Conocidos también por las siglas TDR (del inglés Threat Detection and Response), bajo el nombre de servicios de detección y respuesta de amenazas se engloba un conjunto de procesos y tecnologías avanzadas que tienen un firme y claro propósito: identificar, analizar y responder de manera rápida y proactiva a las ciberamenazas vertidas sobre las organizaciones empresariales (el origen de estos ataques informáticos pueden afectar a los sistemas, las redes o los dispositivos que normalmente utilizan).
El hecho de que brinden una detección rápida, ofrezcan una respuesta ágil y consideren todos los posibles aspectos relacionados con la seguridad de la empresa -en vez de centrarse en un área específica o elemento- ayuda a mantener la integridad y la disponibilidad de los datos.
Aunque cada fabricante cuenta con sus propias tecnologías y soluciones, los servicios de detección y respuesta de amenazas aplican, en líneas generales, una serie de fases y procesos que incluyen en primer lugar una función de vigilancia o monitoreo constante en busca de cualquier actividad considerada sospechosa y que a priori podría comprometer la seguridad de una red, un sistema o una infraestructura. Esta fase de vigilancia se acompaña de análisis de comportamiento que lo que persiguen es la identificación de estas amenazas antes de que actúen.
Que los servicios de detección y respuesta de amenazas delimiten una línea de lo que se considera normal y luego monitorizan de continuo el sistema para localizar cualquier sospecha o desviación es lo que va a permitir a una empresa responder de manera oportuna. Para acelerar la identificación y mitigación de las amenazas es habitual que se apliquen diferentes tecnologías de automatización en muchos de los procesos no solo de detección, sino también de respuesta. Para que esta respuesta sea lo más eficaz posible lo habitual es que se coordinen entre sí varias herramientas; herramientas que supervisen desde identidades y redes hasta aplicaciones y nubes pasando por puntos de conexión.
Una vez se determina cómo se ha producido y llevado a cabo la ciberamenaza en cuestión, y tras evaluar los daños producidos, tienen lugar las fases de contención y de erradicación. En la primera el propósito es frenar la expansión del ciberataque: para ello, los equipos de seguridad y herramientas disponibles separan identidades, redes y dispositivos infectados, aislándolos del resto de los sistemas de la organización.
Mientras, en la segunda, además de eliminar la raíz del incidente, se corrigen las vulnerabilidades que podrían exponer a la compañía a futuros ataques similares. Es habitual, en otro orden de cosas, que los servicios de detección y respuesta de amenazas faciliten la generación de informes cuya documentación recoge lo que ha sucedido y la manera en que se ha resuelto el incidente.
Conclusiones
Todas las opciones presentadas son válidas e interesantes para cualquier compañía, pero al final la clave se encuentra en las necesidades que debe cubrir cada empresa. Sin embargo, en nuestra opinión, dos de ellas destacan sobre el resto: nos referimos a las propuestas de Cisco Hypershield y Sophos Managed Detection and Response (MDR). La primera destaca, entre otros, por aprovechar el potencial de la inteligencia artificial, la segmetación autónoma y la protección distribuida contra exploits en minutos. De Sophos Managed Detection and Response (MDR) resaltamos su compatibilidad con la telemetría de seguridad de proveedores como Microsoft, CrowdStrike, Palo Alto Networks, Fortinet, Check Point, Rapid7, Amazon Web Services (AWS), Google…
Respecto a las otras tres soluciones, Palo Alto Networks ha desarrollado alrededor de Precision AI las siguientes tres solucione avanzadas: Runtime Security, Access Security y Security Posture Management (AI-SPM). Por su parte, Trend Micro Vision One brinda (entre otras muchas prestaciones) una integración completa que ofrece una optimización de los flujos de trabajo con un ecosistema que incluye SIEM, SOAR, IAM, firewall, información sobre amenazas y gestión de servicio de TI. Finalmente, la solución WatchGuard MDR ha sido diseñada de manera específica para los proveedores de servicios gestionados (MSP)
COMPARATIVA: 5 servicios de detección y respuesta de amenazas
Cisco Hypershield
La multinacional estadounidense, especializada en servicios y productos relacionados con telecomunicaciones y redes, participa en esta comparativa con Hypershield. Se trata de una solución que ofrece al ámbito empresarial un conjunto de capacidades para detectar y para bloquear ataques a las cargas de trabajo procedentes de vulnerabilidades tanto conocidas como desconocidas. Con el objetivo de proteger los centros de datos y las nubes informáticas, aprovecha tanto la inteligencia artificial como los datos sobre exploits de Cisco Talos; así es como se denomina al grupo de investigación y de respuesta ante amenazas de ciberseguridad de Cisco.
