Los paquetes de productos que aparecen a continuación están dirigidos a empresas que tienen un número de empleados de 10 a 49, que podrán disfrutar de una subvención de 6.000€ para esta categoría e incluyendo un total de monitorización de 49 activos. La presentación del servicio será de 12 meses.

Sistema de Detección de Amenazas

Es importante contar con las herramientas necesarias para evitar que la amenaza persista en el sistema. Por eso el Threat Hunting es un componente esencial en toda estrategia de defensa, puesto que complementa los procesos estándar de detección, respuesta y resolución de incidencias.

• Investigación por hipótesis: Se realizan comprobaciones de nuevos patrones de comportamientos identificados gracias a la investigación continua sobre las últimas técnicas de los atacantes. Una vez que se ha identificado un nuevo vector, se comprueba si los existe ese comportamiento atacante en su entorno y se actualiza en el sistema de detección instalado.
• Investigación basada en indicadores de ataque: Se aprovecha la inteligencia de amenazas para catalogar los indicadores de riesgo o compromiso con nuevas amenazas asociadas. Estos sistemas serán el detonante que alertará para descubrir posibles ataques ocultos.
• Analítica avanzada: Se combina un potente análisis de datos y aprendizaje automático (Machine Learning) para analizar una enorme cantidad de información tanto a nivel interno, como cualquier fuga de información publicada en Internet, a fin de detectar y prevenir irregularidades que pueden provocar una potencial actividad maliciosa.

Sistema de Detección de Intrusiones

La idea mediante la implementación de este sistema es hacerle creer a un atacante que está apuntando a un sistema real, sin embargo, estará desplegando sus actividades maliciosas en un ambiente controlado por nosotros. No hay razón legítima para que los usuarios de una organización intenten realizar este tipo de pruebas, lo que hace que sea mucho más fácil detectar ataques, ya que prácticamente cualquier interacción con el equipo puede ser considerada maliciosa.

Proceso de Detección de Intrusiones

• Proceso de Interacción Alta, poseyendo servicios reales instalados, al igual que cualquier otro servidor en la organización.
• Se encuentra aislado del resto de la red mediante el uso de contenedores o dockers que impiden que un ataque exitoso tenga acceso a la red.
• Se adapta a los servicios que tenga levantados en su red, como SCADA, SSH, Telnet, DICOM, FTP, RDP, HTTP/S, postgreSQL, MSSQL, POP3, SMTP, SMB, entre otros.
• Se obtiene información sumamente detallada que permite identificar el equipo del que proviene la amenaza y tomar las medidas de acción lo antes posible.

Monitorización y Alerta

El objetivo de este servicio es poder alertar ante un patrón anómalo de comportamiento.

Con los logs en bruto, la solución de Detección de Amenazas genera eventos que se dispararán a partir de los sistemas de detección de intrusiones instalados, y las condiciones o umbrales de disparo que se establezcan a partir del conocimiento del negocio y del equipo de explotación y llegan al SOC.

A partir de aquí, mediante su configuración y puesta en marcha, estos sistemas (normalmente soluciones cloud + appliances para los casos de logs más complejos), comienzan a ingestar datos / logs de manera masiva y a almacenarlos en su BBDD. Todos estos logs se guardan en su formato original. Siempre sin modificar por si son necesarios para una investigación.

Cuando una alerta supera un umbral de importancia, o periódicamente sobre las menos importantes, el equipo de operación realiza un triaje de cada una de ellas con la intención de:

• Reducir falsos positivos,
• Valorar si es requerida una acción determinada en base a la situación.