Orden ejecutiva de la Casa Blanca: Mejora de la detección de vulnerabilidades de seguridad cibernética


Este es el tercero de una serie de weblogs sobre Cybersecurity EO, y te animo a leer los que te hayas perdido. (Parte 1, Parte 2).

Entre la publicación inicial de la Orden Ejecutiva (EO) para Mejorar la Ciberseguridad de la Nación el 12 de mayo y finales de julio, continúa ocurriendo una oleada de actividad por parte de departamentos y agencias sobre la mejor manera de comprender y abordar las posibles brechas de seguridad. Una vez identificados, estos análisis facilitarán los planes para cumplir con los requisitos y aumentar aún más las medidas preventivas existentes de las agencias para mejorar su postura de ciberseguridad. Debido a las numerosas violaciones de seguridad cibernética de gran alcance que se han producido durante el año pasado, una de las áreas principales de énfasis en la Orden Ejecutiva es mejorar la capacidad del Gobierno Federal para ser más proactivo en la detección de vulnerabilidades y la prevención de incidentes de seguridad cibernética en la crimson de una agencia. Al introducir una solución de detección y respuesta de endpoints (EDR) en un entorno empresarial, el gobierno podrá empoderar a los equipos de SOC de las agencias para que participen en actividades activas de ciber-caza, contención, remediación y respuesta a incidentes de manera más universal.

¿Cómo mejora MVISION EDR de McAfee la postura de seguridad de una agencia?

La pérdida potencial y el impacto de un ciberataque ya no se limita a un solo silo dentro de la red de una agencia o un pequeño subconjunto de dispositivos. Puede escalar rápidamente e impactar la misión de una agencia en segundos. Es por eso que la Orden Ejecutiva establece que es crucial que se emprenda una iniciativa de todo el gobierno para comenzar a adelantarse a los actores malintencionados mediante el desarrollo de una estrategia de seguridad integral para prevenir ataques antes de que sucedan.

Muchas ciberamenazas utilizan múltiples mecanismos de ataque, lo que requiere un enfoque diferente para mantener nuestras empresas a salvo de actores maliciosos. Las plataformas de protección de endpoints siguen desempeñando un papel elementary en la defensa de los activos de la agencia, pero son solo un componente de un enfoque de múltiples niveles para una estrategia sólida de ciberseguridad. Afortunadamente, la plataforma de protección de endpoints de McAfee Business ofrece una capacidad de detección de amenazas que permite incorporar una solución de próxima generación (EDR) para rastrear amenazas potenciales si rompen la primera capa de contramedidas.

Al incorporar la detección y respuesta de endpoints (EDR), las organizaciones tienen regulate granular y visibilidad de sus endpoints para detectar actividades sospechosas. Como servicio en la nube, EDR puede incorporar nuevas funciones y servicios de una manera mucho más ágil que otras soluciones. MVISION EDR puede descubrir y bloquear amenazas en la etapa previa a la ejecución, investigar amenazas mediante análisis y ayudar a proporcionar un strategy de respuesta a incidentes. Además, al aprovechar la inteligencia artificial y el aprendizaje automático para automatizar los pasos en un proceso de investigación, los cazadores de amenazas más experimentados pueden concentrarse en un análisis en profundidad de ataques sofisticados, y otros miembros del equipo de SOC pueden descubrir hallazgos clave para clasificar las amenazas potenciales mucho más rápido y con menos experiencia. Estas nuevas capacidades pueden aprender los comportamientos básicos de una agencia y utilizar esta información, junto con una variedad de otras fuentes de inteligencia de amenazas, para interpretar los hallazgos.

¿Es suficiente la detección y respuesta de endpoints (EDR)?

A medida que la superficie de ataque continúa evolucionando, se necesita un enfoque de detección mucho más holístico. Aunque EDR es very important para hacer surgir amenazas anómalas y comportamientos maliciosos para estaciones de trabajo, servidores y cargas de trabajo en la nube, su área de influencia se limita a la telemetría proporcionada por el punto last. Al darnos cuenta de que EDR es ciego a la red y SIEM es ciego al endpoint, integramos las tecnologías McAfee Organization EDR y SIEM para enriquecer las investigaciones. Aún así, se necesitan más fuentes de telemetría para revelar todos los vectores de amenazas potenciales que una empresa puede encontrar. Aquí es donde entra en juego la Detección y Respuesta Extendida (XDR), apoyando a las agencias en un viaje más allá del punto last y permitiéndoles cerrar aún más brechas.

