Managed Detection & Response

 

Servicios de inteligencia para una identificación temprana de amenazas sofisticadas

La defensa proactiva basada en la información de riesgos emergentes es una necesidad y un reto para la mayoría de las organizaciones. Muchas tienen un enfoque reactivo y otras, que utilizan fuentes de inteligencia, tienen una información anticuada, apenas fiable y no tan útil. La inteligencia de amenazas consiste en conocer, comprender y perfilar a nuestros adversarios de manera que anticipemos y detectemos nuevos ataques que escapan a nuestras soluciones defensivas.


Del compromiso con la inteligencia de amenazas surge la creación de nuestro propio feed de inteligencia, la implantación de Plataformas de Inteligencia de Amenazas (TIP) y la adquisición de Dinoflux (empresa de análisis de malware).

Ayudamos a cualquier organización a preparar, detectar y responder proactivamente ante sus adversarios:

  • Inteligencia estratégica: proporcionamos al nivel C (CISO, CIO, CDRO, etc.) información detallada sobre el tipo de atacantes (sector, región, motivación, activos de negocio que tienden a atacar…) para definir así un perfil de riesgo y diseñar una estrategia de defensa.
  • Inteligencia operativa: en el siguiente nivel, proporcionamos a los equipos de SOC (analistas de Inteligencia, Hunters, Red Team, etc.) toda la información procesable más reciente sobre las técnicas, herramientas y procedimientos específicos que estos atacantes utilizan. Permitiendo diseñar y fortalecer la defensa, entrenar a su personal y explorar proactivamente posibles vulnerabilidades dentro de su red.
  • Inteligencia táctica (IoCs): en el nivel más bajo, buscamos el rastro dejado por los atacantes dentro o fuera de su infraestructura: direcciones IP, dominios, URLs, nombres de archivos y cualquier dato que identifique nuevas incidencias y campañas. Los Indicadores de Compromiso (IoCs) son piezas de información entregadas en formatos estándar (STIX-TAXII, JSON-HTTP…) para que sean integradas y procesadas por dispositivos de seguridad que permitan mejorar la detección automatizada y clasificación de las amenazas.

El camino de una organización hacia operaciones de seguridad modernas implica la plena operacionalización de los servicios de inteligencia internos y externos de alto y bajo nivel. Las TIPs permiten la ingestión y el procesamiento de una gran variedad de fuentes, formatos y protocolos de amenazas, aprovechando la correlación avanzada y los motores de enriquecimiento para contextualizar y puntuar el riesgo.

Una vez la inteligencia es almacenada y procesada, los TIPs ofrecen la posibilidad de:

  • Llevar esta inteligencia a un SIEM para realizar detecciones automatizadas o tareas de hunting.
  • Automatizar algunas de las acciones de respuesta a incidentes mediante la integración con otras plataformas y herramientas (sistemas de tickets, cortafuegos, IDS, Sandbox, MISP, etc.).
  • Proporcionar a los equipos SOC (equipos de inteligencia, equipos de respuesta a incidentes, inversores, etc.), un entorno de colaboración para mejorar el triaje de alertas, la investigación de incidentes y el intercambio de información entre ellos u otras partes externas.

Hemos implantado una capacidad de TIP en el SOC interno de grandes clientes y gracias al trabajo de campo de nuestro laboratorio de MDR (más de 10 diferentes TIPs comerciales y de código abierto) y a nuestros acuerdos con los mejores proveedores de TIPs, podemos ofrecer a nuestros clientes proyectos hechos a medida en los que desplegamos e implementamos TIP de forma rápida a través de dos modelos:

  • TIP gestionada: para clientes que deseen externalizar la implementación y explotación de su TIP, proporcionamos un servicio de TIP que cubre la selección, integración y scoring de los feeds de inteligencia, la integración en SIEM para mejorar la detección, la gestión de los playbooks que aceleran las acciones de respuesta, la consultoría para integrar dicha capacidad con su SOC.
  • TIP autónoma: para aquellos que tienen suficiente madurez en ejecutar internamente un TIP ofrecemos servicios de consultoría a medida para ayudar en la selección del mismo, el diseño de los procesos operativos, y la integración y soporte de la TIP.
  • Nuestra herramienta de inteligencia que aprovecha un enfoque multiformato y multi-sandbox (frameworks de análisis comerciales, código abierto y propietarios), y proporciona análisis estáticos y dinámicos para identificar el comportamiento del binario, las capacidades y los indicadores de amenazas (IoCs) asociados.
  • Dinoflux se nutre de un sistema de clustering, basado en un motor de similitud, un sistema de matching de reglas yara y una solución multi-AV, que proporciona relaciones avanzadas entre nuevas amenazas desconocidas y familias de malware, campañas y actores de amenazas existentes, optimizando la carga de trabajo de procesamiento.
  • Es capaz de operacionalizar la inteligencia generada exportando los IoCs y reglas de detección (Snort, yara, etc.) hacia dispositivos de seguridad de terceros (SIEM, IDS, etc.), a través de un servidor de taxi, API privado y otros medios de exportación.

Empleamos esta herramienta de manera interna para mejorar las capacidades de nuestros servicios gestionados y también la ofrecemos como un producto autónomo para aquellos clientes que quieran potenciar a sus equipos de analistas con la posibilidad de procesar malware a gran escala y aprovecharse de sus fuentes propias como de las que nosotros proporcionamos como parte de la herramienta para generar inteligencia.