Hablando de amenazas, Hypershield resuelve tres desafíos clave de los clientes ante su defensa. El primero de estos desafíos son las actualizaciones preverificadas: la solución, a este respecto, automatiza el proceso laborioso y lento de probar e implementar actualizaciones una vez que están listas. El segundo desafío es la segmentación automática. ¿Qué significa? Una vez que el atacante está en la red, la segmentación es clave para detener su movimiento lateral. Hypershield observa, razona de modo automático y reevalúa constantemente las políticas existentes para segmentar la red de forma autónoma.
Finalmente, se encuentra la protección distribuida contra exploits en minutos, no en semanas o meses. Dado que los atacantes convierten ‘en armas’ las vulnerabilidades recientemente publicadas más rápido de lo que los defensores pueden parchear, Hypershield promete una protección de manera casi instantánea frente a exploits sin parche.
Como solución de seguridad nativa de inteligencia artificial para proteger y escalar los centros de datos, la propuesta de Cisco ha sido construida con tecnología diseñada originalmente para grandes gestores de nubes públicas o hyperscalers. Ahora disponible para equipos de TI empresariales de todos los tamaños, este fabric de seguridad basado en eBPF (hace referencia a una tecnología de programación proveniente del término Extended Berkeley Packet Filter) de código abierto sitúa las medidas de protección donde sea necesario.
Aprovecha, de igual modo, la tecnología de NVIDIA Morpheus para acelerar la detección de anomalías en la red y los microservicios NVIDIA AI Foundry y NIM para impulsar asistentes de inteligencia artificial de seguridad personalizados para la empresa; en el caso de Morpheus, hablamos de un framework de aplicaciones abierto que facilita a los desarrolladores de ciberseguridad crear pipelines de IA optimizados con un triple propósito: filtrar, procesar y clasificar grandes volúmenes de datos en tiempo real.
Al conceder un nuevo nivel de seguridad al centro de datos, la nube y el edge, Morpheus emplea la tecnología de IA para identificar, capturar y actuar sobre amenazas y anomalías que antes eran imposibles de identificar. Proporciona además análisis de gráficos en tiempo real; aprovecha los modelos de lenguaje para el aprendizaje no supervisado; y ofrece una visibilidad del 100% de los datos para crear soluciones que supervisen las actividades de registro e identifiquen anomalías y amenazas dentro de una red. Funciona con los firewalls de las organizaciones, aplicando automatización, flujos de trabajo e inteligencia artificial para brindar no solo protección frente vulnerabilidades nuevas y conocidas en cuestión de minutos; también protección lateral.
Más información: www.cisco.es
Palo Alto Networks Precision AI
La firma ofrece una serie de soluciones de seguridad que le ayudan a integrar su tecnología Precision AI. Diseñada para contrarrestar las amenazas generadas por la inteligencia artificial y proteger a las organizaciones, combina inteligencia artificial generativa (GenAI), machine learning (ML) y deep learning (DL) para una defensa proactiva contra los atacantes. Entrando en detalle, las soluciones basadas en Precision AI ofrecen protección contra las amenazas impulsadas por tecnología de inteligencia artificial como amenazas de día cero, ataques de comando y control, y ataques de secuestro de DNS. Dado que el sistema se nutre de datos globales, la capacidad de detección de amenazas mejora de continuo.
