Desde hace algún tiempo a nivel global se ha comenzado a escuchar el concepto de inteligencia artificial y ahora es muy habitual encontrar en muchos lugares noticias al respecto. Desde un automóvil autónomo que permite al piloto ir dormido hasta robots que tienen cada vez mayor independencia y son capaces de establecer una conversación con alguien, obteniendo así todo el conocimiento para su propio entrenamiento.

Estas técnicas ya están siendo aplicadas en la actualidad en muchos campos en el mundo, por ejemplo climatología, medicina y finanzas, dando mucho mejor rendimiento.

Pero, ¿qué llegaría a pasar si al usar estas nuevas tecnologías, alguien con fines maliciosos se apodera de ellas alterando su fin? 

Por ejemplo, un automóvil autónomo está programado para identificar el alto de un semáforo y es manipulado para que de forma indiscriminada no se detenga con la luz roja, el daño causado sería irreversible, y en el peor escenario, podría incluso ocasionar la muerte del usuario.

Desde el punto de vista de la ciberseguridad, defenderse de un ataque de inteligencia artificial no es tarea sencilla, porque no debemos olvidar que estos programas trabajan los 365 días del año sin descanso, aprendiendo de forma continua para cumplir su objetivo con el que fueron diseñados. Sin duda, son una nueva amenaza y cuentan con una gran peligrosidad en el mundo porque llegan a trabajar con mayor rapidez y efectividad que el propio ser humano.

Esto ya ocurre día a día y ahora es más que necesario utilizar estas técnicas de inteligencia artificial para proteger nuestros sistemas y así combatir fuego con fuego.

 

“Quien sabe resolver las dificultades las resuelve antes de que surjan. El que se destaca en derrotar a sus enemigos triunfa antes de que se materialicen sus amenazas”
-Sun Tzu

 

Actualmente, estar protegidos contra los ciberataques dejó de ser un lujo y se ha convertido en una necesidad apremiante tanto para los usuarios comunes como para las empresas.

Los sistemas encargados de monitorear estas actividades se encuentran en continua evolución, cambiando distintos factores para aumentar así su efectividad. Algunos de los modelos de trabajo de estas herramientas se basaron por mucho tiempo en alertas, pero esto, a pesar de ser un buen método de acción, ahora ha sido revaluado. Esto principalmente por la inmensa cantidad de falsos positivos que pueden llegar a presentar, los altos costos en personal capacitado y por ser un trabajo manual.

Las empresas hoy en día no solo necesitan una herramienta que emita informes de posibles alertas, requieren una herramienta de trabajo integral que les ayudará también a detectar y responder ante amenazas. 

 

¿Qué es el MDR?

Un MDR o servicio de detección y respuesta gestionadas, a diferencia de otros servicios de monitoreo, no espera a que ocurran los ciberataques; este se anticipará y considerará los diferentes criterios, como: visibilidad, capacidad de detección, fidelidad y respuesta, mezcladas con las herramientas claves, ya mencionadas, y así ayudará a aplicar la transformación digital para los procesos y organizaciones, que estarán protegidas las 24 horas del día de los 7 días de la semana.

 

¿Cómo funciona un MDR?

El MDR se basa en cuatro principios para defenderse frente a las amenazas:

  1. Prevención y preparación:

    En este se definen las fuentes de información que formarán parte de la base de conocimiento para la detección de incidentes.

  2. Detección:
    1. Los servicios de MDR se apoyan en herramientas y tecnologías para minimizar tiempos de detección, como: 

    • MITRE ATT&CK 
    • Machine Learning
    • EDR, XDR,NTA
    • Correlación de eventos
  3. Investigación

    Con la gestión del MDR se realiza la investigación de alertas e incidentes de seguridad para determinar con un análisis profundo la causa raíz, así como la línea cronológica del evento.

  4. Respuesta:

    Una vez analizado, se busca comprender para que en caso de próximas amenazas se pueda bloquear inmediatamente cualquier acción maliciosa. El MDR funciona como orquestador y en él podemos construir y desplegar playbooks, automatizaciones en herramientas y plataformas interconectadas, y con ello reducir el tiempo de detección y respuesta. 

Existen actualmente distintos servicios y englobar una sola como la mejor opción no es tarea sencilla, así que listamos 10 de los mejores servicios MDR:

 

Servicios

Características

Sistema operativo

Despliegue

Demo

A3Sec

Su objetivo es BLINDAR a su organización usando machine learning, permitiendo respuestas orquestadas y automatizadas, basadas en políticas preestablecidas.

Windows, Mac, Linux.

Basado en la nube y on-premise (IT, OT e IOT).

Disponible

cybereason-mdr

Capacidades de prevención, detección y respuesta.

Plataformas Windows, Mac, Linux, iOS y Android.

Nube, híbrido, local y con espacio aéreo.

Disponible

sentinel one-mdr

Evaluación y respuesta a amenazas 24/7.

Windows, Mac y Linux.

Basado en la nube y on-premise.

Disponible

MDR-Cynet

Protección contra violaciones

Windows, Mac, Linux.

SaaS, IaaS, on-premise e híbrido.

Disponible

 

A3Sec presenta una solución tecnológica para detectar y reaccionar usando analítica de datos a fin de encontrar indicadores de un posible ataque.

El objetivo es BLINDAR a su organización utilizando el machine learning, permitiendo respuestas orquestadas y automatizadas, basadas en políticas preestablecidas.

  • Analiza las acciones del usuario y genera respuesta en los endpoints.
  • Permite acceso a las máquinas para disminuir la exposición al riesgo, detectando eventos y respondiendo ante ellos de forma inmediata.
  • Agrega una capa de datos para analizar los movimientos de su organización, complementandose como una generación hiper evolucionada del antivirus.
  • Detecta brechas e incidentes de seguridad, reaccionando de forma inmediata.
  • Analiza los movimientos de los usuarios, convirtiéndolos en analíticos para reaccionar ante comportamientos anómalos. Es una solución respaldada por un equipo de data analítica, siempre listo para DETECTAR y REACCIONAR ante ataques. 
  • Siempre dispuestos a BLINDARLO a como dé lugar.

 

Muchas empresas creen que son demasiado pequeñas para causar interés a un ciberatacante. Pero ese es un gran error, pues hoy en día casi no existe una empresa que no cuente con algún servicio que esté publicado en Internet (Correo, FB, página web, etc.).

La realidad indica que es más probable que las pequeñas y medianas empresas sean víctimas de algún ataque debido a las protecciones limitadas, lo que las convierte en un mejor objetivo.

Para terminar, si la idea de este servicio de ciberseguridad para su empresa fue de su interés o ya está evaluando la posible implementación con algún proveedor, le sugiero: 

  • Buscar un proveedor que utilice una combinación de automatización, orquestación, análisis de datos (correlación de eventos) y threat intelligence.
  • Un proveedor que cuente  con SLA que cumplan con sus políticas o que los que le ofrezcan estén basados ​​en tiempo para detectar, controlar y remediar una amenaza.
  • Verificar la experiencia de los proveedores del servicio para responder a amenazas especialmente aquellas que afectan sus servicios.
  • Buscar un servicio donde el proveedor pueda darle soporte en tu idioma, esto es primordial para que el flujo de información fluya de manera rápida y se pueda comprender de manera correcta tu necesidad.

 

Por Milton Jaime Ortega Ibarra

Cybersecurity Engineer

>_

Otros Blogs

Isotipo A3Sec