Esta es la segunda entrega de nuestra serie de encierros, en la que analizamos los métodos que puede utilizar para contener eficazmente los eventos de seguridad y cómo puede ayudarle Vectra . Consulte el primer artículo en el que se explica por qué la velocidad y la precisión son fundamentales a la hora de detectar y corregir las brechas.
Necesidad de velocidad
Como mencionamos en nuestro artículo anterior sobre el bloqueo de Vectra , la velocidad es un ingrediente clave para el éxito de la contención. Cuando te ves obligado a cambiar de plataforma y encontrar el host, la cuenta o la política que quieres aplicar, pierdes un tiempo valioso del que no dispones cuando se están produciendo los ataques.
En esta parte, entraremos en detalle sobre cómo Vectra permite a los equipos de seguridad contener automáticamente los eventos directamente desde la plataforma Vectra , donde los analistas pueden ver y gestionar fácilmente los ajustes de contención desde un único panel de vidrio. Y como ejemplo, mostraremos cómo puede conseguirlo con dos de nuestros socios de integración de nuestro rico ecosistema de socios nativos: Microsoft y Amazon Web Services (AWS).
Bloqueo de defensores
Vectra se integra estrechamente con Microsoft Defender for Endpoint, una popular solución de detección y respuesta de endpoints (EDR). Con esta integración, podemos aprovechar la funcionalidad "Aislar dispositivo" de Defender for Endpoint. Esto proporciona a los analistas la funcionalidad completa de aislamiento de Defender sin necesidad de pasar a ella desde Vectra.
Vectra Lockdown for Endpoint permite a los analistas aislar hosts manual o automáticamente, y al igual que en el blog anterior donde hablamos de Account Lockdown, Lockdown for Hosts tiene opciones granulares. La primera es evaluar la duración del Lockdown, que puede ser entre 1 - 24 horas. También podemos seleccionar las puntuaciones mínimas de amenaza y certeza para el host junto con un privilegio mínimo observado del host. Una vez configurados estos umbrales, Vectra contendrá automáticamente un host si el comportamiento observado coincide con los criterios.
Bloqueo para AWS
Algunos clientes necesitan ampliar el conjunto de funciones de la plataforma Cognito para cubrir las cargas de trabajo cloud y, afortunadamente, nuestra rica API permite una integración rápida y sencilla. En nuestro Github encontrará un ejemplo de integración con AWS.
Sin repetir lo que aparece en el LÉEME, podemos aprovechar el centro de seguridad de AWS para crear eventos que CloudWatch ejecute al lanzar una función de AWS Lambda, como detener o aislar una carga de trabajo en AWS. El flujo está totalmente automatizado y no requiere la intervención manual del operador. Dado que la integración utiliza nuestras API nativas, también podría convertirse fácilmente para buscar una etiqueta específica en un host y permitir que un componente de middleware, como una automatización y respuesta de orquestación de seguridad (SOAR), realice acciones.
La cuestión aquí es que no estamos limitados a lo que ya está integrado en la plataforma, y ya existen muchas integraciones personalizadas de éxito.
En caso de duda, eche un vistazo
Vectra La plataforma Cognito es a la vez potente y flexible, lo que le permite configurar la arquitectura de contención en función de las necesidades de su organización. A la hora de poner en práctica Vectra , la siguiente lista de comprobación puede ser útil para tener en cuenta en el momento de la implementación:
- ¿Qué tipo de incidentes de seguridad desea contener? ¿Atacante activo? ¿Ransomware? ¿Exfiltración de datos?
- ¿Qué hosts no quiere contener nunca? ¿Directorio activo? ¿Servidor de correo? ¿Servidores de producción?
- ¿Su solución para puntos finales admite la contención? En caso afirmativo, ¿qué versiones de sistema operativo (SO) son compatibles?
- En el caso de los hosts sin agente, ¿cómo desea gestionar estos hosts?
- ¿Queremos incluir la contención de cuentas? En caso afirmativo, ¿qué tipos de cuentas entran en el ámbito de aplicación y cuáles no?
- ¿Quién tiene la autoridad última para aprobar la contención? ¿Hay que informar a las partes interesadas?
Responder a estas preguntas dará a su organización una imagen clara de lo que está dentro y fuera del alcance de la contención. Una vez establecidas las normas, puede esbozarse un diagrama de flujo junto con los pasos que pueden dar los analistas.
Para ayudarle a sacar el máximo partido de la funcionalidad de la plataforma Cognito, el equipo de servicios profesionales de Vectra puede ayudarle. Sidekick Services es una oferta en la que nuestros expertos pueden trabajar junto a su equipo para desarrollar e integrar la funcionalidad de bloqueo de acuerdo con su propio libro de jugadas.
Es habitual que las organizaciones se lancen a la reparación antes de que se haya completado una investigación completa. Con Lockdown, ganará tiempo, conservará las pruebas y analizará el incidente antes de ponerle remedio.
Pero recuerde que, aunque útil, la contención es una solución a corto plazo de rápida aplicación que no es un sustituto adecuado de unas prácticas de operaciones de seguridad sólidas y saludables. El bloqueo de host y el bloqueo de cuentas no están diseñados para ser soluciones permanentes, sino más bien soluciones temporales para utilizar mientras una investigación está en curso.
Para obtener más información sobre Vectra Cognito, no dude en ponerse en contacto con nosotros o solicitar una demostración.