Bajo el paraguas de Precision AI se identifican tres soluciones. La primera, denominada AI Access Security, permite que las compañías empleen herramientas de IA con confianza al proporcionar visibilidad total, controles de seguridad y protección proactiva de los datos. Asegura, asimismo, que puedan adoptar la inteligencia artificial sin comprometer su seguridad. AI Security Posture Management (AI-SPM), la segunda, identifica vulnerabilidades, prioriza configuraciones erróneas y mejora el cumplimiento normativo, protegiendo la infraestructura desde su desarrollo hasta su implementación.
La tercera de las soluciones ha sido bautizada con el nombre de AI Runtime Security: su objetivo es proteger las aplicaciones impulsadas por inteligencia artificial en tiempo real, enfrentando amenazas como las inyecciones de prompt y modelos de denegación de servicio (DoS). Garantiza, de igual forma, que los resultados generados por los modelos de esta tecnología resulten seguros y protejan contra los ataques.
En otro orden de cosas, la tecnología sobre la cual ha trabajado Palo Alto Networks ofrece una serie de beneficios clave para la seguridad empresarial. Por ejemplo, apuesta por un enfoque en la automatización y proactividad que no solo permite que la solución reaccione a las amenazas, también que anticipe ataques futuros. Esto se logra por medio de la emisión de alertas proactivas que proporcionan mejores prácticas y un soporte directo dentro del flujo de trabajo para una respuesta más rápida y efectiva.
Como experta en ciberseguridad la firma ha adoptado, por otro lado, un enfoque de ‘plataformización’ que busca eliminar las barreras entre diferentes soluciones de seguridad. Dicho enfoque le ayuda a brindar una plataforma unificada que mejora la eficiencia operativa y optimiza la defensa en entornos de red, nube y centros de operaciones de seguridad. La integración de los sistemas facilita una protección más coherente y robusta, mejorando la capacidad de las empresas para enfrentarse a amenazas cibernéticas complejas.
Mientras, el concepto de ‘Secure AI by Design’ garantiza que todo el ecosistema de IA quede protegido desde la fase inicial de diseño. Esto implica priorizar la integridad y el cumplimiento de los marcos de seguridad de IA, asegurando que las aplicaciones y herramientas impulsadas por esta tecnología sean seguras desde el desarrollo hasta su implementación. Precision AI y las soluciones asociadas están diseñadas para ofrecer una seguridad más autónoma, contextualmente informada y accionable con el propósito de proteger al mundo empresarial de una era que cada vez está más dominada por la inteligencia artificial.
Más información: www.paloaltonetworks.es
Sophos Managed Detection and Response (MDR)
Un servicio 24 x 7 totalmente gestionado y prestado por personal experto que detecta y responde a los ciberataques dirigidos a los ordenadores, los servidores, las redes, las cargas de trabajo en la nube, las cuentas de correo electrónico… Esta es la carta de presentación del servicio de detección y respuesta de amenazas de Sophos; el fabricante promete que sus herramientas bloquean hasta un 99,98% de las amenazas.
Si ahondamos en sus características, Sophos MDR es compatible con la telemetría de seguridad de proveedores como Microsoft, CrowdStrike, Palo Alto Networks, Fortinet, Check Point, Rapid7, Amazon Web Services (AWS), Google, Okta, Darktrace … En este caso, la telemetría (por medio de esta técnica lo que se hace es ampliar la visibilidad del entorno) se consolida, correlaciona y prioriza automáticamente con información exhaustiva del ecosistema de ciberseguridad adaptativa Sophos Adaptive Cybersecurity Ecosystem (ACE) y la unidad de información sobre amenazas Sophos X-Ops. Además de evitar las actividades maliciosas, Sophos ACE permite buscar indicios débiles de amenazas que requieren intervención humana para detectarlas, investigarlas y eliminarlas.
También cobran especial valor los informes semanales y mensuales a disposición de la organización empresarial. A estes respecto, Sophos Central es un panel de control que cumple no solo con la gestión de la solución, ayuda a recibir alertas en tiempo real y generar informes. Esta documentación incluye información exhaustiva sobre las ciberamenazas detectadas y las investigaciones de seguridad que se hayan efectuado.
