man-looking-at-laptop-screen-wearing glasses

Presentamos Threat Interaction Map: Vea el recorrido completo de un ataque en todo su entorno de trabajo agéntico

Share with your network!

Principales conclusiones

  • Incluido en Proofpoint Collaboration Security Prime, el Threat Interaction Map reúne la detección, la respuesta y la visibilidad en un único panel.
  • Vea el recorrido completo de un ataque en todos los canales y etapas, no solo las alertas aisladas.
  • Acelere la respuesta y reduzca el tiempo de permanencia de las amenazas gracias a un contexto inmediato que le permite priorizar la investigación.

El problema invisible: cuando la protección ya no es suficiente
He aquí una verdad incómoda que quita el sueño a los responsables de ciberseguridad: puede implementar las mejores soluciones de protección en todos los frentes y, aun así, no tener la certeza de que su organización está realmente protegida.

¿Por qué? Porque los ataques más sofisticados de hoy ya no se limitan a un único dominio. Están diseñados para operar en múltiples canales y desarrollarse en varias etapas. Pueden comenzar con el compromiso de la cuenta de un proveedor, utilizada para lanzar una campaña de phishing; continuar con un movimiento lateral a través de Microsoft Teams para comprometer la cuenta de un empleado; establecer persistencia mediante la manipulación de la autenticación multifactor (MFA) y, finalmente, culminar con la filtración de datos a través de una aplicación cloud. Cada etapa puede detectarse con una herramienta distinta. Y cada una de esas herramientas genera una alerta independiente en una consola aislada de las demás.

El resultado es un peligroso punto ciego. Es posible que su infraestructura de seguridad esté bloqueando amenazas individuales. Sin embargo, sin una visibilidad completa del ciclo de vida del ataque, es imposible saber qué se está pasando por alto. La protección sin visibilidad es una protección en la que no se puede confiar.

Dicho de otro modo, carece de la visibilidad necesaria para responder a las preguntas que más importan:

 

  • ¿Está el mismo atacante dirigiéndose a varios empleados a través de distintos canales de comunicación?
  • ¿Ha conseguido el atacante cambiar de táctica tras la intrusión inicial?
  • ¿Qué relaciones de confianza (con proveedores, partners o incluso agentes de IA) están aprovechando los atacantes?
  • ¿Qué amenazas lograron bloquear nuestros controles automatizados? ¿Y qué requiere una intervención humana inmediata?
  • ¿Hasta dónde se propagó este ataque dentro de nuestro ecosistema de colaboración?

A medida que las organizaciones adoptan entornos de trabajo agénticos, donde asistentes de IA y agentes autónomos colaboran con las personas a través del correo electrónico, las plataformas de colaboración y los entornos en la nube, este desafío se hace aún mayor. La razón es sencilla: la superficie de ataque se amplía, las relaciones de confianza se multiplican y los ataques con éxito se propagan a velocidad de máquina. Al mismo tiempo, aumenta la capacidad de los atacantes para desplazarse lateralmente por todo su entorno.

Un nuevo enfoque: visibilidad unificada en toda la cadena de ataque

Para hacer frente a este desafío, presentamos el Threat Interaction Map. Integrado en el Threat Protection Workbench, que forma parte de Proofpoint Collaboration Security Prime, esta innovadora función transforma la manera en que los equipos de seguridad comprenden, investigan y responden a los ataques modernos multicanal y multietapa.

El Threat Interaction Map no solo detecta amenazas individuales. Proporciona el recorrido completo del ataque. Lo consigue correlacionando los eventos de seguridad en todo su ecosistema de colaboración:

  • Cuentas de correo electrónico o en la nube
  • Plataformas de colaboración
  • Relaciones con proveedores
  • Clics de usuario
  • Integraciones con herramientas de seguridad de terceros, como Microsoft Defender o CrowdStrike Falcon

Como resultado, los analistas y líderes de seguridad del centro de operaciones de seguridad (SOC) obtienen una cronología visual única e intuitiva, que reúne toda la información en un único lugar. Pueden ver:

El origen

¿Dónde se originó el ataque? ¿Una cuenta de proveedor comprometida? ¿Un dominio malicioso? ¿Un señuelo de phishing generado por IA? El Threat Interaction Map identifica el vector de ataque inicial e indica si se están aprovechando relaciones de confianza.

El recorrido

¿Qué hizo después el ciberdelincuente? Tras haber comprometido una cuenta, ¿creó reglas maliciosas para el buzón de correo electrónico? ¿Accedió a archivos sensibles en SharePoint? ¿Lanzó ataques secundarios a través de Teams? El mapa permite seguir en tiempo real los desplazamientos laterales a lo largo de los distintos canales.

 

La exposición

¿Qué usuarios, datos o sistemas se han visto afectados? El Threat Interaction Map establece la relación entre la vulnerabilidad inicial y el impacto potencial en las actividades, con el fin de ayudarle a evaluar su exposición real antes de que se produzcan daños.

La respuesta


¿Qué amenazas ha bloqueado ya Proofpoint, así como los controles de terceros integrados, como Microsoft Defender o CrowdStrike Falcon? ¿Qué sesiones maliciosas se han interrumpido, qué correos electrónicos se han corregido y qué amenazas se han bloqueado en los endpoints o en el momento de hacer clic? En concreto, ¿qué aspectos debe analizar más a fondo su equipo? El mapa establece una distinción clara entre las amenazas resueltas y los incidentes activos.
 

