Todos los MSSP se enfrentan a una cantidad aplastante de alertas diariamente, pero ¿cómo gestionan la afluencia los socios más exitosos?
El MSSP La industria ha visto un aumento significativo en los ataques a MSP y Socios de MSSP este año. Esto ha llevado a varios nuevos ataques en todo, desde herramientas RMM a las aplicaciones. Todos lidiamos con una abrumadora cantidad de alertas todos los días, entonces, ¿cómo manejan esto los socios más exitosos?
Comience con la cadena de muerte. El marco más popular hoy en día es el MITRA marco de ataque. Si puede ver sus alertas a través de esta lente, puede comenzar a reducir significativamente la carga de trabajo de sus equipos SOC. Comience con la etapa de reconocimiento. ¿Por qué empezar allí? Porque si puede cortar las conexiones antes de que los atacantes se establezcan, puede eliminar gran parte de la caza y la limpieza que su equipo está haciendo hoy.
Un gran ejemplo es Log4j. Esto ha sido una gran molestia durante el último mes más o menos. Muchos atacantes están aprovechando esto porque actualmente genera mucho ruido. En cierto modo, ha sido amplificado a través del crowdsourcing por parte de múltiples grupos de ataque: cuantos más atacantes lo usen, más alertas verá relacionadas con él.
Esos escaneos iniciales no entregan ninguna carga útil, pero crean una tonelada de trabajo para su SOC. Si puede conectar el escaneo a la comunicación con un activo en su red, puede limitar su respuesta a las amenazas reales para su cliente. Esta es un área donde el aprendizaje automático puede mejorar significativamente sus posibilidades de éxito.
Aprovechando el aprendizaje automático no supervisado, puede determinar si una máquina en particular se ha comunicado alguna vez con un host externo o si ha ejecutado una aplicación en particular como Log4j. Más importante aún, también puede detectar si los datos están siendo exfiltrados. Stellar Cyber ha desarrollado una plataforma que puede asignar esto a la MITRA framework de ataque para identificar rápidamente este comportamiento, organizarlo en la cadena de eliminación y recomendar una táctica de remediación. Armado con este contexto, puede adoptar un enfoque mucho más específico para responder y no necesitará comprar o implementar detecciones especiales de múltiples proveedores.
Además, si detecta una conexión a un host malicioso conocido, puede terminar la conexión automáticamente en el firewall y en el dispositivo. Con las reglas automatizadas de búsqueda de amenazas, puede elegir una detección, establecer la condición y la Plataforma cibernética estelar puede iniciar la respuesta a través de integraciones con su firewall y herramienta EDR. En última instancia, esto logra tres cosas muy importantes:
Reducir el tiempo de detección de eventos reales.
Desconecta el ruido.
Automatice la respuesta para reducir el riesgo.
Cuando tiene una plataforma completamente integrada que realiza estas tareas, es simple. Contáctanos y conoce más a fondo de Stellar Cyber.
¿Cansado de las estrategias reactivas? ¡Detenga proactivamente a los atacantes antes en la cadena de asesinatos!
Todos los MSSP se enfrentan a una cantidad aplastante de alertas diariamente, pero ¿cómo gestionan la afluencia los socios más exitosos?
El MSSP La industria ha visto un aumento significativo en los ataques a MSP y Socios de MSSP este año. Esto ha llevado a varios nuevos ataques en todo, desde herramientas RMM a las aplicaciones. Todos lidiamos con una abrumadora cantidad de alertas todos los días, entonces, ¿cómo manejan esto los socios más exitosos?
Comience con la cadena de muerte. El marco más popular hoy en día es el MITRA marco de ataque. Si puede ver sus alertas a través de esta lente, puede comenzar a reducir significativamente la carga de trabajo de sus equipos SOC. Comience con la etapa de reconocimiento. ¿Por qué empezar allí? Porque si puede cortar las conexiones antes de que los atacantes se establezcan, puede eliminar gran parte de la caza y la limpieza que su equipo está haciendo hoy.
Un gran ejemplo es Log4j. Esto ha sido una gran molestia durante el último mes más o menos. Muchos atacantes están aprovechando esto porque actualmente genera mucho ruido. En cierto modo, ha sido amplificado a través del crowdsourcing por parte de múltiples grupos de ataque: cuantos más atacantes lo usen, más alertas verá relacionadas con él.
Esos escaneos iniciales no entregan ninguna carga útil, pero crean una tonelada de trabajo para su SOC. Si puede conectar el escaneo a la comunicación con un activo en su red, puede limitar su respuesta a las amenazas reales para su cliente. Esta es un área donde el aprendizaje automático puede mejorar significativamente sus posibilidades de éxito.
Aprovechando el aprendizaje automático no supervisado, puede determinar si una máquina en particular se ha comunicado alguna vez con un host externo o si ha ejecutado una aplicación en particular como Log4j. Más importante aún, también puede detectar si los datos están siendo exfiltrados. Stellar Cyber ha desarrollado una plataforma que puede asignar esto a la MITRA framework de ataque para identificar rápidamente este comportamiento, organizarlo en la cadena de eliminación y recomendar una táctica de remediación. Armado con este contexto, puede adoptar un enfoque mucho más específico para responder y no necesitará comprar o implementar detecciones especiales de múltiples proveedores.
Además, si detecta una conexión a un host malicioso conocido, puede terminar la conexión automáticamente en el firewall y en el dispositivo. Con las reglas automatizadas de búsqueda de amenazas, puede elegir una detección, establecer la condición y la Plataforma cibernética estelar puede iniciar la respuesta a través de integraciones con su firewall y herramienta EDR. En última instancia, esto logra tres cosas muy importantes:
Cuando tiene una plataforma completamente integrada que realiza estas tareas, es simple. Contáctanos y conoce más a fondo de Stellar Cyber.
Categorías
Buscar