¿QUÉ ES DETECCIÓN Y RESPUESTA EN ENDPOINTS?
En 2015, Gartner definió una nueva categoría competitiva y la nombró “Detección y Respuesta en Endpoints”. Definieron a esta categoría de soluciones de la siguiente forma:
“El mercado de Detección y Respuesta en Endpoints es un mercado emergente entre las tecnologías de seguridad, creado para satisfacer la necesidad de una detección y respuesta continua ante las amenazas avanzadas, principalmente con el objetivo de aumentar significativamente las capacidades de monitoreo de seguridad, detección de amenazas y respuesta a incidentes.”
Cabe mencionar que Guidance Software ha figurado como el más fuerte competidor de esta categoría en el reporte inicial de Gartner.
Volviendo al tema, para poder responder a un incidente, una organización necesita saber si un incidente está en progreso actualmente o si ocurrió anteriormente. Existen dos formas de hacer esto:
1) Buscando archivos que cumplan criterios coincidentes con archivos maliciosos
2) Buscando artefactos de la actividad de usuarios o de conexiones remotas que podrían indicar acceso o actividad no autorizada por parte de usuarios o la presencia de archivos maliciosos.
Si usted ha estado leyendo esta serie de artículos, estas dos metodologías pueden resultarles familiares. Dicho esto, una vez un incidente es encontrado, la organización debe responder.
ENFOQUES TÍPICOS DE LA DETECCION Y RESPUESTA EN ENDPOINTS
Como esta es una visión general, cubriremos rápidamente algunos de los enfoques típicos de la parte de respuesta de la detección y respuesta en endpoints. Esto incluye:
Enfoque de la respuesta
|
Descripción
|
Ventajas/Desventajas
|
Alertas
|
Las
alertas normalmente son desencadenadas como resultado de una coincidencia
entre archivos, reciente entrada en el log, definición de una política o una
entrada que coincida con algún tipo de algoritmo generado por alguna
herramienta de seguridad o monitoreo de TI.
|
Ventajas:
• Monitoreo
continuo
• Casi en tiempo
real
• Puede ser integrado
en una sola consola
Desventajas:
• Requiere de la
organización para investigar o remediar los riesgos
• Cuanto más
políticas se monitorean, más alertas se generan
• El volumen de
alertas puede sobrecargar a los recursos
• Entradas de log
ambiguas
• Falsos
Positivos
• Falsos
Negativos
• Requisitos de
hardware para su soporte
|
Grabación
remota de la actividad de los usuarios
|
Grabado
de las actividades de los usuarios mediante capturas de pantalla o videos
|
Ventajas:
• Puede ver y
guardar las actividades de los usuarios (amenazas internas)
• Puede ser
automatizado o manual
Desventajas:
• No es una
verdadera remediación de los problemas
• Potenciales
problemas de escalabilidad conforme crezca el número de usuarios
|
Bloqueo
de archivos
|
Bloquear
la transmisión a través de la red de un archivo que cumpla ciertos criterios
de contenido o de destino
|
Ventajas:
• Reduce el
riesgo de pérdida de datos
Desventajas:
• Puede ser
difícil de configurar en organizaciones grandes
• Requisitos de
hardware potencialmente grandes
• Potenciales
problemas de conectividad en la red debido a que las políticas de bloqueo de
archivos usualmente son actualizadas a través de la red
|
Bloqueo
de procesos
|
Bloquear
la ejecución de algún proceso existente
|
Ventajas:
• La ejecución de
procesos desconocidos o maliciosos es bloqueada de alguna forma
• Puede ser
automatizado o manual
Desventajas:
• Limitado a
“remediar” procesos
• No es una
remediación real ya que el archivo aun reside en el sistema operativo y,
dependiendo del enfoque, el proceso aún puede estar al vivo en la memoria
|
Una revisión rápida de la tabla muestra como pocos enfoques típicos proveen a la organización con una verdadera capacidad de remediación. La responsabilidad de la validación, remediación y de una potencial investigación a nivel forense de las amenazas usualmente es retornada a la organización.
