Les petites i mitjanes empreses han començat a patir recentment el mateix problema de seguretat. Les amenaces digitals han anat evolucionant durant els darrers anys arribant a tal punt que ja no es poden detectar i mitigar amb només desplegar solucions de seguretat per a endpoints com AntiVirus o EDRs.
Els atacs complexes requereixen deteccions complexes, i aquestes impliquen experts de ciberseguretat dedicats. No cal dir que un equip de seguretat complet 24/7 és molt lluny de ser assequible per a una PIME. Però hi ha bones notícies: estem aquí per ajudar-te gestionant aquestes solucions de seguretat, de forma que el teu equip es pugui treue el mal de cap de sobre.
Amb el nostre equip d’experts gestionant les vostres tecnologies de seguretat, us proporcionem un monitoratge continu i una defensa proactiva del vostre entorn digital. El vostre equip informàtic es podrà centrar de nou en les vostres activitats empresarials, amb la confiança que estem protegint els vostres actius digitals les 24 hores del dia.
Què és el Managed Detection and response (MDR)?
Managed Detection and Response (MDR) és un servei de ciberseguretat que combina la tecnologia Endpoint Detection and Response (EDR) amb experts humans per identificar i minimitzar ràpidament l’impacte de les amenaces realitzant un monitoratge de seguretat 24/7, Threat Hunting (caça dels atacants) i resposta en temps real.
L’MDR és bàsicament l’única solució de seguretat que inclou un EDR i un “Blue Team” d’experts en seguretat, tot a un preu assequible per a les PIMES. Per tant, el principal benefici d’aquest servei és que ajuda parar i respondre davant d’amenaces sense necessitat de personal addicional, que sol ser massa car.
Com els actius al núvol també són vitals, també oferim els serveis de Detecció i Resposta per a aquests actius, com ara els comptes M365, on no hi ha cap EDR disponible, però on les amenaces s’han de controlar de manera similar. Això garanteix la cobertura de tota l’organització en entorns híbrids.
MDR: Beneficis
Les empreses que utilitzen una solució MDR poden reduir directament el seu temps de detecció davant atacs (i, per tant, el temps de resposta) dels 204 dies de mitjana a tan sols uns minuts, reduint així dràsticament l’impacte d’un incident de seguretat.
Les empreses també poden:
- Millorar significativament la postura de seguretat i fer-se més resistents davant possibles atacs, gràcies a la caça proactiva de tots els “events” sospitosos i realitzant-ne investigacions.
- Descobrir ràpidament els atacants tan bon punt intentin aconseguir un accés inicial als vostres sistemes gràcies al monitoratge de seguretat constant.
- Identificar i acabar amb les amenaces ocultes i complexes que estaven amagades a les vostres xarxes tan bon punt es desplega MDR gràcies a la cerca proactiva d’intrusos.
- Alleujar els equips de TI interns del mal de cap d’estar a càrrec de la gestió de la seguretat. Les amenaces modernes requereixen especialistes en seguretat dedicats.
Problemes Operatius sense MDR
Seguretat Gestionada Endpoint & Cloud
Per tal de garantir una cobertura de seguretat completa de la seva empresa, oferim dos tipus de Managed Detection and Response: protecció d’endpoints i protecció del núvol per a Microsoft 365. Es poden implementar per separat o junts en estructures híbrides.
Com funciona l’MDR
Mitjançant el servei de Detecció i Resposta gestionats (MDR), tota la informació sobre les amenaces, analítiques avançades i les dades forenses de la vostra empresa es passen als nostres experts analistes per supervisar, detectar i respondre de forma remota a les amenaces trobades a la vostra organització. També determinaran la resposta adequada per reduir l’impacte i el risc d’incidències confirmades.
El nostre servei MDR inclou un equip de seguretat complet i externalitzat que proporciona un monitoratge del Centre d’Operacions de Seguretat (SOC) 24/7, caçadors d’amenaces (Threat Hunting) per a la investigació i neutralització proactiva d’intrusos i programari maliciós, informes d’incidents i, el més important, remediacions directes. Per als endpoints, també proporcionem l’agent EDR propi.
El nostre servei MDR funciona així:
01: Recopilació
En els endpoints i comptes de M365 protegits, els nostres experts en seguretat cerquen indicis i events que indiquin que hi ha amenaces o malware realitzant activitats malicioses.
02: Anàlisi
Un cop recopilats els events, procedim amb l’anàlisi contextual verificat per humans. Els nostres analistes de SOC revisen tota la telemetria disponible per detectar fins i tot les amenaces més amagades.
03: Investigació
Un cop detectat qualsevol event sospitós, l’equip de Threat Hunting inicia immediatament una investigació. Estan especialitzats en cercar tots els racons possibles per descobrir i acabar amb qualsevol intrús als vostres sistemes.
04: Informe de l’Incident
Després d’investigar l’incident i neutralitzar les amenaces, us enviem un informe de l’incident personalitzat per compartir les nostres troballes i preparar els passos a continuació.
05: Remediació
Procedirem a aplicar les mitigacions en funció de la severitat de les incidències i de com hem acordat prèviament prendre mesures amb cada client en concret. Tot això es definirà personalment durant el desplegament inicial del servei.
