la zona-operacionalizar cualquier inteligencia relevante para su empresa – y eso no es fácil! Teniendo unacceso a TI es solo el primer paso en el camino para agregar contexto a los eventos que su equipo está viendo dentro de la red. Torneado alimentación de amenazas externas o datos de un programa de inteligencia de amenazas (TIP) dentro útil contexto para equipos de seguridad y luego conectarEn g ese contexto al individuo acciones y projects – requiere tiempo y recursos para producir resultados. El proceso a menudo es lento y muchos recursos, más lejos Retraso en la detección. Menos que 20% de infracciones son detenidos en una moda oportuna (por ejemplo, en cuestión de horas), de acuerdo a Verizon. Peor que eso, saber sobre una amenaza antes de que lo encuentres (por ejemplo, una campaña) y luego ser violado mientras todavía trabajando para ajustar proactivamente sus contramedidas contra esa amenaza sería desastroso. Una falta de oportuno, procesable contexto de Tyo es por lo tanto un contribuidor principal a NO siendo proactivo preparado para un ataque. ¿Hay alguna forma de producir contexto procesable, apropiado para su organización, de manera oportuna y eficiente en el uso de recursos? ¿Hay alguna manera de expandir ese contexto a las amenazas que NO en su entorno pero te diriges

Inteligencia de amenazas Contexto: Aproveche EDR ¿o no?

A medida que las empresas continúan implementando la detección y respuesta de punto final (EDR) en las máquinas de los usuarios, los equipos de seguridad reconocen que la tecnología puede detectar comportamientos anómalos en el punto final. siut determinar el grado en que esas actividades constituyen un real amenaza eso te importa requiere más contexto. Sin el contexto para interpretar si un la actividad en el sistema es maliciosa o benigna, las empresas son limitado en su capacidad de hacer la caza de amenazas. (Barra lateral) Definir la caza de amenazas: la caza de amenazas es la práctica de buscar de manera proactiva las amenazas cibernéticas que están ocultas, sin ser detectadas, en el entorno de una organización.

Sin sensible al contexto tamenaza yointeligencia integrado con EDR, Los equipos SOC se reducen a buscando sin cesar eventos de punto final para IOC conocidos asociados con adversarios y luego manualmente haciendo correlación cruzada con miTI eterna. No tienen forma de automáticamente correlación cruzadami estos eventos con actividades adversas conocidas o TTP adversarios conocidos (por ejemplo, como conocer la IP de C&C habla a)y terminan teniendo un muy bajo señal a ruido (SN) relación donde pierden mucho tiempo investigando cosas que resultan ser nada porque se pierden todas las correlaciones de TI. Tener una manera de incorporar TI de una manera contextual realmente mejoraría la relación señal-ruido y hacer que el equipo de SOC sea mucho más efectivo.

Ahí es donde eficaz Tyo integración vens en juego y separa TI efectiva programas de TI ineficaz programas. Con correctamente integrado TI, deberías tener fácil acceso dentro cosas como datos de ataque de crowdsourced que identifican Tácticas, técnicas y procedimientosmidures (TTP.) Una vez que los nuevos TTP han sido identificado por la comunidad de inteligencia cibernética, esto da tamenaza hmuestra una manera fácil y de alta fidelidad para buscar comportamientos de ataque específicos en el entorno de la organización, sabiendo a qué ataques están relacionados esos TTP. Con este tipo de integración de TI, el Centro de Operaciones de Seguridad (SOC) puede identificar amenazas más rápidamente y ser capaz de mejorar la relación señal / ruido para investigaciones priorizadas con precisión. Sin embargo, Yo diría que esto es solo estacas de mesa. ¿Qué y cómo podemos llevar la integración de TI al siguiente nivel?

Una verdadera superior La integración de TI también proporcionaría priorización de amenazas conocidas en función de si la amenaza está dirigida a su sector industrial y geografía y Más importante, pagsredict el riesgo de que su entorno se vea afectado por la amenaza. Esta TI accionable ofrecería contramedidas y prescribir qué que hacer si las contramedidas son predicho para ser ineficaz. Con este siguiente nivel de Integración de TI, el Sseguridad Operaciones Center (SOC) puede en realidad mover de ser más proactivo, mediante la automatización el análisis de amenazas que ni siquiera ha encontrado la organización. T¡La organización ahora está preparada para ataques que EDR aún no ha visto!

