Detección de indicadores de ataque (IOAs) y servicio Threat Hunting Investigation Service

En muchos de los ataques informáticos dirigidos a las empresas, los hackers tratan de romper las defensas de seguridad desplegando un conjunto de acciones coordinadas y distribuidas en períodos de tiempo alargados. Muchas de estas acciones utilizan amenazas de tipo fileless / malwareless, que evitan almacenar ficheros en el disco duro del equipo infectado para sortear las estrategias tradicionales de detección de malware basadas en archivos de identificadores. Al residir únicamente en la memoria RAM del equipo, estas amenazas se vuelven muy complicadas de detectar, y su impacto es muy difícil de determinar mediante procesos de análisis forense estándar. Otra estrategia utilizada por los cibercriminales para pasar desapercibidos consiste en utilizar las propias herramientas del sistema operativo para ejecutar los ataques.

Advanced EPDR incluye en su licencia de uso básica un servicio de threat hunting transversal, que analiza el flujo de telemetría mediante de la herramienta Cytomic Orion y genera como resultado indicios de ataque. El grupo de técnicos especialistas (hunters) de Cytomicsupervisa y valida estos indicios antes de generar un IOA en la consola del administrador.

Un IOA (Indicator Of Attack) es un indicio que Advanced EPDR muestra en la consola del administrador cuando se detecta un patrón de eventos susceptible de pertenecer a un ciberataque. Por lo tanto, puede ser tanto un indicador adelantado de infección, que alerte al administración de la existencia de un ataque en curso, como un aviso de que el ataque informático consiguió penetrar en las defensas de la compañía y uno o varios equipos ya han sido comprometidos en algún grado.