Skip to main content

SEGURIDAD GESTIONADA

Todas las pequeñas y medianas empresas han empezado a sufrir recientemente el mismo problema de seguridad. Las ciberamenazas han ido evolucionando en los últimos años, y han llegado a tal punto que ya no se pueden combatir simplemente desplegando soluciones de seguridad para endpoints simples como Antivirus o EDR.

Las amenazas complejas requieren detecciones complejas, y estas implican expertos en seguridad dedicados. No falta decir que un equipo de seguridad 24/7 completo es inasequible para una PYME. Pero tenemos la respuesta a este problema: estamos aquí para ayudarle gestionando esas soluciones de seguridad para que su personal de TI pueda quitarse ese quebradero de cabeza.

Con nuestro equipo de expertos gestionando sus tecnologías de seguridad, le proporcionamos un monitoreo continuo y una defensa proactiva de su entorno digital. Su equipo de TI podrá centrarse de nuevo en sus actividades empresariales, con la tranquilidad de saber que estamos protegiendo sus activos digitales 24/7.

¿Qué es el Managed Detection and Response (MDR)?

Managed Detection and Response (MDR) es un servicio de ciberseguridad que combina la tecnología Endpoint Detection and Response (EDR) con expertos humanos para identificar y neutralizar rápidamente el impacto de los ciberataques mediante el monitoreo de seguridad 24/7, la caza de los atacantes y la respuesta instantánea a los incidentes.

MDR es la única solución de ciberseguridad que combina un EDR con un «Blue Team» de expertos en seguridad, todo ello a un precio asequible para las PYMES. Así pues, la principal ventaja de este servicio es que ayuda rápidamente a limitar el impacto de las ciberamenazas sin necesidad de contratar personal adicional, que puede resultar excesivamente caro.

Dado que los activos en el Cloud son vitales, también ofrecemos servicios de detección y respuesta para activos no endpoint, como cuentas M365, en las que no se dispone de un EDR, y las amenazas se monitorizarán de forma similar. Esto garantiza la cobertura de toda la organización en entornos híbridos.

Beneficios del MDR

Las empresas con una solución MDR pueden reducir el tiempo que tardan en detectar una brecha de serguridad (y en responder a ella) de una media de 204 días a tan sólo unos minutos, lo que reduce drásticamente el impacto de un incidente de seguridad.

Las empresas también pueden:

  • Mejorar en gran medida su postura de seguridad y ser más resistentes a posibles ataques gracias a la búsqueda proactiva de cualquier actividad sospechosa y las investigaciones manuales iniciadas.
  • Descubrir rápidamente a los intrusos tan pronto como intenten establecer un acceso inicial en sus sistemas gracias a la supervisión de seguridad 24/7.
  • Identificar y eliminar ciberamenazas ocultas y complejas que estaban escondidas en sus redes gracias al Threat Hunting (caza de Amenazas), tales como malware e intrusos.
  • Aliviar a sus equipos de TI internos del problema y la tarea de encargarse de la gestión de la seguridad. Las amenazas modernas requieren especialistas en seguridad para ser identificadas y detenidas.

Dificultades operativas sin MDR

Challenge #1: Security Personnel and Budget

Los equipos internos de seguridad defensiva que trabajan 24/7, también conocidos como Blue Teams, sólo están al alcance de las grandes empresas. Esto deja a las PYMES vendidas con tecnologías de seguridad tradicionales y, en general, con soluciones medio ciegas. Incluso los famosos productos EDR están diseñados para ser gestionados por analistas de seguridad expertos, por lo que si se despliegan y se dejan solos, su capacidad para detectar y detener amenazas disminuye considerablemente.

Reto #2: Fatiga por alertas

Incluso si se pudiera contratar a algunos expertos en seguridad, la cantidad de infraestructura y personal necesarios para la correcta detección, investigación y respuesta rápida de todos los incidentes que se producen en tiempo real crece constantemente, al igual que la cantidad de alertas y eventos que se generan sin parar.

Esto lleva a lo que se conoce como «Fatiga por Alertas», que satura a los equipos de seguridad limitados con alertas que revisar, lo que conlleva altas probabilidades de que las amenazas se cuelen como actividad habitual. Esto es aún peor hoy en día, ya que los Endpoints se multiplican en forma de IoT, trabajadores remotos, socios de la cadena de suministro y redes híbridas.

