Misión posible: perseguir y detener a los atacantes sigilosos con MVISION XDR


Imagina, si quieres, una escena sacada directamente de una de tus películas favoritas de misiones imposibles. La música de fondo está impulsando un ritmo de suspenso mientras el antagonista intenta robar la última tecnología de un competidor de la industria muy favorecido llamado Rad-X Incorporated. Es un secreto comercial que cambiará la industria para siempre, y si el villano logra su misión, tendrá el futuro de la aviación en la palma de su mano. Ella pasó por alto los detectores de movimiento láser, se balanceó desde el techo para evitar las placas de presión colocadas en el piso e incluso realizó algunas acrobacias muy intensas para deslizarse a través de los mecanismos de videovigilancia. Luego, en la cúspide del suspenso mientras la música asciende a un crescendo, una liberación de golpes fuertes, extiende la mano para agarrar un microchip colocado en el centro de la habitación en un pedestal como si la habitación estuviera diseñada solo para mostrar su magnificencia. Mientras sus dedos se apoyan suavemente contra el circuito … la música se detiene, las alarmas suenan, ¡y ella se marcha completa y absolutamente tranquila!

Todos los componentes de esta escena estaban destinados a registrar y detectar cuándo ocurre una actividad. Pero cuando más lo necesitamos, lo único que se obtiene es una capacidad de detección de ruidos. En realidad, no «impidió» que el actor malintencionado hiciera algo. En cambio, el sistema simplemente les permite a todos saber que ocurrió … muy anticlimático si me preguntas, y francamente no muy útil si eres el buen tipo.

Deconstruyendo el SIEM, registro por registro

Las tecnologías SIEM se han utilizado en operaciones de seguridad durante más de 15 años por varias razones. Primero, los SOC deben poder contar una historia mientras realizan investigaciones de respuesta a incidentes. Y para retroceder en el tiempo de manera efectiva, se puede acceder más fácilmente a los eventos registrados de estas actividades si los eventos se almacenan de manera centralizada y para una longevidad adecuada. Entonces, cuando aparece la policía, la víctima puede nombrar con precisión al perpetrador. A continuación, debido a que las fuentes de datos son tan dispares, los SIEM se pueden usar para correlacionar actividades entre feeds que generalmente no están relacionados. Por ejemplo, si se activa una placa del piso, luego un sensor de movimiento se dispara dentro de los 15 segundos entre sí, su gravedad colectiva puede generar más alarma. Y en tercer lugar, la presentación de informes centralizados sobre datos colectivos permite a la empresa identificar dónde está invirtiendo de manera efectiva en tecnologías de control. En este ejemplo extendido, la víctima puede ejecutar un informe mensualmente que muestra que el sensor de presión del microchip se activó 5 veces este mes, mientras que los otros pueden haberse activado solo una o dos veces. Ciertamente, todas estas capacidades son tan importantes hoy como lo eran en 2005.

Pero hay una brecha evidente: ¿por qué no hay una mejor manera de tomar medidas correctivas después de que ocurra el incidente? Las capacidades de detección y respuesta extendidas (XDR) tienen algunos resultados similares a los que esperaríamos en 2021, pero con un componente de respuesta adicional … y en el caso de McAfee, muchos componentes de respuesta. Algunas capacidades se superponen a las de SIEM, lo que es organic en función de cada caso de uso, pero ambas siguen siendo esenciales para el programa de operaciones de seguridad moderno.

Figura 1: Capacidades SIEM vs XDR

Si ve algo, haga algo

Si bien las tecnologías SIEM, en su mayor parte, permiten a sus administradores integrarse a través de API con otras tecnologías, las acciones disponibles a menudo son de naturaleza limitada y no brindan una opción de respuesta uniforme y consistente en todo el panorama. Sin embargo, XDR hace precisamente eso. La plataforma está diseñada de tal manera que si el sistema en el que está actuando es un punto remaining, un componente de crimson o un servicio en la nube, el profesional de operaciones de seguridad debe esperar disfrutar de un nivel íntimo de command nativo en ese dispositivo de regulate de seguridad. Realizar acciones como restringir un mayor acceso, recuperar información adicional o obtener capacidades de la consola debe ser tan easy como hacer clic en un botón. Con XDR, cuando sonaba la alarma, Rad-X habría podido simplemente hacer clic en un botón para bloquear la habitación abovedada y detener al perpetrador.

Y dado que este es un diferenciador entre las plataformas XDR y SIEM, debería ser lógico pensar que las capacidades de respuesta deberían ser un issue clave al comparar proveedores XDR. McAfee ofrece algunas de las capacidades de respuesta más sólidas desde el primer momento, como poner en cuarentena los activos afectados, al mismo tiempo que ofrece la capacidad de escribir los suyos propios para Windows, MacOS o Linux.