Verificación de la realidad aquí, ¿cuántas organizaciones tienen este nivel de contexto e integración sobre amenazas? No muchos.

Los que conozco hoy son los clientes actuales de McAfee que pparticipó en nuestro Programa de Desarrollo Conjunto para MVISION Insights este último trimestre.

McAfee ha creado su Servicio MVISION Insights Para proveer una superiorTI integrada para que los equipos de seguridad lata priorizar y predecir amenazas por correlación cruzada conocida Campaigns utilizando industria y gramoeográfico actividad de amenaza con la propia postura de seguridad derivado de elir telem de seguridadmitratary prescribir másforma efectiva de lidiar con la amenaza. Este tipo de la solución potencia la SOC a ir más allá correlación cruzada manual de TI y pasar a mucho más fácilmente priorizar las amenazas que importan y pasar de ser reactivo a siendo mucho más proactivo

MVISION Insights potencia McAfee MVISION EDR para el analista de SOC en muchos frentes por ofreciendo un contexto más accionable para el SOC ser – estar más proactivo.

Este tipo de integración de TI puede reducir las investigaciones innecesarias que hace un SOC y también puede mejorar la velocidad y exactitud de el investigaciones que tener recursos asignados. Al tener el contexto de una amenaza (por ejemplo, al tener TTP organizados y seleccionados para campañas, conocer el ataque operación y objetivo, lista de COI, etc.) el SOC analista puede aprovechar este contexto en una investigación actual y realmente reduce el tiempo y el esfuerzo para completar la investigación. Contexto adicional como este puede ambos eliminan investigaciones innecesarias y acelerar la investigación a una resolución decisiva.

El contexto de TI es el rey pero …

Hemos visto que uns Las capacidades de EDR se adoptan más ampliamente, cada vez es más claro que saber lo que está sucediendo en el punto final y "buscando pistas" no es suficiente. Sin significativo y automatizado contexto a partir de una debidamente integrado Capacidad de TI, las empresas son más lentas para identificar eventos maliciosos, pueden no priorizar las investigaciones de ataques por amenazas dirigidas a su camino, y podría tomar los pasos equivocados para remediar la amenazas. TEl problema es que el tiempo es crítico: un atacante puede usar un par de días para hacer cosas realmente malas en su red. Teniendo eficaz automatizado señalal ruido mejora a través de un programa de TI correctamente integrado puedo ayudarte con rapidez detectar y cazar atacantes y Sea proactivo contra las amenazas que se dirigen hacia usted, pero son no en tu entorno.

Context no es solo una breve reseña de un PROPINA o fuente de inteligencia de amenazas externas. Típicamente, un humano debe leer e interpretar y analizar ese feed, a menudo conduce a un retraso significativo en la incorporación de la información en el SOC respuesta. En la mayoría de los casos, TI productos no ofrecer suficiente guía de remediación, ellos sólo proporcionar El perfil de amenaza.

PAGSEl proyecto de TI integrado correctamente puede resolver estos problemas y una integración TI superior puede mover el SOC a ser proactivo. MVISION Insights de McAfee ofrece inteligencia y contexto procesables en unn forma automatizada que puede aumentar y acelerar las investigaciones y hacer que el SOC sea proactivo con respecto a amenazas que ni siquiera han sido detectadas en la organización. Al liberar analistas de análisis manual de fuentes de inteligencia, las empresas pueden atrapar más ataques más rápidamente y ser proactivo contra las amenazas que los atacan.

Además, la información no proviene de algunas instancias o fuentes de código abierto, sino de toda la base de clientes de McAfee en todo el mundo desde más de 1B sensores.

Muchas compañías están entregando máquinas Aprendizaje y aplicaciones de inteligencia artificial para orquestación de seguridad, automatización y respuesta. Muy pocos poseer los datos y el contexto de una base de clientes tan grande como la nuestra.

Tener el contexto correcto de TI de un muy respetado fuente con estadístico alcanzar y Un análisis de amenazas que sea procesable da a las organizaciones confianza para abordar un sofisticado atacante antes de su ataque, eleva esta TContexto a nuevas alturas mientras cambiando ciberseguridad para ser más proactivo.

Para obtener más información sobre McAfee Insights, consulte nuestro seminario web.

Adelántate al adversario con Seguridad de punto final proactiva





Enlace a la noticia original