Inicio / Información Util / Cato MDR: Gestion sencilla de detección y respuesta de amenazas.

Cato MDR: Gestion sencilla de detección y respuesta de amenazas.

Últimamente, no podemos evitar notar un ciclo interminable en el que más empresas invierten en la prevención de amenazas; e igualmente los Hackers se adaptan y continuan accediendo ilegamente a las empresas.

Para empeorar las cosas, la detección de estos accesos todavía lleva demasiado tiempo con un tiempo de permanencia promedio que supera los 100 (!) Días.

Para mantener una empresa protegida, TI necesita en la mayoría de los casos encontrar una manera de romper este ciclo interminable sin comprar herramientas complejas de seguridad y análisis de datos y sin tener que contratar a profesionales de seguridad (calificados y caros) para operarlos.

MDR

Un servicio de seguridad avanzado, Managed Detection and Response (MDR), proporciona detección y respuesta de amenazas continuas, aprovechando la inteligencia artificial y el aprendizaje automático para investigar, alertar y contener amenazas.

MDR se está volviendo popular y ganando tracción. De hecho, Gartner pronostica que para 2024, el 25% de las organizaciones utilizarán los servicios de MDR, en comparación con menos del 5% actual. Y para 2024, el 40% de las medianas empresas utilizarán MDR como su único servicio de seguridad administrado (fuente: Guía del mercado de Gartner para servicios de detección y respuesta gestionados publicada el 15 de julio de 2019 – ID G00367208).

MDR es la esperanza de la industria para romper el ciclo de agregar más y más herramientas de prevención de amenazas, ya que los piratas informáticos aumentan continuamente sus capacidades de ataque. Sin embargo, para ganar visibilidad en todo el tráfico de red, crítico para una detección y respuesta efectivas, los servicios MDR tradicionales requieren la instalación de software y hardware dedicado en la red de una empresa.

Este modelo de implementación es costoso y complejo, lo que hace que muchas compañías pospongan la implementación de los servicios MDR y dejen en riesgo su red.

Houston, tenemos un triple problema

1 – Cada empresa es un objetivo para los piratas informáticos, independientemente de su tamaño o tipo de negocio. De acuerdo con el Informe de investigaciones de violación de datos de 2019 de Verizon (DBIR), el 43% de las infracciones involucraron víctimas de pequeñas empresas; El 10% fueron incumplimientos de la industria financiera y el 15% fueron incumplimientos de organizaciones de atención médica.

2 – Además de eso, las empresas siempre deben asumir lo peor, como Gartner afirma claramente: “La suposición debe ser que la organización se verá comprometida, que la capacidad del hacker para penetrar en los sistemas nunca se contrarresta completamente. Monitoreo continuo de los sistemas y el comportamiento es la única forma de detectar amenazas de manera confiable antes de que sea demasiado tarde “.

3 – Como resultado, las empresas deben estar continuamente en guardia, presentando un gran desafío para TI en términos de recursos y habilidades internas. Además, según el DBIR, “el 56% de las infracciones tardó meses o más en descubrirse”, que durante este largo tiempo de permanencia el malware se distribuye, se propaga por toda la empresa y, cuando se activa, el daño causado se multiplica.

En resumen, si todas las empresas son objetivos y siempre deben asumir que están bajo ataque, entonces TI debe estar atento las 24 horas, los 7 días de la semana. Hmmm, ¿esto no parece práctico para alguien más?.

Bien, hemos tenido un problema: conoce a Cato MDR

Cato MDR se incorpora a la plataforma SASE de Cato, superando las complicaciones de la MDR tradicional. Cato tiene como objetivo romper el ciclo interminable de amenazas crecientes y hackers al acecho. ¿Cómo? Al permitir que los clientes que usan Cato Cloud descarguen el proceso de detección de puntos finales comprometidos, que requiere muchos recursos y habilidades, a su equipo SOC. El equipo tiene una visibilidad instantánea y clara de todo el tráfico, y no es necesario que los clientes implementen sondas de red o agentes de software adicionales.

Cato recopila, indexa y almacena automáticamente los metadatos de cada flujo de tráfico de WAN e Internet que atraviesa la nube de Cato. Los algoritmos de agregación de datos y aprendizaje automático explotan el contexto de red completo del enorme almacén de datos de Cato, detectando cualquier indicador de malware en las redes de los clientes. El equipo SOC de Cato evalúa las fallas de tráfico y alerta a los clientes sobre cualquier amenaza activa.

Un vistazo detrás de escena

Cato afirma que su servicio MDR protege a los clientes y que el tiempo de permanencia se reduce de meses a solo 1-2 días. Tuvimos que mirar más de cerca para entender si esto es posible y de qué manera. Esto es lo que encontramos.

