-
Módulo de protección basado en tecnologías tradicionales (fichero de firmas, análisis heurístico, anti exploit etc), que detecta y elimina virus informáticos y otras amenazas.
-
APIs de tipo REST que despliega para permitir su integración con herramientas de terceros o con aplicaciones desarrolladas en el propio SOC.
-
Desarrollado realizado por terceros que quiere integrarse conCytomic Orion a través de la API de integración.
-
Conjunto de estrategias emprendidas por hackers orientadas a infectar la red del cliente, utilizando múltiples vectores de infección de forma simultánea para pasar inadvertidos a los antivirus tradicionales durante largos periodos de tiempo. Su objetivo principal es económico (robo de información confidencial de la empresa para chantaje, robo de propiedad intelectual etc) o político.
-
Fichero que contiene los patrones que el antivirus utiliza para detectar las amenazas.
-
Conjunto de recursos desarrollados por la empresa Mitre Corp. para describir y categorizar los comportamientos peligrosos de los ciberdelincuentes, basados en observaciones a lo largo de todo el mundo. ATT&CK es una lista ordenada de comportamientos conocidos de los atacantes que se dividen en tácticas y técnicas, y se expresan a través de una matriz y también mediante STIX y TAXII. Ya que esta lista es una representación completa de los comportamientos que los hackers reproducen cuando se infiltran en las redes de las empresas, es un recurso útil para las organizaciones al desarrollar mecanismos tanto defensivos como preventivos y resolutivos.
-
Servidor de autorización utilizado en la API de integración. Consulta “Servidor de autorización (relativo a la API de integración)” para más información.
-
Unidad mínima de un notebook que consiste en una caja de texto multilínea que alberga código en un lenguaje compatible con el kernel del notebook, y los resultados de su ejecución.
-
La empresa Lockheed-Martin describió en 2011 un nuevo marco o modelo para defender las redes informáticas, detallando que los ciberataques ocurren en fases y cada una de ellas puede ser interrumpida a través de controles establecidos. Desde entonces, la Cyber Kill Chain ha sido adoptada por organizaciones de seguridad de datos para definir las fases de los ataques cibernéticos. Estas fases abarcan desde el reconocimiento remoto de los activos del objetivo hasta la exfiltración de datos.
-
Es el identificador y la contraseña asignado al cliente de Cytomic Orion. Para obtener un client_id y client_secret contacta con el departamento comercial de Cytomic.
-
Ver Firewall.
-
Plataforma abierta para el intercambio de información de cyberseguridad que monitoriza, recopila y analiza potenciales ciberamenazas contra las organizaciones, facilitando el diseño de acciones defensivas y resolutivas.
-
Lista de información definida y mantenida por Mitre Corp. sobre vulnerabilidades conocidas de seguridad. Cada referencia tiene un número de identificación único, ofreciendo una nomenclatura común para el conocimiento público de este tipo de problemas y así facilitar la compartición de datos sobre dichas vulnerabilidades.
-
Notebook que utiliza como fuente de información el flujo de telemetría que genera la infraestructura IT del cliente y representa de forma gráfica las entidades registradas y sus relaciones, facilitando al analista su interpretación.
-
Número que identifica de manera lógica y jerárquica la interfaz de red de un dispositivo (habitualmente un ordenador) dentro de una red que utilice el protocolo IP.
-
Servicio que traduce nombres de dominio con información de diversos tipos, generalmente direcciones IP.
-
EDR es la respuesta al hecho de que el antivirus tradicional nunca podrán evitar todos los ataques cibernéticos. El EDR asume que las amenazas evitarán las defensas de prevención, por lo que se enfoca en monitorizar los equipos para detectar comportamientos que indiquen actividad maliciosa, y captura datos para investigaciones de seguridad. La mayoría de los EDRs tiene algún nivel de respuesta automatizada pero dependiendo del tiempo de exposición de la amenaza antes de que sea descubierta, pueden requerirse iniciativas de resolución manuales. Al igual que con NGAV, las soluciones EDR utilizan técnicas de ML (Machine Learning) y AI (Inteligencia Artificial) para extrapolar y determinar si un comportamiento es malicioso, basándose en grandes conjuntos de datos que se actualizan constantemente.
