En 2021, el promedio de tiempo de permanencia global (la cantidad de días que un atacante permanece en un sistema víctima antes de ser detectado) fue de 21 días. Si bien los equipos de seguridad han avanzado mucho en la reducción del tiempo de permanencia, hay aún posibilidades de mejora.

Un aspecto clave de cualquier programa de operaciones de seguridad eficaz es la inteligencia sobre amenazas procesable, actual y relevante. La inteligencia sobre amenazas puede ayudar a las organizaciones a anticiparse a ellas y, en última instancia, a reducir el tiempo de permanencia. Sin embargo, puede resultar difícil de implementar adecuadamente debido a la enorme variedad de tácticas de los adversarios, a una superficie de ataque en constante expansión y a la creciente escasez de talentos en ciberseguridad.

Ahí es donde entra Mandiant Breach Analytics para Chronicle de Google Cloud. Breach Analytics permite a los clientes de Chronicle reducir el tiempo de permanencia de los atacantes con una automatización avanzada.

La oferta está diseñada para informar a los clientes sobre la presencia de indicadores de compromiso (Indicators of Compromise, IOC). Estos IOC son identificados por los consultores de Mandiant que investigan las vulneraciones más recientes en todo el mundo. La automatización y los modelos basados en el aprendizaje automático organizan y priorizan los IOC con menos esfuerzo y costos. En definitiva, la oferta ayuda a las organizaciones a responder a la pregunta crítica: ¿Estamos propensos a sufrir una vulneración?

Breach Analytics con la tecnología de Mandiant

Para ayudar a las organizaciones — independientemente del tamaño, el sector, la zona geográfica o los controles de seguridad implementados en la nube, en las instalaciones o en un modelo híbrido— a detectar una posible vulneración con mayor rapidez, hemos desarrollado una canalización proactiva de la información y la experiencia de primera línea de Mandiant como una extensión virtual de un equipo de seguridad, todo ello sin necesidad de una gran ingeniería de seguridad. Ahora, gracias a los análisis avanzados, los equipos de seguridad pueden saber lo que sabemos, cuando lo sabemos.

La presencia global de los servicios de Mandiant y el gran equipo de analistas e investigadores de seguridad internos hacen la diferencia. Gracias a la tecnología Intel Grid™ de Mandiant, Breach Analytics toma los últimos IOC de los compromisos de las respuestas ante incidentes de Mandiant, los conocimientos de nuestros analistas de inteligencia sobre amenazas líderes en la industria y lo que estamos viendo en la primera línea con los clientes de Managed Defense, y los compara continuamente con sus datos de ciberseguridad.

Breach Analytics no solo coteja las tácticas y técnicas públicas conocidas de los actores con perfiles específicos, sino también las tácticas que pueden ser inéditas, pero que se identifican y califican en los compromisos activos de Mandiant en cuanto a respuesta ante incidentes, en los que Mandiant figura como líder en la reciente Forrester Wave™. Esto garantiza que los clientes dispongan siempre de la información más actualizada procedente de investigaciones de vulneraciones reales y activas realizadas en todo el mundo.

Pero esto no termina ahí. A medida que los actores y los adversarios evolucionan con sus ataques y técnicas, los sistemas que antes se consideraban “seguros” pueden presentar nuevas amenazas. Breach Analytics analiza continuamente los datos históricos, lo que permite a los equipos de seguridad descubrir compromisos pasados, o datos anteriores que se han visto comprometidos, utilizando IOC más recientes. Gracias a la retención de 12 meses de Chronicle de Google Cloud para todos los ingresos, incluidas las fuentes de datos de gran volumen, los usuarios pueden ahora realizar búsquedas retroactivas para identificar el primer punto de vulneración de forma rentable.

El funcionamiento interno

En la Figura 1, vemos cómo Breach Analytics encontró 34 coincidencias o “hallazgos” y rápidamente los redujo a solo tres que eran una “vulneración activa”. Sin Breach Analytics, el analista habría tardado más de 11 horas en realizar el triaje y el análisis (suponiendo unos 20 minutos por “hallazgo”).

Con Breach Analytics, un analista de seguridad puede elegir un evento de “alta prioridad” en el cual centrarse y comprobar su “IC-Score”, la puntuación de confianza basada en expertos de Mandiant para millones de indicadores oficialmente conocidos, además de los últimos datos no publicados sobre vulnerabilidades. El indicador de “prevalencia” ayuda a comprender el impacto inmediato en clientes de zonas geográficas o industrias similares que Mandiant ya ha identificado. Por último, la visibilidad de las vulnerabilidades identificadas en las investigaciones actuales de Mandiant dentro de “Vulneraciones activas” es esencial para comprender rápidamente el riesgo en cuestión.

Para obtener información más detallada sobre los aspectos específicos de un compromiso y el origen del ataque, Threat Intelligence de Mandiant Advantage está a un clic de distancia. La imagen 2 muestra un ejemplo de un analista que se enfoca en las amenazas conocidas, como “UNC215”, que se originan en China con una motivación de “espionaje” y se dirigen a industrias específicas en regiones específicas, todo ello indicado en esta vista.

Cómo empezar

Mandiant Breach Analytics para Chronicle de Google Cloud ayuda a los profesionales de la seguridad a encontrar, comprender, unificar y simplificar la actividad de los actores de amenazas dentro de sus sistemas. Identifica y coteja los IOC, y luego aplica una sofisticada ciencia de datos y datos contextuales para determinar la relevancia y la prioridad. Recopila los eventos de seguridad de múltiples sistemas informáticos y los convierte en información útil y procesable, todo ello mientras ahorra tiempo, esfuerzo y costos. Breach Analytics ayuda a las organizaciones a decidir sobre la realización de investigaciones más profundas con el objetivo de tomar una decisión de defensa o no defensa para mitigar el riesgo de un impacto en las operaciones de un negocio o la reputación causada por una vulneración activa.

Para saber lo que sabemos cuando lo sabemos, solicite hoy mismo una demostración gratuita de Breach Analytics. Una vez implementado, Mandiant Breach Analytics para Chronicle de Google Cloud está disponible para las organizaciones que utilizan las operaciones de seguridad de Chronicle. Breach Analytics no requiere la instalación de un servidor y es fácil de implementar. Recopila los eventos de registro de los sistemas que se utilizan actualmente y no supone cambios en los entornos de trabajo ni en las configuraciones.

¿Necesita ayuda adicional para investigar y clasificar las alertas a escala? Investigación y priorización de alertas, los modelos de ciencia de datos permiten investigaciones más profundas, disminuyen los falsos positivos y reducen el cansancio de los analistas en el triaje, para que puedan centrarse en los eventos más importantes y tomar decisiones informativas de defender o no defender.

La mayoría de las empresas, independientemente de su tamaño, sufrirán un ciberataque. Mandiant Breach Analytics para Chronicle de Google Cloud permite a las organizaciones encontrar indicios de ataques en el momento en que se producen y reducir el tiempo de permanencia, por lo que pueden minimizar el impacto de una vulneración con la ventaja de un conocimiento temprano.

Obtenga más información sobre Mandiant Breach Analytics para Chronicle de Google Cloud o, mejor aún, inscríbase para recibir una demostración de Breach Analytics. Para obtener más información sobre las operaciones de seguridad de Chronicle, visite chronicle.security.