Cinco formas en que los mejores SOC se mantienen a la vanguardia de la curva de detección de amenazas

9 de abril de 2024

Cinco formas en que los mejores SOC se mantienen a la vanguardia de la curva de detección de amenazas

‍

Antes, la forma en que los atacantes se infiltraban en una organización era relativamente sencilla. El atacante encontraba una vulnerabilidad, como un dispositivo sin parches o una cuenta comprometida, se colaba en el sistema, cifraba archivos o robaba datos, y dejaba que la organización limpiara el desastre y encontrara mejores formas de reforzar sus defensas.

Hoy en día, las organizaciones son una combinación de superficies de ataque, que sobre el papel, parece que sería más difícil de navegar para un atacante. Sin embargo, a medida que las organizaciones se vuelven más inteligentes, también lo hacen los atacantes. Ahora, los ataques no son tan lineales; los atacantes pueden encontrar una vulnerabilidad, permanecer inactivos, saltar de una superficie de ataque a otra, permanecer inactivos de nuevo y, a continuación, lanzar un ataque en toda regla contra la empresa. Y a veces, ya es demasiado tarde, y las organizaciones deben desembolsar millones de dólares para recuperarse y remediar la situación.

Por inútil que parezca, eso no significa que no podamos adelantarnos a la curva de detección de amenazas actual. He aquí cinco formas en que los mejores SOC se adelantan a los atacantes.

Cómo se adelantan los SOC a la curva de detección de amenazas

1. Invierta en tecnología

La única tecnología que permitirá a las organizaciones adelantarse a los atacantes es la IA. No estamos hablando de LLM (grandes modelos lingüísticos) que sólo sirven de apoyo a los analistas en la construcción de consultas para sus investigaciones. No estamos hablando de enfoques de IA/ML que sólo detectan anomalías y requieren un mantenimiento humano constante.

Hablamos de utilizar la IA para construir una señal de ataque que haga aflorar las amenazas más críticas y urgentes específicas del entorno único de cada cliente, a la vez que proporciona la narrativa completa del ataque. En Vectra AI, llamamos a esta IA nuestra "Attack Signal Intelligence."

Durante más de una década, Vectra ha estado investigando, desarrollando, siendo pionera y patentando IA de seguridad centrada en ofrecer la mejor señal de ataque del planeta. Nuestra Attack Signal Intelligence va más allá de las firmas y anomalías para entender el comportamiento del atacante y concentrarse en las TTPs del atacante a lo largo de toda la cadena cibernética posterior al compromiso. Analiza los comportamientos de los atacantes y los patrones de tráfico exclusivos del entorno del cliente para reducir el ruido de las alertas y sacar a la luz únicamente los eventos positivos reales relevantes. Armados con el contexto en torno a la narrativa completa de un ataque, los analistas de seguridad dedican su tiempo y talento a lo que saben hacer bien: cazar, investigar y evitar que los ataques se conviertan en violaciones.

Para más información sobre Attack Signal Intelligence de Vectra AI, lea nuestro artículo técnico.

2. Adoptar una estrategia XDR

Disponer de una estrategia de detección y respuesta ampliada (XDR) es crucial para combatir los ataques híbridos modernos que abarcan múltiples superficies de ataque. Con una estrategia XDR, podrá conseguir:

Cobertura: Cobertura integrada de detección de amenazas de alta calidad en toda la superficie de ataque híbrida: redes, IoT/OT, nubes públicas, identidades, aplicaciones SaaS, endpoints y correo electrónico. Los defensores necesitan garantías de que tienen la visibilidad necesaria.

Claridad: Señal integrada que correlaciona las detecciones para priorizar los ataques reales en tiempo real. Los defensores necesitan saber en qué centrarse primero, por dónde empezar a trabajar.

Control: Acciones de investigación y respuesta integradas, automatizadas y gestionadas que arman a los equipos SOC para moverse a la velocidad y escala de los atacantes híbridos. Los defensores necesitan competencia y confianza para seguir el ritmo del volumen y la velocidad de las amenazas.

Vea cómo puede conseguir una estrategia XDR preparada para los ataques híbridos con la Guía de estrategia XDR de Vectra.

3. Evalúe periódicamente su riesgo de exposición

La seguridad de una organización es un objetivo en constante movimiento, dado el entorno informático en constante cambio y evolución. Seguir el ritmo de un objetivo en movimiento exige evaluar periódicamente su exposición a los ataques.

Para ello, hay que tener en cuenta los aspectos básicos, como la revisión de los cortafuegos perimetrales y las puertas de enlace a Internet, la protección malware , la gestión de parches, el control de listas y ejecuciones permitidas, la configuración segura, las políticas de contraseñas y el control de acceso de los usuarios. Integrar estos aspectos básicos en su programa de seguridad es vital, junto con mantener actualizaciones periódicas.