Seguridad Gestionada para Endpoint & Cloud

Para garantizar una cobertura de seguridad completa de su organización, ofrecemos dos tipos de Managed Detection & Response: Endpoint protection, y Cloud protection para Microsoft 365. Pueden desplegarse por separado en entornos solo onpremise o solo Cloud, o bien integrarse juntos en estructuras híbridas.

EDR Gestionado para ENDPOINTS

Para proteger todos sus endpoints Windows y MacOS, le proporcionamos un agente EDR que será gestionado por nuestro equipo de expertos 24/7. Esto significa que todas y cada una de las alertas y eventos generados por el EDR serán monitorizados, procesados, clasificados e investigados si son sospechosos, para neutralizarlos y guiarle en cada paso de la mitigación. Le cubriremos desde los primeros indicios de actividad sospechosa hasta la eliminación de la amenaza.

MDR para Microsoft 365

Las integraciones en la nube de Microsoft son muy habituales en las empresas de hoy en día, y las cuentas M365 son un activo cada vez más atacado debido a su falta de monitorización de seguridad. Nosotros le ayudaremos a cambiar eso a través de nuestro Managed Detection and Response para Microsoft 365. Nuestro equipo experto en seguridad recopilará todo tipo de eventos, identificará comportamientos sospechosos, los analizará y neutralizará las amenazas encontradas en tiempo real.

Funcionamiento del MDR

A través del servicio Managed Detection and Response, toda la información sobre amenazas, los análisis avanzados y los datos forenses de su organización se transmiten a nuestros expertos para que monitoricen, detecten y respondan de forma remota a las amenazas detectadas en su infraestructura. También realizarán el filtrado de las alertas detectadas y determinarán la respuesta adecuada para reducir el impacto y el riesgo de los incidentes confirmados.

Nuestro servicio MDR incluye un equipo de seguridad externalizado con todas las prestaciones, como un Centro de Operaciones de Seguridad (SOC) con supervisión humana 24/7, cazadores de amenazas (Threat Hunters) para la investigación proactiva y la neutralización de malware y atacantes, informes de incidentes y, lo que es más importante, remediaciones guiadas. Para los endpoints, también proporcionamos nuestro agente EDR.

Nuestro servicio MDR funciona así:

01: Recopilación

En los endpoints y las cuentas M365 con MDR, nuestros expertos buscan señales y eventos que indiquen que hay atacantes o malware realizando actividades maliciosas.

02: Análisis

Una vez recopilados los eventos, procedemos al análisis contextual y verificado por humanos. Nuestros analistas del SOC revisan toda la telemetría disponible para detectar incluso las amenazas más escondidas.

03: Investigación

Una vez detectado cualquier evento sospechoso, el equipo de Threat Hunting inicia inmediatamente una investigación. Están especializados en buscar en todos los rincones posibles para descubrir y eliminar cualquier intruso de sus sistemas.

04: Informe del Incidente

Tras investigar el incidente y neutralizar las amenazas, le enviamos un informe para compartir nuestros hallazgos y los pasos a seguir.

05: Mitigación

Procederemos a aplicar las mitigaciones en función de la gravedad de los incidentes y de cómo hayamos acordado previamente el procedimiento con cada cliente. Esto se definirá personalmente durante el proceso de onboarding inicial.

Servicio MDR – FAQs

¿Puede su servicio MDR sustituir a mi solución EDR actual en mis endpoints?

Por supuesto. Le proporcionaremos un agente EDR con todas las prestaciones gestionado por nuestro equipo, que se desplegará en los endpoints a proteger. Somos agnósticos de otros agentes EDR en sus endpoints, por lo que si decide iniciar una prueba gratuita de nuestro servicio, no necesitará desinstalar las otras soluciones de seguridad.

La telemetría de este nuevo EDR es lo que nuestro equipo procesará y analizará. La diferencia clave ahora es que se investigará en tiempo real, mientras que en un escenario de sólo EDR, todo se «tira a la basura». Algunos ejemplos de fuentes de telemetría son Eventos de Procesos (nuevos procesos, estado, privilegios, módulos cargados…), Eventos de Usuario (eventos de inicio de sesión, autenticaciones fallidas…), Eventos de Registro (estados de key/value, nuevas entradas…), Eventos de Archivos (Crear – Leer – Actualizar – Eliminar para archivos monitorizados), Eventos de Red, autoejecutables, tareas programadas y muchos más. Póngase en contacto con nosotros para obtener todos los detalles técnicos.

