SENTRIA | Blog

CONOCE CÓMO PUEDES GARANTIZAR LA SEGURIDAD DE TU NEGOCIO CON EL SERVICIO MANAGED DETECTION AND RESPONSE

 

¿Cómo ayuda MDR en la gestión de incidentes de ciberseguridad?

Netdata
9 marzo, 2021
0 comentarios

MDR es un servicio avanzado de gestión de incidentes de ciberseguridad que proporciona inteligencia, cacería de amenazas y respuestas automatizadas. Descubre lo que puede hacer por tu negocio.


Escrito por: Francis Parra

 

MDR o Managed Detection and Response cada día se vuelve más popular e importante dentro del catálogo de servicios en el mercado para la gestión de incidentes de ciberseguridad.

Se trata de un servicio avanzado de seguridad administrada que proporciona inteligencia y cacería de amenazas, supervisión de eventos de seguridad; detección, análisis y respuesta a incidentes. Además, proporciona análisis de seguridad avanzado en endpoints, comportamiento de usuarios, aplicaciones y red.

 

Existen muchas empresas que ofrecen diferentes herramientas y procedimientos para detectar y responder a las amenazas. Sin embargo, contar con una herramienta no es suficiente, para esto se requiere de un equipo especializado que no solo identifique la amenaza o tome acción de las alertas, sino que interprete lo que está pasando en la red y presente un contexto de lo que se detectó.

 

Para una respuesta más rápida, el servicio de MDR también utiliza IA y aprendizaje automático para investigar, auto contener amenazas y orquestar la respuesta.

 

¿Cómo ayuda el servicio MDR a tu estratega de ciberseguridad?

Si lo que buscas para tu empresa es mejorar tus tiempos de detección de amenazas y la capacidad de respuesta a incidentes y de monitoreo continuo, a continuación, te explicaré por qué tu mejor solución es un servicio de MDR, cómo te ayudará frente a la gestión de incidentes de ciberseguridad y cuáles son sus fortalezas frente a los servicios tradicionales de seguridad administrada o MSSP.

 

SOC Tradicional vs. MDR

Los centros de operaciones de seguridad como servicio (SOCaaS), son comúnmente utilizados por los MSSP y gestionados a través de un SIEM. Tienen una cobertura basada en alertas y ofrecen una opción rentable a organizaciones que buscan subcontratar, pero tienen presupuestos limitados.

 

Sin embargo, en comparación con las capacidades de un MDR, son varios los vacíos que puede llegar a tener:

 

Criterios 
Técnicos

Capacidades

SOCaaS

MDR (Full Telemetría)

Visibilidad

  • Única fuente de telemetría
  • Telemetría completa independientemente del modelo de implementación

Precisión de Señal

  • Nivel bajo (logs, NetFlow)
  • Nivel alto (endpoints, PCAP, logs, vulnerabilidades, etc.)

Capacidad de Detección

  • Amenazas conocidas
  • Inteligencia sobre amenazas de productos básicos
  • Aprendizaje automático limitado
  • Comportamiento limitado
  • Amenazas conocidas
  • Inteligencia sobre amenazas de productos básicos
  • Inteligencia de amenazas personalizada (varía)
  • Aprendizaje automático avanzado
  • Comportamiento avanzado
  • Caza activa de amenazas
  • Búsqueda proactiva de amenazas

Respuesta

  • Reenvío de alertas no discriminado
  • Validación
  • Validación (más fuerte)
  • Automatización de amenazas conocida
  • Soporte completo del ciclo de vida de IR
  • Capacidades forenses completas
  • Táctica remota de administración de endpoints - Contención
  • Táctica remota de administración de red - Contención

Tabla 1. Comparativo SOC vs MDR

 

El desarrollo y constante evolución de la transformación digital es uno de los agravantes que ha causado la expansión sustancial de la superficie de ataque en el ciberespacio. Esto conlleva a una constante carrera de alto riesgo contra el tiempo para detectar y responder oportunamente las amenazas cibernéticas.

 

Lo que antes era un perímetro definido ahora es un entorno muy amplio y sin fronteras, y esto ha ocasionado que los equipos de seguridad busquen un centro de operaciones de seguridad (SOC) con servicios para reforzar las capacidades internas y mejoras de detección y respuesta.

 

¿Por qué necesitas un servicio de MDR?

Todos los días encontramos nuevas amenazas cibernéticas, estas van aumentando constantemente en cantidad y a nivel de complejidad o sofisticación.

