Managed Detection and Response (MDR)

Nuestros investigadores, a partir de las lecciones aprendidas durante diversas investigaciones de incidentes reales así como de la adquirida a través de ejercicios de red team, plantean escenarios de hipotesis de ataque que nos permiten desarrollar técnicas de hunting. Nuestra aproximación nos abstrae de las dificultades habituales del dia a dia de un servicio de monitorización tradicional (heterogeneidad de fuentes, normalización de grandes volumenes de ingesta, puntos ciegos, alertas, falsos positivos), poniendo foco en la detección de técnicas y comportamientos de los "threat actors".

CAPACIDADES

DECEPTION

Diseñamos campañas de “engaño” en puntos clave de su infraestructura, que permitan distraer e identificar a los atacantes.

TELEMETRÍA

Recogemos telemetría de calidad desde endpoints y servidores con el objetivos de analizar patrones de hipótesis sobre la base instalada.

COMPORTAMIENTO

Analizamos el comportamiento de las distintas entidades de su organización (usuario, redes, sistemas…) es busca de patrones anómalos que puedan suponer un riesgo.

HUNTERS & INCIDENT HANDLERS

Contamos con expertos de reconocido prestigio en el sector enfocados a generar valor a través del planteamiento de hipótesis y labores de investigación y respuesta.

BENEFICIOS

Alerta proactiva

"Ponemos foco en minimizar el impacto de los incidentes de seguridad a través de la reducción del tiempo de detección y la optimización de los modelos de respuesta"

  • Reducimos significativamente el MTTD (mean time to detect) y el MTTR (Mean time to recover).
  • Alertamos de situaciones de crisis de manera temprana.
  • Optimizamos la estrategia de seguridad y los modelos de detección.
  • Simplificamos el modelo tecnológico, proporcionando modelos de SET UP ágiles.
  • Reducimos el coste de un programa de threat hunting a través de un servicio extremo a extremo.

SERVICIO 24/7

EVALUCION INICIAL Y REGLAS DE CONTEXTO

Realizamos un análisis del escenario de riesgo de nuestro cliente, interiorizando el entorno tecnológico y de negocio. Establecemos prioridades y escenarios de crisis, identificando aquellos activos críticos que nos permiten desarrollar reglas de hunting basadas en el contexto de nuestro cliente. Así, nuestro reporte inicial aporta a su vez una base solida para desarrollar una estrategia efectiva de respuesta.

NOTIFICACIONES EN TIEMPO REAL

Notificamos en tiempo real la detección de una actividad sospechosa que, además, desencadena una investigación en profundidad con el objetivo de identificar si dicha actividad forma parte de una intrusión o ataque dirigido. En caso de confirmarse, nuestro equipo prepara una notificación especifica de la operación maliciosa.

REPORTING Y MEJORA CONTINUA

Mensualmente reportamos la evolución del servicio y su relación en términos de madurez adquirida. Así mismo, trimestralmente hacemos un seguimiento especifico enfocado a planificar y desarrollar recomendaciones que optimicen la madurez de los controles de detección y respuesta.

SEGUIMIENTO Y ASISTENCIA AL INCIDENTE

Nuestros expertos proporcionarán asesoramiento y asistencia en caso de incidente o actividad sospechosa. Ofrecemos contacto directo 24/7 con nuestros hunters e incident handlers.

THREAT DETECTION VS REAL THREAT HUNTING

THREAT DETECTION Tradicional approach

THREAT DETECTION

Tradicional approach

Reactivo ( < dwell time)
La investigación parte de una alerta o evento de seguridad (SIEM, WAF, AV…).

Tecnología de detección ( < visibilidad)
Tecnologías basadas en eventos SIEM, IDS, FWs, Proxy entre otras.

Ataques conocidos
Detección basada en firmas e IOCs.

Puesta en marcha compleja
Despliegue de tecnología, definición de casos de uso, heterogeneidad de las fuentes, puntos ciegos, fallos de configuración, alertas y falsos positivos.

THREAT HUNTING Blackarrow approach

THREAT HUNTING

BlackArrow approach

Proactivo
Asumimos que no se producirán eventos de seguridad. La investigación parte de hipótesis de técnicas ataque.

Telemetría, comportamiento y engaño
Análisis de la telemetría en busca de comportamientos anómalos y campañas de engaño.

Ataques dirigidos y desconocidos
Detección basada en TTPs, inteligencia, pistas e hipótesis.

Puesta en marcha ágil
Solo necesitamos telemetría de calidad para detectar.