Las compañías interesadas en Sophos MDR disfrutarán de otras prestaciones que les serán útiles en su día a día. Por ejemplo, el fabricante proporciona a las organizaciones
un responsable de respuesta a amenazas dedicado que colabora con el equipo interno de la empresa (también partners externos) en cuanto se identifica una amenaza y trabaja con ella hasta que se resuelve el incidente. Junto a las recomendaciones proactivas para mejorar la postura de seguridad de la compañía, Sophos lleva a cabo un análisis de causa raíz para identificar los problemas subyacentes que han provocado el incidente, bridando así orientación prescriptiva para resolver vulnerabilidades de seguridad a fin de que no puedan ser explotadas en el futuro.
Función ‘Comprobar la cuenta de Sophos’. Por medio de esta opción, el servicio revisa de continúo los ajustes y las configuraciones de los endpoints gestionados por la plataforma Sophos XDR para asegurar que mantienen su máximo rendimiento. Por otro lado, en el caso de las compañías que deciden no optar por la respuesta a incidentes integral de Sophos MDR, el equipo de operaciones de Sophos MDR puede ejecutar acciones de contención para interrumpir la amenaza y evitar su propagación. Esto reduce la carga de trabajo de los equipos de seguridad internos y les permite aplicar medidas de remediación rápidamente.
Resulta interesante la sesión informativa mensual Sophos MDR ThreatCast. Presentada por el equipo de operaciones de Sophos MDR y disponible en exclusiva para los clientes de Sophos MDR, revela datos clave relativos a la información sobre amenazas más recientes y las prácticas de seguridad recomendadas.
Más información: www.sophos.com/es-es
Trend Micro Vision One XDR
Esta solución destaca por ofrecer capacidades de detección y respuesta integradas en elemail, la red, el endpoint, el servidor y las cargas de trabajo cloud. Para ello, emplea la tecnología XDR desarrollada por la firma que escala a través del mayor número de fuentes posibles para disponer de las detecciones más completas que se han generado lo antes posible. Dentro de este contexto, la plataforma de Trend Micro emplea tecnología machine learning y apilamiento de datos no solo para detectar ataques, sino para proporcionar alertas tempranas de posibles incidentes a través de análisis predictivos.
Además de visualizar rápidamente toda la historia de cada uno de los ataques, Vision One XDR ayuda a que las organizaciones mejoren su eficiencia operativa. Lo hace aprovechando varias herramientas y tecnología de inteligencia artificial que profundizan en técnicas y estrategias específicas que buscan indicadores de ataque y de compromiso. Incluso es posible integrar resultados de terceros con la plataforma (que es compatible con API) para disponer de una mayor cantidad de datos (firewall, gestión de vulnerabilidades, redes, gestión de acceso de identidad, SIEM y SOAR) para optimizar los procesos y los flujos de trabajo existentes.
De igual modo, el enfoque híbrido y nativo de XDR y ASM- por el que apuesta la solución- beneficia a los equipos de seguridad de las empresas al disponer de una telemetría de actividad más rica; pero no solo en los datos de detección, sino en todas las capas de seguridad con un contexto y una comprensión completos. El resultado es una detección de riesgos y amenazas más temprana y precisa, y una investigación más eficiente.
En referencia a la investigación precisa de estas amenazas, la identificación de incidentes críticos, priorizados según la gravedad y el alcance del impacto, es la ruta más rápida para obtener mejores resultados empresariales y de seguridad. Trend Vision One permite, dentro de este contexto, ‘concentrarse’ en lo que necesita atención correlacionando actividades de baja fiabilidad con incidentes de alta fiabilidad, lo que supone menos alertas y más priorizadas.