El servicio MDR de Cato ofrece estas capacidades clave:

Recopilación de datos sin huella: Cato puede acceder a toda la información relevante para el análisis de amenazas, ya que sirve como plataforma de red del cliente (recuerde, Cato MDR está integrado en la plataforma SASE de Cato). Esto elimina la necesidad de más instalaciones, y todo lo que queda para los clientes es suscribirse al servicio.
Búsqueda automática de amenazas: Cato utiliza algoritmos de big data y de aprendizaje automático para extraer flujos sospechosos de la red, que se basan en los muchos atributos de flujo disponibles para Cato. Estos incluyen la identificación precisa de la aplicación del cliente, la geolocalización, la evaluación del riesgo del destino en función de la IP, la categoría de la URL, la estructura del nombre de la URL, la frecuencia de acceso y más.
Verificación humana: el equipo SOC de Cato inspecciona diariamente los flujos sospechosos, cerrando la investigación por tráfico benigno.
Contención de amenazas a nivel de red: Cato alerta a los clientes en caso de una amenaza verificada y, en base a una política predefinida, aplicará la contención de amenazas a nivel de red bloqueando el tráfico de la red.
Remediación guiada: Cato proporciona el contexto de amenazas para referencia adicional de TI y recomienda las acciones a tomar para la remediación.

Capacidades adicionales geniales

Enfoque multidimensional:
Cato tiene visibilidad completa de todo el tráfico de red. De cada flujo de red que pasa a través de su servicio MDR, Cato extrae y recopila metadatos sobre lo siguiente:

Fuente: Cato distingue entre tráfico humano y no humano, tipo de cliente, datos del sistema operativo,
y más.
Destino: Cato ve la popularidad, la categoría y la reputación.
Comportamiento: Cato conoce los patrones de tráfico, como la frecuencia y el volumen de datos.

Cato luego almacena todos estos metadatos en su repositorio de big data.

Cato's unique multi-dimensional approach

Caza de amenazas:

Nos enfocamos en la tecnología de búsqueda de amenazas de Cato y descubrimos que Cato reduce una cantidad diaria de millones de flujos a solo 10-20 flujos, que en realidad deben ser investigados por su equipo de SOC. Luego, el equipo revisa la lista y se asegura de que los clientes solo sean notificados de amenazas confirmadas que necesitan atención. Esto elimina lo que todos tememos: falsos positivos.

Threat hunting – from millions of events to a meaningful, actionable item

Tutorial de servicio

El portal Cato MDR es donde los clientes manejan todas las solicitudes y actividades. El portal incluye un sistema de tickets en línea, a través del cual se informan todas las amenazas, y se realiza un seguimiento de su estado de corrección. Encontramos que el portal es intuitivo y se explica por sí mismo; nos complace guiarlo a través de un tutorial rápido:

Una vez que inicie sesión en el portal, podrá ver el estado detallado de las actividades de su empresa.

View all company activities and requests

Para cada categoría de solicitud, puede ver un resumen de todos los tickets activos que incluyen: el número de identificación de una solicitud específica, el nombre del solicitante, la hora de la última actividad realizada en la solicitud y el estado del ticket.

Hacer clic en cualquiera de las solicitudes nos permitió profundizar en sus detalles. Cada incidente de amenaza incluye la siguiente información detallada:

Nombre e IP del sitio en el que se descubrió una amenaza.
Tipo y nombre de la amenaza.
Nivel de riesgo de un tipo de amenaza específico.
Dirección IP interna / externa que es el objetivo de un ataque.
Nombre de dominio que se refiere a la dirección IP de un servidor.
Número de puerto de destino de un canal de comunicación.
Referencia y enlace al descubrimiento de eventos de Cato (Instant Insight).
Acción tomada por el equipo SOC de Cato.
Referencia adicional a una amenaza o ataque específico.
Acción recomendada que los clientes deben tomar para eliminar una amenaza.

Drill down into any request

Cato MDR genera informes mensuales que enumeran todas las investigaciones previas y en curso e incluyen una sección de resumen ejecutivo, que encontramos especialmente beneficiosa para compartir fácilmente con colegas y gerentes relevantes.

Monthly audit reports of all events

Monthly audit reports of all events

 Wrap-up

Cato MDR nos ganó, y) con sus capacidades sofisticadas, por un lado, y su portal fácil de usar, por el otro. Pero sobre todo nos impresionó la paz y la tranquilidad que brinda a las empresas y sus equipos de TI.

Clientes: con sus capacidades sofisticadas, por un lado, y su portal fácil de usar, por otro. Pero sobre todo nos impresionó la paz y la tranquilidad que brinda a las empresas y sus equipos de TI.

Cato admite las cuatro etapas de Gartner de una arquitectura de seguridad adaptativa. La pila de seguridad integrada de Cato aborda las etapas de Predicción y Prevención, y Cato MDR concluye con las etapas restantes de Detección y Respuesta.

Cato Cloud

 

 

 

 

Vea También

Primeros pasos con Wireshark: ¿qué está pasando en tu red?

Si eres un profesional o te interesa la seguridad informática, dar los primeros pasos con …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.