¿Qué acceso necesita su servicio MDR para funcionar?

Siempre queremos tener el menor acceso posible en sus redes, y nos quedaremos en lo estrictamente necesario, para evitar riesgos en la cadena de suministro.

  • Agente EDR gestionado en sus endpoints: Una vez instalado el agente EDR, podemos operar completamente. Sin necesidad alguna de cuentas de dominio ni nada similar.
  • MDR para cuentas M365: Los Audit Logs se habilitarán en sus Tenants, y a través de una cuenta de administrador global suya, en el onboarding tendrá que proporcionarnos acceso a los registros, incidentes, eventos de seguridad, configuración del buzón (NO los correos en , no necesitamos escanear ni leerlos) entre algunos otros.

¿Cómo se llevarán a cabo las remediaciones?

Todas las amenazas detectadas se neutralizarán lo antes posible. Esto puede significar, por ejemplo, que un host que esté siendo utilizado como acceso inicial por los atacantes haya sido aislado para detener la amenaza, y que haya que tomar algunas medidas. Dependerá de la gravedad del problema: los artefactos de malware se pondrán en cuarentena o se eliminarán al instante, pero un usuario comprometido puede simplemente bloquearse hasta que usted, como administrador, cambie su contraseña.

Todo este procedimiento de toma de decisiones se hablará y definirá con nuestros clientes antes del despliegue del servicio.

Hay ciertos pasos de mitigación que no podemos realizar, la mayoría relacionados con Active-Directory. Por ejemplo, el atacante ha creado una GPO maliciosa, o un usuario de dominio privilegiado. La amenaza se habrá detenido y neutralizado, por supuesto, pero no podemos eliminar estos rastros del atacante a nivel de endpoint, por lo que su equipo administrativo de TI recibirá las tareas exactas y concisas que debe realizar. Siguiendo este ejemplo: Eliminar la GPO maliciosa cuyo GUID es: «xxxxx». Aunque, depende del cliente concedernos acceso temporal o similar para que implementemos las mitigaciones.

¿Su servicio es 24/7?

La gran mayoría de las empresas no cuentan con personal de seguridad las 24 horas del día. Nuestro servicio MDR le proporcionará cobertura 24/7, porque los atacantes suelen trabajan duro mientras los empleados y usuarios duermen.

¿Cómo nos comunicaremos con su equipo?

La comunicación entre nuestros clientes y nosotros, los proveedores de servicios, se definirá antes de la implementación, estableciendo canales para cada tipo de interacción.

Además, en algún momento transferiremos nuestro flujo de trabajo a su equipo, normalmente para correcciones. Los procedimientos de toma de decisiones se habrán acordado previamente (véanse las FAQ anteriores).

Parece interesante, pero ¿por qué iba a cambiar mi solución EDR actual?

Tenemos un artículo entero que explica cómo funcionan los EDR y por qué no bastan por sí solos para detener el malware moderno. Incluso creamos un artefacto de malware personalizado para mostrar cómo elude las detecciones de un EDR muy conocido. Enlace aquí!

Los productos EDR son increíbles y realmente valiosos. Aunque están diseñados como una herramienta para los Blue Teams, es decir, los equipos defensivos. Los EDR son muy complejos y difíciles de utilizar en profundidad, y procesar la telemetría que proporcionan es básicamente imposible para la mayoría de los equipos de TI, ya que eso requiere una infraestructura compleja y, de nuevo, cobertura 24 horas al día, 7 días a la semana. Si no, los atacantes sólo tienen que esperar a que no haya ningún empleado trabajando.

Los vendedores y proveedores de EDR han empujado con fuerza esta tecnología a casi todas las pymes, y aunque venderlas de forma autónoma funciona gracias a sus algoritmos de decisión y Machine Learning en la nube, se quedan cortas frente a los ataques complejos, cada vez más comunes. Aunque los atacantes suelen quedar registrados en la telemetría del EDR, lo que ocurre es que nadie la procesa.

Interesado en la Seguridad Gestionada?

¡Contacte con nuestro equipo si desea iniciar una demo gratuita de 30 días de nuestro servicio MDR!
Contacte con Nosotros

Prepárate

ANTES DE QUE ELLOS TE ATAQUEN

Empecemos

Enlaces

CONTACTO

+376 379 009
+34 624 62 78 53

contacto@iglensonsecurity.com

Andorra la Vella, Andorra

SÍGUENOS

Legal