-
Cada una de las acciones relevantes monitorizadas por Cytomic EDR o Cytomic EPDR ejecutadas por los procesos en el equipo de usuario o servidor genera un evento que es enriquecido y enviado a la plataforma Cytomic Orion. Allí se almacena en el océano de datos para que el analista pueda investigarlo posteriormente de forma individual o en conjunto con el resto de eventos producidos.
-
De forma general un exploit es una secuencia de datos especialmente diseñada para provocar un fallo controlado en la ejecución de un programa vulnerable. Después de provocar el fallo, el proceso comprometido interpretará por error parte de la secuencia de datos como código ejecutable, desencadenando acciones peligrosas para la seguridad del equipo.
-
También conocido como cortafuegos, es una tecnología que bloquea el tráfico de red que coincide con patrones definidos por el administrador mediante reglas. De esta manera, se limita o impide la comunicación de ciertas aplicaciones que se ejecutan en los equipos, restringiéndose la superficie de exposición del equipo.
-
Normativa que regula la protección de los datos de los ciudadanos que viven en la Unión Europea.
-
Posicionar en un mapa un dispositivo en función de sus coordenadas.
-
Fichero clasificado como legítimo y seguro tras su estudio.
-
Servidor de autenticación utilizado por en la API de integración. Consulta “Servidor de autenticación (relativo a la API de integración)” para más información.
-
Hipótesis generada por Cytomic Orion que advierte al analista de nivel 1 del MSSP / MDR / SOC de la detección de un patrón TTP descrito en una regla de hunting dentro el océano de datos.
-
Repositorio de datos compartido creado por los analistas de nivel 1 del MSSP / MDR / SOC y alimentado por los analistas de nivel 2 y 3 con los hallazgos producidos en el transcurso de una investigación.
-
Estándar de la industria que permite describir condiciones susceptibles de comprometer la seguridad de las organizaciones. Siendo un concepto similar al del fichero de firmas utilizado por las herramientas de protección contra el malware, su formato es abierto, con lo que se favorece su compartición e intercambio y permite al administrador extender de forma sencilla las capacidades de detección de la solución de seguridad instalada en los equipos de la red.
-
Librería Python implementada en Cytomic Orion y utilizada por los analistas en los notebooks para acelerar la automatización de sus investigaciones.
-
Término general utilizado para referirse a programas que contienen código malicioso (MALicious softWARE), ya sean virus, troyanos, gusanos o cualquier otra amenaza que afecte a la seguridad e integridad de los sistemas informáticos. El malware se infiltra y daña un ordenador sin el conocimiento de su dueño, con finalidades muy diversas.
-
Algoritmo de reducción criptográfico que obtiene una firma (hash o digest) de 128 bits que representa de forma única una serie o cadena de entrada. El hash MD5 calculado sobre un fichero sirve para su identificación unívoca o para comprobar que no fue manipulado / cambiado.
-
Es una nueva clase de servicio de seguridad que agrupa a expertos, tecnología propia y los conocimientos prácticos necesarios para superar las deficiencias del modelo MSSP al buscar, investigar y resolver de forma proactiva amenazas informáticas rápidamente.
-
Empresa sin ánimo de lucro que opera múltiples centros de investigación y desarrollo financiados con fondos federales dedicados a abordar problemas relativos a la seguridad. Ofrecen soluciones prácticas en los ámbitos de defensa e inteligencia, aviación, sistemas civiles, seguridad nacional, judicatura, salud y ciberseguridad. Son los creadores del framework ATT&CK.
-
Operaciones realizadas por los hackers dentro de la red corporativa mediante las cuales se busca ganar una posición de ventaja que permita alcanzar sus objetivos. Generalmente implica la propagación de malware a otros equipos de la red, instalación de puertas traseras que faciliten el acceso a las distintas subredes de la empresa etc.