Las prestaciones ofrecidas por la plataforma de Trend Micro se complementan con otras características de interés y utilidad para el día a día de la empresa. Por ejemplo, se arroja una profunda visibilidad y prevención de amenazas para endpoints y servidores correlacionando automáticamente los datos en varias capas de seguridad para una detección más rápida, una mejor investigación y un menor tiempo de respuesta. De igual modo, brinda protección para todos los dispositivos con DNR y ayuda a conocer cuáles son los usuarios con mayores privilegios y aquellos expuestos a mayores riesgos.
Con Trend Micro Vision One XDR es posible, en otro orden de cosas, ampliar la detección y la respuesta más allá de las cuentas de emails analizando el correo electrónico, los registros de amenazas y su comportamiento para disponer de una mayor visibilidad de las actividades consideradas sospechosas. Para predecir posibles brechas de explotación, la plataforma mide y pondera diferentes factores de riesgo como vulnerabilidades, controles de seguridad y configuraciones erróneas, entre otros.
Más información: www.trendmicro.es
WatchGuard MDR
WatchGuard MDR es un servicio de ciberseguridad personalizable y escalable 24 x 7 diseñado para que los proveedores de servicios gestionados (MSP) que trabajan para satisfacer la creciente demanda de los clientes de ciberseguridad gestionada tengan un acceso más fácil a este servicio. Gestionado por un equipo de expertos en ciberseguridad e impulsado por inteligencia artificial, ofrece monitorización de seguridad de endpoints de primer nivel, threat hunting, detección de ataques, e investigación y satisfacción con recomendaciones guiadas para remediar los activos afectados y mejorar la postura de seguridad del cliente.
Dicho equipo atesora una larga experiencia en ámbitos como el aprendizaje automático y los análisis de seguridad. Así, su trabajo consiste exactamente en supervisar, buscar, detectar y contener las amenazas que se ‘esconden’ en los endpoints durante el día, al tiempo que evalúan la superficie de ataque para fortalecer la postura de seguridad de la organización empresarial y mejorar su resistencia frente a las amenazas.
Sus características relevan, asimismo, que proporciona capacidades avanzadas de detección y respuesta a amenazas sobre WatchGuard EDR, EPDR y Advanced EPDR que permiten a los MSP construir ofertas de seguridad robustas y completas para sus clientes. Viene, a este respecto, con el soporte del servicio automatizado Zero-Trust Application Service de WatchGuard; Threat Hunting Service; analíticas de seguridad avanzadas; e inteligencia de amenazas.
A la monitorización que realiza de la actividad de los endpoints y recopilación de datos, se suman otras prestaciones de interés. Este es el caso de la identificación y detección proactivas: para minimizar el tiempo de detección y mitigación de amenazas, WatchGuard MDR emplea, entre otros, machine learning y técnicas avanzadas para identificar indicadores de ataque. Las empresas disponen, igualmente, de un servicio de notificación inmediata de incidentes con información clave como, por ejemplo, los equipos afectados.
También destacan los informes semanales del estado de la seguridad y los mensuales referidos a la actividad de la compañía: para generar confianza a la cartera de clientes proporcionándoles informes periódicos sobre el estado de su seguridad, los proveedores de servicios tienen la opción de personalizarlos para involucrar mejor a estos con su servicio MDR y proporcionarles a la vez comentarios a lo largo del proceso.
Como fabricante de tecnología de seguridad cibernética, WatchGuard pone al servicio de las compañías lo que denominan ‘buscadores de amenazas’. La función que tienen estos analistas es correlacionar las señales débiles de comportamiento anormal con inteligencia de amenazas y determinar si se deben investigar más. Además, formulan hipótesis de ataques con la inteligencia de amenazas más actualizada para encontrar las técnicas y los procedimientos más adecuados.
Otras características de interés de WatchGuard MDR son las siguientes: supervisión continúa de Microsoft 365, retención de telemetría de 365 días en la nube, pautas de corrección y de mitigación, playbooks personalizados para la contención automatizada de filtrados por endpoints, informes recurrentes de objetivos de defensa de Microsoft 365, cumplimiento de los requisitos reglamentarios y la notificación inmediata de incidentes al punto de contacto elegido por correo electrónico o teléfono.
Más información: www.watchguard.com/es
