SENTRIA | Blog

CONOCE CÓMO PUEDES GARANTIZAR LA SEGURIDAD DE TU NEGOCIO CON EL SERVICIO MANAGED DETECTION AND RESPONSE

 

¿Cómo ayuda MDR en la gestión de incidentes de ciberseguridad?

Netdata
9 marzo, 2021
0 comentarios

MDR es un servicio avanzado de gestión de incidentes de ciberseguridad que proporciona inteligencia, cacería de amenazas y respuestas automatizadas. Descubre lo que puede hacer por tu negocio.

Escrito por: Francis Parra

 

MDR o Managed Detection and Response cada día se vuelve más popular e importante dentro del catálogo de servicios en el mercado para la gestión de incidentes de ciberseguridad.

Se trata de un servicio avanzado de seguridad administrada que proporciona inteligencia y cacería de amenazas, supervisión de eventos de seguridad; detección, análisis y respuesta a incidentes. Además, proporciona análisis de seguridad avanzado en endpoints, comportamiento de usuarios, aplicaciones y red.

 

Existen muchas empresas que ofrecen diferentes herramientas y procedimientos para detectar y responder a las amenazas. Sin embargo, contar con una herramienta no es suficiente, para esto se requiere de un equipo especializado que no solo identifique la amenaza o tome acción de las alertas, sino que interprete lo que está pasando en la red y presente un contexto de lo que se detectó.

 

Para una respuesta más rápida, el servicio de MDR también utiliza IA y aprendizaje automático para investigar, auto contener amenazas y orquestar la respuesta.

 

¿Cómo ayuda el servicio MDR a tu estratega de ciberseguridad?

Si lo que buscas para tu empresa es mejorar tus tiempos de detección de amenazas y la capacidad de respuesta a incidentes y de monitoreo continuo, a continuación, te explicaré por qué tu mejor solución es un servicio de MDR, cómo te ayudará frente a la gestión de incidentes de ciberseguridad y cuáles son sus fortalezas frente a los servicios tradicionales de seguridad administrada o MSSP.

 

SOC Tradicional vs. MDR

Los centros de operaciones de seguridad como servicio (SOCaaS), son comúnmente utilizados por los MSSP y gestionados a través de un SIEM. Tienen una cobertura basada en alertas y ofrecen una opción rentable a organizaciones que buscan subcontratar, pero tienen presupuestos limitados.

 

Sin embargo, en comparación con las capacidades de un MDR, son varios los vacíos que puede llegar a tener:

 

Criterios 
Técnicos

Capacidades

SOCaaS

MDR (Full Telemetría)

Visibilidad
  • Única fuente de telemetría
  • Telemetría completa independientemente del modelo de implementación

Precisión de Señal
  • Nivel bajo (logs, NetFlow)
  • Nivel alto (endpoints, PCAP, logs, vulnerabilidades, etc.)

Capacidad de Detección
  • Amenazas conocidas
  • Inteligencia sobre amenazas de productos básicos
  • Aprendizaje automático limitado
  • Comportamiento limitado
  • Amenazas conocidas
  • Inteligencia sobre amenazas de productos básicos
  • Inteligencia de amenazas personalizada (varía)
  • Aprendizaje automático avanzado
  • Comportamiento avanzado
  • Caza activa de amenazas
  • Búsqueda proactiva de amenazas

Respuesta
  • Reenvío de alertas no discriminado
  • Validación
  • Validación (más fuerte)
  • Automatización de amenazas conocida
  • Soporte completo del ciclo de vida de IR
  • Capacidades forenses completas
  • Táctica remota de administración de endpoints - Contención
  • Táctica remota de administración de red - Contención

Tabla 1. Comparativo SOC vs MDR

 

El desarrollo y constante evolución de la transformación digital es uno de los agravantes que ha causado la expansión sustancial de la superficie de ataque en el ciberespacio. Esto conlleva a una constante carrera de alto riesgo contra el tiempo para detectar y responder oportunamente las amenazas cibernéticas.

 

Lo que antes era un perímetro definido ahora es un entorno muy amplio y sin fronteras, y esto ha ocasionado que los equipos de seguridad busquen un centro de operaciones de seguridad (SOC) con servicios para reforzar las capacidades internas y mejoras de detección y respuesta.

 

¿Por qué necesitas un servicio de MDR?

Todos los días encontramos nuevas amenazas cibernéticas, estas van aumentando constantemente en cantidad y a nivel de complejidad o sofisticación.

Por lo tanto, los equipos de defensa siempre se encuentran en desventaja o un paso detrás de los ciberdelincuentes, ya que es muy difícil proteger una superficie de ataque tan grande, con nuevas técnicas, las 24 horas del día y que es humanamente imposible tener la capacidad de analizar la cantidad de eventos de seguridad y alertas que puede llegar a generar una red de TI promedio en tamaño.

