Control de amenazas informáticas con Threat Response

Orquestación y flujo de trabajo a la perfección

Threat Response orquesta varias fases clave del proceso de respuesta a incidentes.  

Ingiere alertas de seguridad a partir de varias herramientas de seguridad. Recopila contexto, historiales de objetivo e inteligencia procedente de fuentes internas y externas. Recopila y analiza la información forense de los extremos.  

Con toda esa información, automatiza los flujos de trabajo y las acciones de respuesta. Compila listas y objetos para la aplicación de políticas y activa las acciones de cuarentena y confinamiento. Mida la eficacia de su respuesta a incidentes con informes generados automáticamente que detallan indicadores de desempeño clave en cada etapa.  

Toda la orquestación se realiza mediante una consola central integrada que se conecta a las fuentes de alertas de seguridad, así como a herramientas integradas de aplicación de políticas y cuarentena. El diseño integrado brinda vistas a simple vista del proceso de respuesta a incidentes para brindar visibilidad en tiempo real.   

La plataforma realiza toda la recopilación, las comparaciones y el análisis de forma automática. Eso significa mayor eficiencia, lo cual permite que los encargados de responder a los incidentes analicen rápidamente los detalles clave, tomen decisiones y entren en acción. Las acciones de cuarentena y confinamiento se realizan al nivel de automatización que usted elija. Puede establecer flujos de trabajo para activar automáticamente las actualizaciones de firewall en algunos casos, mientras que en otros se elaboran sencillas listas de bloqueo para el control de cambios.

Recopilación de información forense y verificación de IOC

No importa lo escurridizo que sea el malware, a menudo las infecciones dejan un rastro en los extremos. Dichos rastros se conocen como indicadores de compromiso (IOC). Threat Response confirma automáticamente las infecciones de malware con la verificación integrada de IOC. Esos IOC pueden incluir:  

• Procesos
• Exclusiones mutuas
• Cambios de sistemas de archivos
• Cambios de registro
• Historial de páginas web   

Si una alerta de seguridad informa que se ha atacado un sistema con malware, Threat Response implementa automáticamente un recopilador de extremos para extraer información forense del sistema en cuestión. Esos datos se comparan con una base de datos conocida como IOC para confirmar rápidamente si el sistema se ha infectado con IOC en relación con el ataque actual. Los equipos también pueden obtener visibilidad de los IOC de ataques anteriores que aún no se hayan limpiado. Esa verificación de infecciones integrada puede ahorrar horas de trabajo por cada incidente. Reduce drásticamente la cantidad de tiempo desperdiciado en falsos positivos que ocasionan ciclos inncecesarios de aplicación de imágenes, copias de seguridad y restauración. Los recopiladores de información forense de los extremos se implementan sobre demanda en los sistemas que se sospecha que están infectados, por lo que no es necesaria su preinstalación. El recopilador se ejecuta temporalmente en la memoria y se desinstala automáticamente una vez que termina.

Conocimiento de contextos y situaciones

Muchas alertas de amenazas de seguridad informática seguridad carecen de la información necesaria para determinar el contexto de una amenaza y los pasos a tomar. Threat Response enriquece automáticamente las alertas de seguridad al recopilar contexto, inteligencia y datos importantes, tanto internos como externos, así como los datos que crean una vista procesable de cada alerta. Equipados con ese conocimiento, los grupos de seguridad pueden comprender, asignar prioridades y responder a las amenazas a la seguridad con rapidez. Con Threat Response, los grupos de seguridad pueden contestar con prontitud preguntas como:  

• ¿Qué usuarios están siendo atacados?
• ¿Se han infectado antes los usuarios afectados?
• ¿Bajo qué departamento o grupo se encuentran los usuarios afectados?
• ¿Contiene alguno de los sistemas afectados indicadores de algún ataque que haya logrado su objetivo?
• ¿Se ha visto este ataque anteriormente en nuestro entorno o en alguna otra parte?
• ¿De dónde procede el ataque y dónde se encuentran los nodos de mando y control (C&C)?
• ¿Contiene el historial de explorador y conexión algo inusual, tales como visitas a sitios web sospechosos o conexiones abiertas con servidores C&C?

Cuarentena y confinamiento fáciles

Threat Response se integra con las herramientas actuales de su infraestructura de seguridad para bloquear amenazas informáticas verificadas, poner en cuarentena a los usuarios infectados y proteger a los demás usuarios al detener la propagación de la infección. Por ejemplo, Threat Response puede actualizar la pertenencia a grupos de Active Directory de los usuarios afectados para:  

• Restringir el acceso a sitios web de recursos compartidos de archivos 
• Controlar el acceso a VPN
• Actualizar los sistemas de control de acceso de red (NAC) y de control de aplicaciones

La capacidad para actualizar las listas de bloqueo en las herramientas de aplicación de políticas le protege al restringir el acceso a páginas web y a direcciones URL mediante filtros de web.  Usted puede permitir o denegar conexiones de red a sitios de abrevadero afectados y a dominios y hosts de criminales.

Los mensajes de correo electrónico con datos adjuntos malintencionados se pueden mover a un área segura en cualquier momento, aún después de que se hayan entregado. De ese modo se detiene el riesgo de que sus empleados vuelvan a hacer clic en los datos adjuntos.