LA VENTAJA DE GUIDANCE SOFTWARE PARA LA RESPUESTA A INCIDENTES
Endpoint Security de Guidance Software ofrece ventajas significativas, tanto cuando funciona como una solución autosuficiente, como cuando es integrado para automatizar respuestas configurables junto otras herramientas de seguridad de TI de la organización. Mientras que muchas otras soluciones solo examinan entradas de log, EnCase Endpoint Security provee una visión a nivel forense de 360 grados y capacidades de remediación en todos sus endpoints.
EnCase Endpoint Security dispone de diversas opciones de respuesta para las organizaciones presentadas como el resultado de una auditoría y/o investigación independiente o como respuestas automatizadas a alertas. Algunos ejemplos incluyen lo siguiente:
Opciones de respuesta
|
Ejemplos de respuestas
|
Validación
Validación del resultado de auditorías, búsquedas
investigativas, detección de malware o alertas provenientes de otras
herramientas de seguridad de TI
|
Posibles ejemplos de respuestas incluyen:
•
Listado completo de procesos al vivo ejecutándose en un endpoint
•
Listado completo de conexiones remotas al endpoint, incluyendo el proceso y
la cuenta de usuario asociada a una conexión
•
Identificación de archivos o de procesos que no hacen parte de una
configuración autorizada
•
Artefactos de internet de un usuario en particular (incluyendo un listado
completo de las URL visitadas, cookies, descargas, etc.)
•
Visualización completa de las claves de registro de los endpoints
•
Recolección remota de la memoria de uno o más endpoints para mayor análisis
|
Remediación remota
Una verdadera remediación remota que opcionalmente
puede recolectar archivos. La remediación incluye:
•
Remoción a nivel forense del archivo en el sistema operativo, incluso si el
archivo está en uso
•
Remoción a nivel forense de un proceso asociado en la memoria, incluso si
está en uso
•
Capacidad configurable de preservar una copia forense del archivo que está
siendo remediado
|
Ejemplos incluyen lo siguiente:
•
Verdadera remediación remota de los EXE y DLL
•
Verdadera remediación remota de documentos
•
Verdadera remediación remota de emails
•
Verdadera remediación remota de cualquier tipo de archivo
•
Verdadera remediación remota de claves de registro
|
Diferentes tipos de alertas obviamente requieren diferentes tipos de respuestas automatizadas. Un punto clave de cómo los productos de Guidance Software pueden añadirle valor a sus inversiones actuales en seguridad o monitoreo de TI es que permite configurar las alertas para que generen un tipo específico de respuesta automatizada. Discutiremos esto a mayor detalle en futuros artículos.
Espero que haya podido notar que la ventaja de Guidance Software para la respuesta a incidentes realmente está en poder no solo detectar riesgos y amenazas en prácticamente cualquier lugar de la infraestructura de la organización sino también en proveer una respuesta accionable de forma remota desde un punto central dentro de la organización. Estas capacidades de visibilidad y respuesta son desarrolladas mientras la evidencia investigativa crítica es preservada caso sea requerida en el futuro por el departamento jurídico, RR.HH. u otros equipos.
Consideraría este nivel de visibilidad y remediación en endpoints como “exhaustivo”.
Finalizando, este artículo ha tratado de entregar una visión panorámica de la respuesta a incidentes y las ventajas accionables que los productos de Guidance Software pueden ofrecer a una organización. Nuestro siguiente artículo le ayudará a entender los componentes que los productos de Guidance Software usan para entregar resultados integrales y confiables en auditorías e investigaciones.
Pronto llegaremos a los temas más jugosos… agradezco su paciencia mientras navegamos lo básico.
Tony Grey
Guidance Software
América Latina
Para obtener mayor información sobre los productos de Guidance Software, contacte nuestros revendedores locales o escríbanos a sales-latam@guidancesoftware.com.
TEMAS RELACIONADOS
Guidance Software 101: Conceptos Fundamentales
Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español
Guidance Software 101: Las Bases – Visibilidad a Nivel Forense de 360 Grados en los Endpoints (#4)
Dé un "Me Gusta" a Nuestra Página en Facebook
No hay comentarios :
Publicar un comentario