-
Empresas que ofrecen servicios de seguridad administrados para aquellas organizaciones que quieran externalizarlos o subcontratarlos.
-
Cadena de caracteres que Cytomic Orion utiliza para identificar de forma única cada estación de trabajo o servidor del cliente.
-
A diferencia de los antivirus tradicionales que fundamentalmente basan sus capacidades de detección en los ficheros de firmas alojados en local, en la nube o en una mezcla de ambos, los NGAV utilizan técnicas avanzadas para detectar el malware. Pueden incorporar técnicas de auto aprendizaje (Machine Learning), detección de exploits, uso de IOCs (indicadores de compromiso), análisis de metadatos y otras técnicas, para buscar los TTPs utilizados por los atacantes.
-
Es la evolución natural de un cortafuegos al que se le añaden funcionalidades avanzadas de detección de malware, filtrado de contenidos, filtrado del tráfico web, servicios de VPN, acceso remoto a la red y sistemas de detección de intrusos, entre otros.
-
División interna de la plantilla de técnicos que pertenecen a un SOC / MSSP / MDR según diversos criterios, como pueden ser sus conocimientos técnicos de las infraestructuras de sus clientes, habilidades de comunicación, conocimientos de programación etc.
-
Representación web de todas las entradas y salidas que se han producido a lo largo del tiempo en torno a uno o varios fragmentos de código ejecutados de forma interactiva, incluyendo explicaciones en formato texto, imágenes y representaciones de objetos más elaboradas.
-
Término que se utiliza para describir una red mundial de servidores conectados para funcionar como un único ecosistema y diseñados para almacenar y administrar datos, ejecutar aplicaciones o entregar contenido o servicios (streaming de vídeos, correo web, software de ofimática, servicios de seguridad etc). En lugar de acceder a archivos y datos desde un equipo personal o local, el usuario accede a ellos en línea desde cualquier dispositivo conectado a Internet, es decir, la información está disponible dondequiera que vaya y siempre que la necesite.
-
Estándar abierto muy utilizado en la industria para permitir el acceso delegado a recursos protegidos. El principal escenario para el que OAuth fue diseñado es el de un usuario que necesita otorgar permisos de acceso a información protegida a sitios web o aplicaciones de terceros, pero sin necesidad de compartir sus credenciales. Por lo tanto, OAuth proporciona un acceso delegado seguro a los recursos del propietario en su nombre, y especifica los procesos necesarios para que éste autorice el acceso a terceros sin compartir sus credenciales.
-
Acumulación de toda la telemetría generada por los procesos ejecutados en los equipos de usuario y servidores y almacenada en los servidores deCytomic Orion, donde el analista puede ejecutar búsquedas para realizar sus análisis.
-
Intento de conseguir de forma fraudulenta información confidencial de un usuario mediante el engaño. Normalmente la información que se trata de lograr tiene que ver con contraseñas, tarjetas de crédito, cuentas bancarias o información que pueda ser utilizada para facilitar el acceso remoto del atacante a la red de la organización.
-
Notebook que los analistas toman como base para desarrollar la automatización de sus investigaciones. Al no comenzar desde 0 cada nuevo análisis, las plantillas aceleran el desarrollo y adicionalmente favorecen la reutilización y compartición de notebooks.
-
Son aquellos procesos vulnerables que han sido afectados por un exploit y pueden comprometer la seguridad del equipo.
-
Son programas que, debido a fallos de programación, no son capaces de interpretar correctamente los datos recibidos de otros procesos. Al recibir una secuencia de datos especialmente diseñada (exploit), los hackers pueden provocar un mal funcionamiento del proceso, induciendo la ejecución de código que compromete la seguridad del equipo.
-
Son programas que se introducen de forma invisible o poco clara en el equipo aprovechando la instalación de otro programa que es el que realmente el usuario desea instalar.
-
Lenguaje de programación multiparadigma, interpretado y multiplataforma cuya filosofía hace hincapié en una sintaxis que favorece la generación de código legible. Posee una licencia de código abierto compatible con la Licencia pública general de GNU a partir de la versión 2.1.1.