Los servicios de MDR ofrecen capacidades de próxima generación que son difíciles de obtener a través de un MSSP tradicional y difíciles de mantener para la mayoría de las organizaciones; además que disminuyen el riesgo de errores por la interacción humana combinando automatización con habilidades de personas y eliminando los altos costos que pueda acarrear implementar una operación de seguridad de próxima generación.

 

<<Conoce más: ¿Cómo saber si mi empresa necesita el servicio de ciberseguridad MDR? >>

 

En la siguiente imagen, podrás observar los criterios técnicos que han sido evaluados para determinar la eficacia y eficiencia de los servicios MDR y lograr su objetivo principal que es minimizar el tiempo de permanencia de los atacantes en tu entorno antes de ser detectados:

 

 

MDR

Imagen 1. Marco mediante el cual las organizaciones pueden evaluar objetivamente a los proveedores de MDR

 

¿Cómo te ayudará un MDR frente a la gestión de incidentes de ciberseguridad?

Partiendo del ciclo de vida de IR (Incident Response), podemos hacer una evaluación por cada fase de la gestión de incidentes y observar los beneficios de aplicar esta gestión bajo los lineamientos de un servicio de MDR:

 

1. Planificación y Preparación

En esta fase se definen las fuentes de información que formarán parte del alcance para detectar incidentes de ciberseguridad. Hay muchas formas de obtener visibilidad de lo que sucede ~en términos de seguridad~ dentro de tu organización. 

Los servicios de MDR suelen depender de fuentes de telemetría de:

    • Endpoints: Datos de procesos y eventos en los dispositivos de punto final.
    • Redes: NetFlow, registros de metadatos, capturas de paquetes completos (por ejemplo, PCAP).
    • Datos de registros: Logs o eventos de inicio de sesión, eventos de detección, etc.
    • Nube: Datos fuera de logs, endpoints y datos de vulnerabilidades, por ejemplo, de agentes de seguridad de acceso a la nube (CASB) o registros de carga de trabajo en la nube.
    • Datos de vulnerabilidades: Vulnerabilidades comunes expuestas, datos de puertos expuestos, etc.

En la siguiente tabla, se puede observar la información que puede proveer cada tipo de telemetría:

 

Detección y RespuestaImagen 2. Profundidad a la que las diferentes fuentes de telemetría proporcionan información

 

2. Detección y Análisis

Para minimizar los tiempos de detección y contar con herramientas que logren brindar un contexto y enriquecimiento robusto para analizar a profundidad las amenazas e incidentes de ciberseguridad, los servicios de MDR optan por herramientas y tecnologías avanzadas en términos de seguridad, como:

        • NTA (Network Traffic Analysis) para detectar anomalías en tiempo real de los paquetes de red.
      • UEBA (User Entity Behaviour Analysis)
      • Plataformas de inteligencia de amenazas (TIP)
        • Cyber Threat Hunting (CTI)
      • Aprendizaje automático (Machine Learning)
      • Correlación de eventos.
      • Investigaciones de alertas de seguridad y amenazas 24x7.
      • Detección y categorización de amenazas basada en MITRE ATT&CK Framework.

3. Respuesta: Contención y Erradicación

Los servicios de MDR buscan identificar y comprender de qué van las actividades realizadas en los endpoints o en la red para prevenir y bloquear de forma automática futuras amenazas o comportamientos anómalos.

 

Al igual que buscar síntomas de actividad maliciosa y activar respuestas rápidas automatizadas mediante el análisis de datos contextualizados y enriquecidos por las herramientas.

Estas respuestas rápidas se traducen en actividades de contención y erradicación de amenazas que se pueden ejecutar remotamente con el fin de reducir el tiempo de detección y respuesta al menor posible.

Mediante los servicios de MDR se pueden orquestar respuestas automáticas dentro de las herramientas, que permitan ejecutar diferentes tipos de playbooks de acuerdo con la amenaza e incidente detectado.

 

Con nuestros servicios de MDR extendemos a tu organización nuestro estilo de defensa avanzada contra amenazas, junto con análisis robustos de seguridad difíciles de obtener mediante un MSSP tradicional y que además son difíciles de mantener para muchas organizaciones si no se tienen expertos a cargo.

 

<< Te invitamos a conocer más: Beneficios y diferenciales del MDR de Sentria by NETDATA>>

 
MDR
EDR
Netdata
Publicaciones Relacionadas
¿Qué es XSOAR de Palo Alto Networks?
¿Cómo saber si mi empresa necesita el servicio de ciberseguridad MDR?
¿Cómo gestionar, detectar y responder a ciberataques de forma acelerada ?

Categorías
Sígueme
Publicaciones Populares

SENTRIA es un servicio de gestión, detección y respuesta totalmente integrado con tecnologías líderes de Palo Alto Networks para potenciar tu equipo de SecOps 24/7 y ayudarlos a anticipar ciberataques en tus entornos de nube, híbridos y en premisas. Combinando la experiencia de Netdata, el partner de Palo Alto Networks más capacitado en todo el mundo, redefinímos la forma en que se prestan los servicios de seguridad.

Soluciones

Todos los derechos reservados © Netdata 2022