Mayumi Kuttler - Dixon Styres I Seguridad de endpoints y nube
Innumerables titulares informan lo que ya sabemos demasiado bien: no importa cuán avanzadas sean las herramientas de prevención de ciberseguridad, con suficiente motivación, tiempo y recursos, los adversarios eventualmente idearán una manera de superar las defensas. Para mantenerse a la vanguardia de estas amenazas, las organizaciones deben adoptar una sólida estrategia de protección de endpoints. Los elementos centrales de una estrategia de protección de endpoints deben integrar tanto el antivirus de próxima generación (NGAV) para la prevención como la detección y respuesta de endpoints (EDR) para la detección de amenazas. Esto, junto con la gestión de servicios de TI (ITSM) para mejorar la productividad de TI y la orquestación, automatización y respuesta de seguridad (SOAR) para la gestión de vulnerabilidades, es necesaria para impulsar la postura de seguridad de cualquier organización.
NGAV utiliza una combinación de inteligencia artificial (IA), detección de comportamiento, algoritmos de aprendizaje automático y mitigación de exploits para anticipar e inmediatamente prevenir amenazas conocidas y desconocidas. Las soluciones NGAV pueden estar basadas en la nube e implementarse en horas, lo que reduce la carga de mantener el software, administrar la infraestructura y actualizar las bases de datos de firmas.
EDR registra las actividades y eventos que tienen lugar en los puntos finales y todas las cargas de trabajo, lo que brinda a los equipos de seguridad la visibilidad que necesitan para descubrir incidentes que de otro modo permanecerían invisibles. Una solución EDR debe proporcionar una visibilidad continua y completa de lo que sucede en los endpoints en tiempo real. Las soluciones EDR deben ofrecer capacidades avanzadas de detección, investigación y respuesta de amenazas, incluida la búsqueda de datos de incidentes y la clasificación de alertas de investigación, la validación de actividades sospechosas, la búsqueda de amenazas y la detección y contención de actividades maliciosas.
¿Cuál es la diferencia entre NGAV y EDR, y por qué necesito ambos?
El antivirus es el componente de prevención de la seguridad de los puntos finales , cuyo objetivo es evitar que las amenazas cibernéticas ingresen a una red. Cuando las amenazas pasan por alto un antivirus, EDR detecta esa actividad y permite a los equipos contener al adversario antes de que puedan moverse lateralmente en la red.
Si bien las soluciones antivirus tradicionales pueden prevenir el ransomware conocido, fallan al detectar amenazas de malware desconocidas. La plataforma CrowdStrike Falcon® proporciona NGAV contra malware conocido y desconocido mediante el aprendizaje automático impulsado por IA. En lugar de utilizar firmas en un esfuerzo por detectar iteraciones de malware conocidas, Falcon busca indicadores de ataque (IOA) para detener el ransomware antes de que pueda ejecutarse e infligir daños.
CrowdStrike Falcon Insight ™ EDR actúa como una cámara de vigilancia en todos los puntos finales, capturando eventos enriquecidos para la detección automática de actividades maliciosas no identificadas por los métodos de prevención y proporcionando visibilidad para la búsqueda de amenazas proactiva . Falcon Insight aprovecha el poder del aprendizaje automático y el análisis del comportamiento para analizar y buscar los datos de ataques de colaboración colectiva para ayudar a descubrir nuevas tácticas, técnicas y procedimientos (TTP) asociados con los atacantes y descubrir nuevos IOC y IOA, lo que en última instancia ayuda a detener la evolución de amenazas previamente desconocidas. antes de que puedan convertirse en una infracción y causar estragos en el entorno de la organización.
Por qué la colaboración de TI / SecOps es fundamental para remediar las amenazas
Los adversarios se mueven a la velocidad de la máquina y, para mantenerse a la vanguardia, los equipos de seguridad y de TI deben aprovechar las herramientas que pueden automatizar el proceso utilizando el poder de la nube para que puedan colaborar de manera rápida y eficaz en la respuesta a incidentes y vulnerabilidades.
Los desafíos que enfrentan los equipos de seguridad incluyen:
No hay suficientes recursos, y los equipos ya están sobrecargados al examinar grandes cantidades de datos sin contexto.
Procesos manuales y lentos que pueden ser propensos a errores al administrar y rastrear amenazas
Datos aislados y equipos y productos de seguridad desconectados que pueden resultar en procesos engorrosos y traspasos manuales durante la investigación, respuesta y reparación.
Todo esto puede dificultar la priorización y la respuesta a incidentes, lo que ralentiza los tiempos de respuesta y puede generar consecuencias muy negativas. Para una colaboración y una reparación más rápida, los equipos de seguridad y TI necesitan herramientas que automaticen los procesos y trabajen con otras integraciones para proporcionar visibilidad en tiempo real de los incidentes y el contexto.
Fuente: https://www.crowdstrike.com/blog/importance-of-an-integrated-endpoint-and-workload-protection/
Comments