Figura 1

Figura 1. Ejemplo de investigación sobre un proveedor comprometido mediante el Threat Interaction Map.

Por qué el Threat Interaction Map lo cambia todo

A continuación incluimos algunas de las ventajas del Threat Interaction Map.

1: Gane confianza gracias a una claridad total

Cuando es capaz de visualizar el ciclo de vida completo de un ataque (desde la intrusión inicial hasta los intentos de expansión y la respuesta automatizada), consigue algo que no tiene precio: la confianza. Sabe que está protegido incluso frente a las amenazas más sofisticadas.
El Threat Interaction Map reúne las funciones de Proofpoint Collaboration Security Prime, de todos los canales y en todas las etapas, en una vista unificada. Ayuda a los analistas de su SOC a comprender la relación entre los incidentes. Además, les permite tener la certeza de que sus defensas funcionan según lo previsto a lo largo de toda la cadena de ataque.

2: Acelere la respuesta ante amenazas y reduzca el tiempo de permanencia

El tiempo es el enemigo en la respuesta moderna ante incidentes. Cuanto más tiempo permanezca un ciberdelincuente infiltrado en su entorno, mayores serán los daños.

El Threat Interaction Map reduce considerablemente la duración de las investigaciones, que pasa de varias horas a unos pocos minutos, al proporcionar un contexto instantáneo. Los analistas del SOC ya no tienen que pasar de una consola a otra para establecer manualmente correlaciones entre los incidentes o reconstruir la cronología de los hechos. Se puede ver de inmediato todo el desarrollo del ataque. De este modo, los analistas pueden tomar decisiones con mayor rapidez.

Impacto concreto: las organizaciones que utilizan Proofpoint Collaboration Security Prime señalan una mejora del 75 % en la eficacia de su personal en lo que respecta a las tareas de investigación y corrección.

"Antes tardábamos dos horas en responder a una alerta, pero ahora, gracias a la automatización, podemos hacerlo en unos segundos." — Cliente de Proofpoint Prime - Enterprise Edition

Al agilizar la detección y la respuesta, las organizaciones reducen considerablemente el tiempo que los ciberdelincuentes permanecen en el sistema. Esto limita el margen de maniobra de que dispone un ciberdelincuente para sustraer datos y desplazarse lateralmente, y le ayuda a evitar cualquier interrupción en tus actividades.

3: Aproveche la información contextual en tiempo real para establecer prioridades de forma inteligente

No todos los incidentes de seguridad tienen el mismo nivel de urgencia. El reto para los equipos del SOC, que se ven desbordados, consiste en distinguir de forma rápida y precisa los incidentes críticos del ruido.

El Threat Interaction Map ofrece un contexto inmediato que permite afrontar este reto. Cuando se activa una alerta, los analistas pueden ver inmediatamente:

  • Si se trata de un hecho aislado o forma parte de una campaña más amplia
  • Qué otros usuarios o sistemas se ven afectados
  • Qué controles automatizados han permitido ya contener la amenaza

Esta inteligencia contextual permite establecer las prioridades de forma inteligente. De este modo, su equipo puede centrarse en lo que realmente importa: las amenazas activas que requieren la intervención de una persona. De este modo, evita perder tiempo investigando falsos positivos o amenazas que ya se han quedado neutralizadas gracias a la automatización.

El futuro de las operaciones de seguridad
El Threat Interaction Map supone un punto de inflexión fundamental en la forma en que las empresas abordan las operaciones de seguridad. Va más allá de la detección aislada de amenazas para ofrecer una inteligencia de amenazas unificada, al relacionar los distintos eventos dentro de todo su ecosistema de colaboración.

El Threat Interaction Map es una función diseñada para el panorama actual de las amenazas.

Le ofrece las siguientes ventajas:

  • Visibilidad multicanal sobre los correos electrónicos y, a niveles superiores, sobre la mensajería, las herramientas de colaboración, las cuentas comprometidas y la actividad de los proveedores.
  • Una correlación en varias etapas que relaciona las señales de ataque y traza la evolución de las amenazas de principio a fin.
  • Un entorno centrado en los analistas que reduce la duración de las investigaciones al agrupar los eventos y las entidades relacionadas.
  • Una visión unificada de las amenazas que sustituye las alertas aisladas por una comprensión global de las campañas y de la exposición a los riesgos.
  • Un análisis de los resultados de las medidas correctivas, que muestre cómo las acciones (por ejemplo, la contención de los ataques ATO) han influido en la amenaza.

A medida que los ataques se vuelven cada vez más sofisticados y se amplía el entorno de trabajo agéntico, este nivel de visibilidad se vuelve esencial.

Pruebe el Threat Interaction Map

El Threat Interaction Map ya está disponible como parte de Proofpoint Collaboration Security Prime.

Las organizaciones que utilizan Proofpoint Prime disfrutan de acceso inmediato a esta función revolucionaria, así como a la protección más completa del sector contra los ataques multicanal y multifase.

Pruebe el Threat Interaction Map aquí o, si está dispuesto a confiar plenamente en sus defensas, programe una demostración hoy mismo.