Servei MDR – FAQs
El vostre servei MDR pot substituir l'EDR actual als meus endpoints?
Absolutament. Proporcionarem un agent EDR complet i gestionat pel nostre equip, el qual es desplegarà als endpoints a protegir. Som agnòstics d’altres agents EDR als vostres endpoints, de manera que si decidiu iniciar una prova gratuïta del nostre servei, no haureu de desinstal·lar les altres solucions de seguretat.
La telemetria d’aquest nou EDR és la que el nostre equip processarà i analitzarà. La diferència clau ara és que s’investigarà en temps real, mentre que en un escenari on únicament hi ha EDR desplegat sense MDR, tota la telemetia es “llença”. Alguns exemples de fonts de telemetria són events de processos (processos nous, estat, privilegis, mòduls carregats…), events d’usuaris (inicis de sessió, autenticacions fallides…), events del registry (estats de key/value, entrades noves…), Fitxers (Crear – Llegir – Actualitzar – Suprimir per a fitxers supervisats), events de la xarxa, execucions automàtices, tasques programades i molts més. Poseu-vos en contacte amb nosaltres per obtenir els detalls tècnics complets.
Quin accés es necessita per al funcionament del vostre servei MDR?
Sempre tindrem el menor accés possible a les vostres xarxes, i romandrem en el que sigui estrictament necessari, per evitar riscos de la cadena de subministrament.
- Agent EDR gestionat als endpoints: un cop instal·lat l’agent EDR, podem funcionar perfectament. No calen comptes de domini ni res semblant.
- MDR per a comptes M365: els Audit Logs s’habilitaran als vostres Tenants i, a través d’un compte d’administrador global vostre, al desplegament inicial haureu de proporcionar-nos accés als registres, incidències, esdeveniments de seguretat, configuració de la bústia de correu (NO als propis correus, no necessitem escanejar-los ni llegir-los) entre altres.
Com funcionaran les mitigacions?
Totes les amenaces trobades seran neutralitzades tan aviat com sigui possible. Això podria significar, per exemple, que un host que s’utilitza com a accés inicial pels atacants ha estat aïllat per aturar l’atac i s’han de prendre algunes accions. Dependrà de la gravetat del problema: les mostres de malware es posaran en quarantena o s’eliminaran a l’instant, però un usuari compromès simplement es pot congelar fins que el vostre administrador canviï la seva contrasenya.
Aquest procediment per a la presa de decisions serà definit amb els nostres clients abans del desplegament inicial del servei.
Hi ha certs passos de la mitigació que no podem realitzar, sobretot relacionats amb Active-Directory. Per exemple, l’atacant ha creat una GPO maliciosa o un usuari de domini amb privilegis elevats. L’amenaça s’haurà aturat i neutralitzat, per descomptat, però no podem suprimir aquests rastres de l’atacant a nivell d’endpoint, de manera que el vostre equip administratiu de TI tindrà les tasques exactes i concises que cal fer, inclús en one-liners. Seguint aquest exemple: suprimiu el GPO maliciós el GUID del qual és: “xxxxx”. Tot i que, queda en les mans del client donar-nos un accés temporal o similar perquè implementem nosaltres les mitigacions.
Com es comunicarà el proveïdor de MDR amb el vostre equip?
La comunicació entre els nostres clients i nosaltres, els proveïdors del servei, es definirà prèviament al desplegament, establint canals per a cada tipus d’interacció.
A més, en algun moment transferirem el nostre flux de treball al vostre equip, normalment per a mitigacions. Tots els procediments de presa de decisions s’hauran acordat prèviament (vegeu les FAQs més amunt).
El vostre servei és 24/7?
La gran majoria de les empreses no tenen actius els seus equips de seguretat durant tot el dia. El nostre servei MDR us oferirà cobertura 24-7-365, perquè els atacants solen treballar mentre els empleats i usuaris estan dormint.
Sembla interessant, però per què hauria de canviar el meu EDR actual?
Els EDR són increïbles i realment valuosos. Tot i que estan dissenyats com una eina per als Blue Teams, els equips defensius. Els EDR són molt complexos i difícils d’utilitzar en profunditat, i processar la seva telemetria és bàsicament impossible per a la majoria dels equips de TI, ja que això requereix una infraestructura complexa i, de nou, una cobertura les 24 hores del dia. O bé, els atacants només han d’esperar fins a les hores fora d’horari laboral.
Els comercials i els proveïdors d’EDR han introduït aquesta tecnologia a gairebé totes les PIMES que hi ha, i tot i que els venen sols (sense MDR) gràcies als seus algorismes de decisió i de Machine Learning al núvol, es queden curts davant atacs complexos, que són cada cop més habituals. Tot i així, els atacants solen quedar retratats a la telemetria de l’EDR, el que passa és que ningú la processa, la qual cosa no passaria amb un servei de MDR.
Interessat en la Seguretat Gestionada?
Contacti amb el nostre equip si vol inicial una prova sense cost del servei MDR durant 30 dies!
Contacti'ns