¿Por qué las agencias deberían centrarse en una estrategia de detección y respuesta extendidas (XDR)?

XDR no es un único producto o solución, sino más bien un viaje, ya que se refiere a la compilación de múltiples productos y tecnologías de seguridad que componen una plataforma unificada. Un enfoque de XDR cambiará los procesos y probablemente fusionará y fomentará una coordinación más estrecha entre diferentes funciones como analistas de SOC, cazadores, personalized de respuesta a incidentes y administradores de TI.

Los SIEM se basan en gran medida en datos, lo que significa que necesitan definiciones de datos, reglas de análisis personalizadas y paquetes de contenido prediseñados para proporcionar contexto retrospectivamente en función de los datos que han ingerido. Por el contrario, XDR se basa en hipótesis, aprovechando el poder del aprendizaje automático y los motores de inteligencia synthetic para analizar datos de amenazas de alta fidelidad de una multitud de fuentes en todo el entorno para respaldar líneas de investigación específicas asignadas al marco MITRE ATT & CK.

Técnicamente hablando, un XDR es una plataforma convergente que aprovecha una taxonomía común y un lenguaje unificador. Un XDR eficaz debe reunir numerosas señales heterogéneas y devolver una representación visible y analítica homogénea. XDR debe mostrar claramente las posibles correlaciones de seguridad en las que debería centrarse el SOC. Una solución de este tipo eliminaría los duplicados de la información por un lado, pero enfatizaría los ataques verdaderamente de alto riesgo, al tiempo que filtraría las montañas de ruido. El resultado deseado no requeriría cantidades excesivas de trabajo handbook repetitivo. En cambio, permitiría a los equipos de SOC centrarse en liderar investigaciones y mitigar ataques. La presentación de datos de XDR sería consciente del contexto y el contenido, sería avanzada tecnológicamente y, sin embargo, sería lo suficientemente simple para que los analistas la entendieran y actuaran.

A medida que muchas organizaciones comienzan a adoptar soluciones EDR con la capacidad de adoptar XDR, también deben considerar cómo estas soluciones les permiten migrar hacia una arquitectura Zero Have confidence in. La gran cantidad de información que estará disponible en una plataforma capaz de destilar la telemetría de amenazas no solo desde los puntos finales, las redes a las que acceden y los servicios en la nube que consumen creará ventajas reales. Mejorará en gran medida la granularidad, la flexibilidad y la precisión de los motores de políticas que otorgan acceso a los recursos empresariales y utilizan ese grado de confianza para determinar cuánto acceso se otorga dentro de la aplicación.

La solución ideal debe proporcionar capacidades mejoradas de detección y respuesta en terminales, redes e infraestructuras en la nube. Debe priorizar y predecir las amenazas importantes antes del ataque y prescribir las contramedidas necesarias que permitan a la organización fortalecer de manera proactiva su entorno. La solución great también debe incorporar Zero Believe in y debe basarse en un ecosistema de seguridad abierto.

McAfee Company reconoció desde el principio que un ecosistema de seguridad de múltiples proveedores es un requisito clave para desarrollar una práctica de seguridad de defensa en profundidad. Uno de los bloques de construcción clave fue la capa de intercambio de datos (DXL), que posteriormente se puso a disposición como un proyecto de código abierto (OpenDXL) para que la comunidad desarrolle aún más casos de uso innovadores. Esto permitió que nuestro diverso ecosistema de socios, desde plataformas de inteligencia de amenazas hasta herramientas de orquestación, utilizaran un mecanismo de transporte común y un protocolo de intercambio de información, alentando así a los proveedores participantes a no solo comunicar detalles vitales de amenazas, sino también informarles sobre las acciones que deben tomar todas las soluciones de seguridad conectadas.

Cuando combina XDR y un ecosistema de seguridad abierto para las capacidades de XDR, las agencias tendrán una foundation sólida para mejorar sus capacidades de visibilidad y detección en toda su infraestructura cibernética.





Enlace a la noticia first