Además de eso, fíjese en las superficies a las que su organización puede estar potencialmente expuesta. En algunos casos, existen recursos para realizar pruebas de presión y analizar las brechas dentro de sus superficies de ataque.

Vectra AI ofrece análisis gratuitos de brechas de exposición de identidad. Haga clic aquí para empezar.

Estas medidas cubren su riesgo de exposición antes de un posible compromiso, pero ¿qué debe tener en cuenta después de que un atacante ya haya comprometido una identidad y se haya infiltrado en el entorno? Una vez que un atacante está en su sistema, introduce más complejidades en la detección y la respuesta. Un atacante puede llevar a cabo una plétora de acciones para perjudicar a su empresa, como el compromiso de múltiples cuentas, la escalada de privilegios de identidad y el movimiento lateral elusivo, todo lo cual puede conducir a un incidente crítico para la empresa.

¿Qué ocurre entonces y qué puede hacer usted para responder a este desafío? La respuesta está en su tecnología de detección y respuesta, sobre todo asegurándose de que las señales que recibe su tecnología le informen inteligentemente de estos comportamientos sospechosos incluso antes de que se conviertan en un ataque en toda regla. Por ejemplo, Attack Signal Intelligence de Vectra AIpuede correlacionar hosts y entidades a través de superficies de ataque con atribución impulsada por IA y ML que llena con precisión las lagunas de información que producen complejidades posteriores al compromiso. Obtener un contexto rico y preciso sobre la forma en que se mueve un atacante le preparará para el éxito incluso cuando un atacante pueda superar sus defensas.

4. Colaborar con terceros expertos

Aunque invertir en tecnología de calidad puede reducir significativamente la carga de trabajo de su equipo SOC, a veces no es suficiente para combatir el ataque moderno, especialmente dentro de los entornos híbridos actuales. Por eso recomendamos encarecidamente combinar la tecnología de inteligencia artificial con la inteligencia humana, especialmente con expertos externos del sector, como línea de defensa adicional contra los atacantes híbridos. Los expertos externos del sector pueden venir con servicios gestionados de detección y respuesta, que proporcionan una visión profunda del sector de la seguridad además de ser expertos en la materia de la plataforma y la tecnología que está utilizando. Externalizar algunas de las tareas SOC repetitivas y mundanas a expertos del sector es una gran inversión, especialmente cuando estos expertos conocen bien la tecnología y la plataforma que utiliza para la detección y respuesta ante amenazas.

En el caso de Vectra MXDR, nuestro equipo de analistas es experto tanto en ciberseguridad como en la plataformaVectra AI . Además, Vectra MXDR puede cubrir todas sus superficies de ataque: SaaS, cloud, identidad, red y punto final a través de nuestras integraciones con CrowdStrike, SentinelOne y Microsoft Defender de forma global 24x7x365. Vectra MXDR puede descargar horas de trabajo, liberando tiempo y talento para las tareas más críticas y de mayor valor.

5. Optimizar el talento y el presupuesto

Hablando de liberar tiempo y talento, la última forma en que los mejores SOC se mantienen por delante de los atacantes actuales es optimizando las personas y los recursos de sus equipos. Las personas rinden mejor haciendo lo que les gusta: ¿le gusta a su equipo SOC gestionar alertas, ajustar reglas y crear informes durante horas cada día? Probablemente no. En su lugar, el presupuesto de seguridad que libera utilizando un servicio gestionado de detección y respuesta puede invertirse en iniciativas o programas de seguridad en los que a su SOC le encantaría trabajar: programas de caza de amenazas, tutoría, investigación, creación de relaciones comerciales y, en general, iniciativas de alto nivel destinadas a talentos de alto nivel.

Por eso, externalizar las tareas repetitivas del SOC a un servicio MDR es fundamental para un SOC moderno. Cuando otro equipo se encarga de las tareas cotidianas a las que su equipo SOC dedica demasiado tiempo, los analistas disponen de más tiempo para dedicarse a proyectos de alto valor, lo que optimiza su talento y su presupuesto de seguridad.

¿Cómo liberar más recursos del SOC? Empiece por aquí.

‍

¿Quiere saber más?

Vectra® es el líder en detección y respuesta a amenazas cloud híbrida basadas en IA de seguridad. La plataforma y los servicios de Vectra cubren la cloud pública, las aplicaciones SaaS, los sistemas de identidad y la infraestructura de red, tanto en las instalaciones como cloud. Organizaciones de todo el mundo confían en la plataforma y los servicios de Vectra para resistir el ransomware, el compromiso de la cadena de suministro, la apropiación de identidades y otros ciberataques que afectan a su organización.

Si quiere saber más, póngase en contacto con nosotros y le mostraremos exactamente cómo lo hacemos y qué puede hacer para proteger sus datos. También podemos ponerle en contacto con uno de nuestros clientes para que nos cuente directamente su experiencia con nuestra solución.

Contáctenos