Beneficios de Cytomic Orion

Cytomic Orion es un servicio orientado a analistas de seguridad especializados cuyos beneficios principales son:

  • Búsqueda proactiva y automatizada de amenazas avanzadas y ataques informático que no usan malware para conseguir sus objetivos, dificultando su detección mediante las herramientas tradiciones de seguridad.

  • Búsqueda de TTPs (tácticas, técnicas y procedimientos) usadas por los hackers.

  • Detectar los ataques en fases tempranas, antes de que se puedan conseguir sus objetivos.

  • Establecer medidas de respuesta frente a las amenazas detectadas, incluyendo la contención de las brechas de seguridad, la reversión de las modificaciones efectuadas en los equipos de la red provocadas por el ataque y la recuperación de evidencias para elaborar las tareas de análisis forense posteriores.

  • Se integra con facilidad con el resto de las herramientas del SOC.

Búsqueda proactiva de amenazas avanzadas

Cytomic Orion implementa un proceso continuo de monitorización y búsqueda de indicios bajo la premisa de que la amenaza de entrada de atacantes que consiguen “instalarse” en la red de las organizaciones es permanente. Para ello genera automáticamente hipótesis en forma de indicios que muestran las nuevas técnicas de evasión y movimientos laterales detectadas, ofreciendo al analista un punto de partida válido para profundizar en la investigación y validar estas hipótesis.

Fases de la cadena CKC

Detección de ataques en fases tempranas

La detección del atacante en las fases iniciales hace posible una reducción del riesgo, una aceleración de las capacidades de contención y una reducción de los costes operativos. Cytomic Orion permite detener ataques en cualquier de las fases definidas de la Cyber Kill Chain.

Búsqueda de TTPs

El framework ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge), desarrollado por Mitre Corp., fue creado hace 5 años y es un documento vivo y creciente de las tácticas y técnicas empleadas por los hackers, resultado del estudio de millones de ataques a redes empresariales.

El objetivo de Mitre es dividir y clasificar los ataques de una manera coherente y clara que facilite su identificación y descubrimiento. La mayoría de los atacantes utilizan una combinación de técnicas y tácticas para ocultar sus movimientos laterales, descubrir las vulnerabilidades de los sistemas y explotarlos, evadir las protecciones y aprovechar las debilidades y configuraciones inseguras de la red y los equipos.

Encontrar cada una de estas técnicas dentro de un ataque en curso es clave para identificar en qué fase de la CKC se encuentra el atacante. Esto contribuye a simplificar el análisis de la situación y a ganar en eficiencia al recoger las evidencias que ayuden a identificar los objetivos del hacker y permitan a la empresa diseñar un plan detallado de respuesta.

Por este motivo, las reglas expertas y de threat hunting de Cytomic Orion se corresponden con las técnicas descritas en el framework ATT&CK, facilitando su interpretación y acelerando la puesta en marcha de los mecanismos de resolución.

Medidas de respuesta

La respuesta a incidentes constituye un proceso compuesto por una serie de pasos secuenciales dirigidos y ejecutados por el CSIRT (Equipo de respuesta a incidentes de seguridad informática), muchos de ellos asistidos por las herramienta de resolución remota incorporadas en Cytomic Orion:

Contener el daño y minimizar el riesgo

Actuando rápidamente se pueden reducir los efectos reales de un ataque, minimizando su importancia. El objetivo de la fase de contención es proteger la información confidencial de la organización en el curso del ataque descubierto sin entorpecer las tareas del equipo de respuesta ante incidentes. Esto incluye proteger contra pérdida o modificación los archivos de sistema, que pueden tener como consecuencia períodos prolongados sin servicio.

Identificar el tipo y la gravedad del ataque

Para poder recuperarse de forma eficaz de un ataque se debe determinar la gravedad de la situación de peligro que han sufrido los equipos. Para ello es necesario determinar la naturaleza del ataque, su punto de origen y la fecha en la que se inició, su intención, localizar los equipos puestos en peligro y los archivos a los que se ha tenido acceso no autorizado.

Recopilar pruebas

En muchos casos, si el entorno ha sufrido un ataque intencionado puede ser necesario poner una denuncia ante las autoridades. Para posibilitar esta opción, es necesario recoger evidencias del ataque: ficheros manipulados, trazas de red, procesos ejecutados y otros elementos del equipo comprometido.

Recuperación de los equipos

La forma de recuperar el servicio dependerá generalmente del alcance del incidente de seguridad, con planes de acción que cubren desde la eliminación de ficheros y procesos hasta la restauración de copias de seguridad anteriores al inicio del incidente.

Integración con las herramientas del SOC

Cytomic Orion incorpora varias APIs para facilitar su integración con el resto de herramientas desplegadas en el SOC. De esta forma, las organizaciones pueden construir un stack de herramientas con las ventajas indicadas a continuación:

  • Capacita al SOC para ofrecer una respuesta homogénea ante los múltiples tipos de incidentes y situaciones que enfrentará.

  • Minimiza el intercambio manual de información entre las distintas herramientas implantadas.

  • Facilita el avance en la automatización de las tareas más repetitivas, ahorrando tiempo y esfuerzo de los técnicos, que podrán invertirlo en tareas más productivas.