-
Motor de búsqueda implementado en que toma como entrada el océano de datos formado por la telemetría recogida de los equipos de usuario y las reglas de hunting, que describen las TTPs (Tácticas, Técnicas y Procedimientos) empleados por los hackers. Cuando el Radar de ciber-ataques detecta una TTP genera un indicio.
-
Descripción de una TTP (Tácticas, Técnicas y Procedimientos) reconocida por Cytomic Orion utilizada por el Radar de ciber-ataques para buscar en el océano de datos patrones de ejecución sospechosos de pertenecer a un ataque informático.
-
Envía los indicios detectados en los equipos de uno o más clientes a una o varias cuentas de correo con el objetivo de evitar que el analista acceda de forma recurrente a la consola de análisis para comprobar el estado del parque informático de los clientes que investiga.
-
Conjunto de técnicas que permiten desarrollar páginas Web que se adaptan de forma automática al tamaño y resolución del dispositivo utilizado para visualizarlas.
-
Pequeños bloques de código independientes que resuelven problemas concretos y que el analista puede incorporar en los notebooks para acelerar la automatización de sus investigaciones.
-
Configuración específica de permisos que se aplica a una o más cuentas de usuario y autoriza a ver o modificar determinados recursos de la consola.
-
Dispositivos de red que operan de forma transparente para ofrecer contenidos seguros de Internet a los usuarios de una red corporativa. Integran sistemas de antivirus de red, firewall (cortafuegos), sistema de detección/prevención de intrusos (IDS / IPS), sistemas para filtrado web, protección antispam etc.
-
Sistema que crea y valida las credenciales correspondientes a la cuenta de la aplicación que utiliza la API de integración, enviadas por las aplicaciones de terceros.Cytomic Orion delega en el servidor IdP (Cytomic Identity Provider) las tareas de validación de las credenciales.
-
Servidor con el que la aplicación que utiliza la API de integración interactúa cuando solicita acceso a un recurso protegido. Cytomic Orion delega en el servidor CAS (Cytomic Authorization Server) esta tarea.
-
Herramientas que combinan la gestión de la información y de los eventos de seguridad generados en la infraestructura IT del cliente, proporcionando un análisis en tiempo real de las alertas de seguridad generadas por las aplicaciones y el hardware de red.
-
Departamento dentro de las organizaciones que previene, monitoriza y controla la seguridad en la infraestructura IT de la empresa.
-
Programa que, tras un análisis de su comportamiento realizado en el equipo del usuario por el software de protección instalado, tiene una alta probabilidad de ser considerado malware.
-
Lenguaje de programación estándar e interactivo para obtener información de una base de datos, así como para actualizarla. Aunque SQL es a la vez un ANSI y una norma ISO, muchos productos de bases de datos soportan SQL con extensiones propietarias al lenguaje estándar. Las consultas toman la forma de un lenguaje de comandos que permite seleccionar, insertar, actualizar y averiguar la ubicación de los datos, entre otras operaciones.
-
Información recuperada de los equipos de usuario y servidores que se envía a la infraestructura de alojada en la nube para conformar el océano de datos. La telemetría es el resultado del enriquecimiento de la información que proviene de la monitorización de los procesos ejecutados con los datos suministrada por la solución de protección avanzada instalada en el equipo.
-
Analista especializado en la investigación de indicios dentro de la actividad de la infraestructura IT de las empresas, que pueden derivar en el descubrimiento de ataques informáticos que operan sin ser detectados por las soluciones de seguridad tradicionales instaladas en los equipos.
-
Conjunto de tecnologías y recursos humanos especializados que permiten detectar los movimientos laterales y otros indicadores tempranos de las amenazas, antes de que ejecuten acciones nocivas para la empresa.
-
Herramientas que garantizan la correcta gestión de los indicios, permitiendo crear, asignar y seguir los casos hasta su cierre, así como la recogida de KPIs que muestren el grado de cumplimiento del servicio de seguridad del SOC.
