Saltear al contenido principal
NUEVA ACTUALIZACIÓN PARA LA DETECCIÓN DE AMENAZAS

NUEVA ACTUALIZACIÓN PARA LA DETECCIÓN DE AMENAZAS

BOLETÍN DATA WARDEN

Ciudad de México, 10  de marzo de 2019.- Data Warden, organización con un alto nivel de especialización en ciberseguridad, se caracteriza por ser una empresa que adopta las mejores prácticas del mercado y se encuentra a la vanguardia en temas de ciberseguridad, pone a su disposición una actualización de la investigación que Gartner realizó en 2016 del enfoque denomidado Deception. (Aplicación de tecnologías y técnicas para mejorar la detección y respuesta ante amenazas).

El Deception o “uso del engaño” es uno de los enfoques tecnológicos en adopción por las organizaciones que ayuda a desplegar una defensa activa y proporciona una respuesta acelerada a incidentes. Los profesionales de seguridad valoran esta visibilidad en la red que brinda, así como su baja fricción de implementación respecto de otros mecanismos, el número reducido de falsos positivos y de cantidad de eventos generados.

Muchos CISOs de diferentes organizaciones contemplan el uso del Deception junto con otras tecnologías como UEBA, EPP, EDR, SIEM, NTA, dentro de sus 10 proyectos prioritarios para la mejora de sus estrategias tecnológicas en detección y respuesta contra ciberamenazas.

Algunos puntos de gran relevancia dentro de la actualización son los siguientes:

  • La detección de amenazas mediante este enfoque es fácil de entender.
  • Clientes han reportado un éxito operacional en el uso del enfoque como parte de su estrategia de detección de amenazas.
  • Existen controles que no pueden ser empleados en entornos tales como OT o IoT, por lo cual el Deception se ha vuelto una alternativa efectiva para tal efecto.
  • El enfoque puede ser usado en diferentes dominios, tales como la red, el punto final y los datos.
  • Desplegar el enfoque a nivel de red es usualmente más simple que desplegarlo a nivel del endpoint o de datos.
  • Un entorno “creíble” de engaño es clave para detectar las amenazas avanzadas.
  • Organizaciones debieran considerar decoys de tipo “alta interacción”, ya que reduce la probabilidad de que un atacante pueda identificarlo como un honeypot o que el esquema de engaño sea detectado.
    • Attivo emplea una arquitectura completamente de alta interaccion, es decir sistemas operativos reales.
  • Los decoys (trampas) que hacen uso de sistemas operativos reales, revelan más información de los TTPs de un atacante e incluso de sus motivaciones.
  • El uso de tokens en los endpoints (además de las trampas) es clave en la estrategia de un engaño efectivo.
  • El Deception permite entregar detección de amenazas comunes como avanzadas.
  • Decoys mal configurados pueden permitir que el atacante cause un daño al entorno real.
    • Attivo emplea un método de contención nativo para no permitir que el atacante salga del entorno del engaño o incluso opcionalmente“salga” a interactuar solo con la red de decoys interna.
  • Las organizaciones que deseen ejecutar una iniciativa de Deception, deben de ser cuidados de diferenciar/comparar soluciones dedicadas al enfoque vs soluciones que entregan funcionalidades diferentes, pero con capacidades limitadas de engaño.
  • NTA, EDR o UEBA obtienen más señales de información peor que requieren ser analizadas posteriormente vs las herramientas de engaño que entregan mejores señales desde la fuente.
  • Las herramientas de análisis de tráfico entregan solo “shades of gray and indications”, not convictions” a diferencia del Deception.
  • El Deception es una capa importante dentro del modelo de seguridad en profundidad, más que ser un “Nice to Have”.
  • La justificación y el presupuesto de proyectos de este tipo de tecnología normalmente se alinean a iniciativas de:
    • Detección avanzada de amenazas
    • Engaño de amenazas (Raro)
    • Monitoreo de la red interna o Visibilidad de la red interna
    • Detección de intrusiones internas
    • Gestión de “insider threats”
    • Detección de malware avanzado
    • Seguridad IoT o OT (SCADA, redes médicas)
    • Gneracion de inteligencia de amenazas
    • Cacería de amenazas
    • Seguridad Avanzada

Obtén más información acerca de la actualización, en esta investigación: https://gtnr.it/2BIhmuP

Contáctanos ventas@datawarden.com.mx