Por lo tanto, los equipos de defensa siempre se encuentran en desventaja o un paso detrás de los ciberdelincuentes, ya que es muy difícil proteger una superficie de ataque tan grande, con nuevas técnicas, las 24 horas del día y que es humanamente imposible tener la capacidad de analizar la cantidad de eventos de seguridad y alertas que puede llegar a generar una red de TI promedio en tamaño.

Los servicios de MDR ofrecen capacidades de próxima generación que son difíciles de obtener a través de un MSSP tradicional y difíciles de mantener para la mayoría de las organizaciones; además que disminuyen el riesgo de errores por la interacción humana combinando automatización con habilidades de personas y eliminando los altos costos que pueda acarrear implementar una operación de seguridad de próxima generación.

 

<<Conoce más: ¿Cómo saber si mi empresa necesita el servicio de ciberseguridad MDR? >>

 

En la siguiente imagen, podrás observar los criterios técnicos que han sido evaluados para determinar la eficacia y eficiencia de los servicios MDR y lograr su objetivo principal que es minimizar el tiempo de permanencia de los atacantes en tu entorno antes de ser detectados:

 

 

MDR

Imagen 1. Marco mediante el cual las organizaciones pueden evaluar objetivamente a los proveedores de MDR

 

¿Cómo te ayudará un MDR frente a la gestión de incidentes de ciberseguridad?

Partiendo del ciclo de vida de IR (Incident Response), podemos hacer una evaluación por cada fase de la gestión de incidentes y observar los beneficios de aplicar esta gestión bajo los lineamientos de un servicio de MDR:

 

1. Planificación y Preparación

En esta fase se definen las fuentes de información que formarán parte del alcance para detectar incidentes de ciberseguridad. Hay muchas formas de obtener visibilidad de lo que sucede ~en términos de seguridad~ dentro de tu organización. 

Los servicios de MDR suelen depender de fuentes de telemetría de:

    • Endpoints: Datos de procesos y eventos en los dispositivos de punto final.
    • Redes: NetFlow, registros de metadatos, capturas de paquetes completos (por ejemplo, PCAP).
    • Datos de registros: Logs o eventos de inicio de sesión, eventos de detección, etc.
    • Nube: Datos fuera de logs, endpoints y datos de vulnerabilidades, por ejemplo, de agentes de seguridad de acceso a la nube (CASB) o registros de carga de trabajo en la nube.
    • Datos de vulnerabilidades: Vulnerabilidades comunes expuestas, datos de puertos expuestos, etc.

En la siguiente tabla, se puede observar la información que puede proveer cada tipo de telemetría:

 

Detección y RespuestaImagen 2. Profundidad a la que las diferentes fuentes de telemetría proporcionan información

 

2. Detección y Análisis

Para minimizar los tiempos de detección y contar con herramientas que logren brindar un contexto y enriquecimiento robusto para analizar a profundidad las amenazas e incidentes de ciberseguridad, los servicios de MDR optan por herramientas y tecnologías avanzadas en términos de seguridad, como:

        • NTA (Network Traffic Analysis) para detectar anomalías en tiempo real de los paquetes de red.
      • UEBA (User Entity Behaviour Analysis)
      • Plataformas de inteligencia de amenazas (TIP)
        • Cyber Threat Hunting (CTI)
      • Aprendizaje automático (Machine Learning)
      • Correlación de eventos.
      • Investigaciones de alertas de seguridad y amenazas 24x7.
      • Detección y categorización de amenazas basada en MITRE ATT&CK Framework.

3. Respuesta: Contención y Erradicación

Los servicios de MDR buscan identificar y comprender de qué van las actividades realizadas en los endpoints o en la red para prevenir y bloquear de forma automática futuras amenazas o comportamientos anómalos.

 

Al igual que buscar síntomas de actividad maliciosa y activar respuestas rápidas automatizadas mediante el análisis de datos contextualizados y enriquecidos por las herramientas.

Estas respuestas rápidas se traducen en actividades de contención y erradicación de amenazas que se pueden ejecutar remotamente con el fin de reducir el tiempo de detección y respuesta al menor posible.

Mediante los servicios de MDR se pueden orquestar respuestas automáticas dentro de las herramientas, que permitan ejecutar diferentes tipos de playbooks de acuerdo con la amenaza e incidente detectado.

 

Con nuestros servicios de MDR extendemos a tu organización nuestro estilo de defensa avanzada contra amenazas, junto con análisis robustos de seguridad difíciles de obtener mediante un MSSP tradicional y que además son difíciles de mantener para muchas organizaciones si no se tienen expertos a cargo.

 

<< Te invitamos a conocer más: Beneficios y diferenciales del MDR de Sentria by NETDATA>>

 

Netdata
Sígueme