-
Tiempo que una amenaza ha permanecido sin ser detectada en un equipo de la red.
-
Es la cadena de caracteres utilizada por la aplicación de terceros para acceder al recurso protegido (la API) de Cytomic Orion. El token de acceso describe el ámbito de acceso, la duración y otra información relevante. Los tokens son opacos para la aplicación cliente, son emitidos por el servidor CAS y solo tienen significado para éste.
-
Cuando una aplicación que usa el API de integración accede al recurso protegido por primera vez Cytomic Orion le entrega un token de acceso y un token de refresco. Cuando el token de acceso caduca, la aplicación solicita uno nuevo mediante el token de refresco sin necesidad de volver a iniciar el proceso de autenticación y autorización.
-
Conjunto de comprobaciones desarrolladas por los técnicos de nivel 1 del MPPS / MDR / SOC para filtrar los indicios generados por Cytomic Orion y así entregar al nivel 2 unicamente aquellos casos con mayor probabilidad de pertenecer a un ataque informático real. El triaje de indicios elimina los falsos positivos, descongestionando el nivel 2 del SOC.
-
Una TTP describe el enfoque utilizado por un ataque informático para analizar sus operaciones y para perfilar el origen de la amenaza.
La Táctica describe la forma en que un adversario elige llevar a cabo su ataque desde el comienzo hasta el final. La Técnica describe el enfoque tecnológico para lograr resultados intermedios durante el ataque. Los procedimientos definen el enfoque organizativo del ataque.
Conocer las tácticas de un adversario ayuda a predecir los próximos ataques y detectarlos en las etapas iniciales. La comprensión de las técnicas utilizadas durante el ataque permite identificar los puntos ciegos de la organización e implementar contramedidas de antemano. Finalmente, el análisis de los procedimientos utilizados por el adversario puede ayudar a comprender lo que el adversario está buscando dentro de la infraestructura del objetivo.
-
Recurso formado por un conjunto de información que Cytomic Orion utiliza para regular el acceso de los administradores a la consola web y establecer las acciones que éstos podrán realizar sobre los equipos de la red.
-
Trabajadores de la empresa que utilizan equipos informáticos para desarrollar su trabajo.
-
Dispositivos de red con múltiples funciones relativas a la seguridad, entre las que se encuentran antivirus de red, firewall (cortafuegos), sistema de detección/prevención de intrusos (IDS / IPS), sistemas para filtrado web, protección antispam etc. Los dispositivos UTM están diseñados para proteger redes completas de equipos de usuario o servidores, así como pueden integrar otros servicios relacionados con la seguridad, tales como puntos finales de redes privadas, servicio de proxy etc.
-
Solución de virtualización de escritorio que consiste en alojar máquinas virtuales en un centro de datos al cual los usuarios acceden desde un terminal remoto con el objetivo de centralizar y simplificar la gestión y reducir los costes de mantenimiento. Se distinguen dos grupos de entornos VDI:
Persistente: el espacio de almacenamiento asignado a cada usuario se respeta entre reinicios, incluyendo el software instalado, datos y actualizaciones del sistema operativo.
No persistente: el espacio de almacenamiento asignado a cada usuario se elimina cuando la instancia VDI se reinicia, restaurándose a su estado inicial y deshaciendo todos los cambios efectuados.
-
Puerta de entrada o procedimiento utilizado por el malware para infectar el equipo del usuario. Los vectores de infección más conocidos son la navegación web, el correo electrónico y los pendrives.
-
Tiempo que transcurre desde que el primer equipo fue infectado a nivel mundial por una muestra de malware de reciente aparición hasta su estudio e incorporación a los ficheros de firmas de los antivirus para proteger a los equipos de su infección. Durante este periodo de tiempo el malware puede infectar equipos sin que los antivirus tradicionales sean conscientes de su existencia, y queda en manos de las protecciones avanzadas y threat hunters su detección y contención.
-
Panel formado por un gráfico configurable que representa un aspecto concreto de la seguridad de la red del cliente. El conjunto de widgets forma el dashboard o panel de control de Cytomic Orion.