España
Reino Unido
Italia
Portugal
Autor/a: Meaghan Buchanan
Hace más de siete años, nos propusimos cambiar la forma en que los SOC abordan la detección y respuesta ante amenazas. Con la introducción de InsightIDR, queríamos hacer frente a los falsos positivos y a la complejidad creciente que estaba agotando a los analistas, deteriorando la postura de seguridad e inhibiendo la escala necesaria. Queríamos ofrecer un enfoque más intuitivo y pragmático, que proporcionara la cobertura más completa, con la mejor relación señal-ruido. Hoy en día, como la robusta plataforma XDR en el núcleo de nuestra oferta líder de MDR, InsightIDR ha evolucionado para mantenerse a la vanguardia de las amenazas emergentes y las superficies de ataque en expansión, manteniendo nuestro compromiso de eliminar la complejidad y el ruido que distraen y paralizan a los equipos de seguridad exitosos.
Ahora estamos orgullosos de compartir nuestra participación y los resultados de la más reciente evaluación ATT&CK de MITRE Engenuity: Enterprise, que destaca nuestra capacidad para reconocer las amenazas persistentes avanzadas en una fase temprana y en toda la cadena de muerte, al tiempo que mantenemos una relación señal-ruido disciplinada para impulsar la detección y respuesta a las amenazas con éxito en el mundo real. Puede encontrar los resultados detallados e información sobre esta evaluación en el sitio web MITRE Engenuity ATT&CK Evaluation: Enterprise.
Lo que necesitas saber
Hay mucha información que analizar en estos resultados, así que aquí hemos desglosado los puntos clave de esta evaluación.
En primer lugar, una breve introducción: el marco ATT&CK de MITRE es un catálogo y punto de referencia de tácticas, técnicas y procedimientos (TTP) de ciberataque. El marco proporciona a los equipos de seguridad y riesgos un lenguaje común y una guía para visualizar la cobertura de la detección y trazar planes para reforzar las defensas. Las evaluaciones ATT&CK de MITRE Engenuity son un vehículo para que la comunidad comprenda cómo las tecnologías pueden ayudar a defenderse de los comportamientos conocidos de los adversarios. En esta última evaluación empresarial, la atención se centró en emular a Turla, un sofisticado grupo de amenazas con base en Rusia conocido por sus intrusiones selectivas y su innovador sigilo.
InsightIDR fue capaz de capturar telemetría y detecciones relevantes a lo largo de las 19 fases de este ataque, demostrando la capacidad de captar los primeros indicadores de amenaza e identificando sistemáticamente comportamientos evasivos a medida que avanzaba el ataque. El ataque de este año fue especialmente complejo, ya que evaluó una amplia gama de detecciones y aprovechó múltiples formas de telemetría de puntos finales. Aunque no todas las técnicas dejan restos para que los respondedores a incidentes los analicen, la mayoría dejan rastros, si se dispone de las herramientas adecuadas para ayudar a buscarlos.
Para hacer frente a la necesidad de una visibilidad más profunda para identificar estos rastros de comportamiento sigiloso de los atacantes -como los emulados en esta evaluación- Rapid7 ha aprovechado Velociraptor. Además de proporcionar una de las principales herramientas DFIR para apoyar este tipo de análisis, Velociraptor también permite la detección en tiempo real que envía alertas directamente a la experiencia de investigación InsightIDR existente para que los analistas no tengan que pivotar. Esta es una de las capacidades emergentes de Velociraptor que la vibrante comunidad de código abierto sigue ayudando a fortalecer día tras día. La versión de Velociraptor utilizada en esta evaluación está integrada en nuestro actual agente Insight y está alojada en Rapid7, que se beneficia de todos los artefactos generados por el código abierto y de los conocimientos aportados por la comunidad del conjunto de funciones en rápido desarrollo.
Y lo que es más importante, abordamos la evaluación con la intención de mostrar exactamente cuál sería la experiencia de un cliente de InsightIDR en la actualidad; sin alterar las configuraciones de nuestro Insight Agent ni crear nuevas excepciones poco realistas sólo para esta evaluación. Lo que se ve es lo que hay. Además, cuando hablamos con los clientes, éstos no buscan una tecnología que dispare alertas en cada técnica o procedimiento matizado.
Quieren saber que cuando ocurra algo malo podrán detectar la amenaza lo antes posible, comprender rápidamente el alcance del ataque y saber qué hacer al respecto. Ese es nuestro objetivo, y estamos encantados de demostrarlo con esta evaluación.
Mientras los entornos de TI siguen creciendo en diversidad y superficie, las flotas de endpoints siguen siendo un foco de seguridad crítico, ya que cada vez están más distribuidos y siguen siendo fuentes ricas en datos e información propietaria. Las detecciones de endpoints, como las que se muestran en esta evaluación, son una pieza importante del rompecabezas, pero los programas de seguridad de éxito deben abarcar defensas de endpoints en capas, junto con una cobertura más amplia del ecosistema.
Seguimos invirtiendo para proporcionar estas defensas en capas con nuestro agente Insight único y ligero. Desde la prevención ampliada previa a la ejecución y la mitigación proactiva de riesgos, hasta la detección de alta eficacia de amenazas conocidas y desconocidas, pasando por investigaciones detalladas, análisis forenses, respuestas y guías automatizadas, los clientes confían en nuestro Insight Agent como núcleo de su seguridad completa de endpoints.
Con defensas en capas que abarcan la nube, la red, las aplicaciones y los usuarios, también estamos preparados cuando los ataques se extienden inevitablemente más allá del endpoint.
Para más información, pinche aquí.