Vaya donde están los datos: en la fuente

Si bien es dolorosamente evidente que los datos que ingresan a los lagos de datos y las recopilaciones masivas de datos cambian regularmente, los tipos de datos cambian casi con la misma frecuencia. La tecnología SIEM, que se basa en gran medida en recopiladores, análisis, enriquecimiento, ontología y más, a menudo no logra abordar el cambio continuo de tipos de datos en la fuente de datos. Esto significa que los recopiladores deben actualizarse con frecuencia. Sin embargo, ¿qué pasa si los datos se clasificaron y analizaron primero en la fuente y los resultados se entregaron a los puntos de recopilación y correlación? Esto abordaría una gran parte del desafío del tipo de datos y, al mismo tiempo, esperaría y abrazaría la idea de que los datos continuarán viviendo en su origen. Claro, puede haber casos en los que los datos sin procesar deban enviarse a un almacenamiento masivo para la búsqueda histórica y la búsqueda, pero esos son la minoría de los casos. Y, dado que el objetivo de XDR no es cumplir con los requisitos de retención de registros como herramienta de cumplimiento, no es necesario que se centre en recopilar todos los eventos creados.

Al ejecutar una búsqueda en la plataforma XDR, como MVISION XDR de McAfee, las búsquedas se pueden ejecutar en el almacenamiento masivo o en tiempo true. Las búsquedas en tiempo authentic permiten que la fuente de datos realice la consulta contra el origen sin procesar del evento. Y, dado que ambas capacidades están disponibles, es fácil comparar deltas entre el estado de la fuente de datos. Si Rad-X estuviera usando XDR, podrían hacer preguntas sobre los pasillos, las cámaras y las vías de entrada que el villano estaba usando durante el ataque. En cambio, se vieron obligados a esperar a que ocurriera un evento lo suficientemente significativo para ser alertados de que el incidente había quedado en el pasado.

Figura 2: Arquitectura lógica XDR

Figura 3: Arquitectura SIEM tradicional

Como puede ver en las ilustraciones anteriores, XDR ofrece a los equipos de seguridad un modelo arquitectónico de servicios nativo de la nube más straightforward en comparación con el SIEM tradicional. La mayoría de las implementaciones de SIEM requieren que toda la infraestructura nativa se implemente como software o dispositivos locales o en IaaS. XDR puede reducir la complejidad de su configuración de seguridad y los recursos expertos necesarios para operarlo.

Very hot Pursuit: un enfoque proactivo para encontrar amenazas

El CEO de Rad-X quiere respuestas, ¡y las quiere ahora! ¿Cómo pasó esto? ¿Sabíamos sobre esta felony y cualquier cosa que pudiera haber estado haciendo? ¿Éramos los únicos objetivos? ¿Cuál es nuestro mejor curso de acción para investigar lo que sucedió aquí?

MVISION XDR está diseñado para responder exactamente a estas preguntas.

MVISION XDR va más allá de la consolidación de detección y respuesta de endpoints (EDR), detección y respuesta de red (NDR) y capacidades de detección y respuesta en la nube, ya que aprovecha la inteligencia de amenazas y las evaluaciones de postura analítica de MVISION Insights para guiar su capacidad de predecir, prescribir, y ayudar a priorizar lo más importante en su organización. MVISION Insights ayudaría a Rad-X a cambiar su enfoque a la izquierda del momento del impacto al informar a sus defensores sobre las amenazas pendientes del actor de amenazas. Saber que estaba apuntando a innovadores de la aviación y que Rad-X estaba en su línea de visión habría ayudado, pero también señalaría las lagunas en las capacidades de defensa basadas en sus técnicas y procedimientos.

Luego, incluso si el incidente aún hubiera ocurrido, MVISION XDR podría aprovechar su análisis de datos de Inteligencia Artificial al examinar cómo se comportó el intruso, qué tipo de artefactos se dejaron en el piso y qué puede faltar en el entorno que «debería» estar allí. Es como tener un Sherlock Holmes digital analizando cada uno de sus incidentes XDR en endpoints, redes y entornos de nube.

Misión cumplida: supere los límites con MVISION XDR

Rad-X sufrió un evento desafortunado, pero aprendieron una lección increíblemente valiosa: SIEM es importante ya que cumple con algunas funciones críticas, pero XDR es más apropiado para realizar investigaciones impulsadas por acciones, análisis de amenazas, respuesta rápida y más. Por lo tanto, si se encuentra en una posición como Rad-X y tiene curiosidad sobre el valor y los beneficios de XDR en su entorno, saque una página del libro de jugadas de Rad-X y considere MVISION XDR para proporcionar un cambio en las predicciones y prescripciones de amenazas. y priorización. Considere MVISION XDR para mejorar sus capacidades de análisis de incidentes con manuales de IA basados ​​en la nube. Y considere MVISION XDR para proporcionar detección y respuesta capacidades del dispositivo a la nube.

Si desea obtener más información sobre lo que MVISION XDR puede hacer por usted y cómo está evolucionando en McAfee, únase a mí para una charla técnica en vivo el 25 de mayo de 2021. Me acompañará Randy Kersey, gerente de producto de XDR en McAfee, para analizar cómo los equipos de operaciones de seguridad pueden responder de manera más eficaz a los incidentes aprovechando su amplia telemetría de seguridad con la última versión de MVISION XDR. Asegúrese de registrarse a través de LinkedIn. ¡Espero verte allí!





Enlace a la noticia unique