Quiero Nube

Microsoft 365 Defender protección líder MITRE Engenuity ATT&CK de 2022

Posted by on | Featured | No Comments

Microsoft 365 Defender demuestra una protección líder en la industria en las evaluaciones MITRE Engenuity ATT&CK® de 2022Individual at work behind two computer screens.

Por cuarto año consecutivo, Microsoft 365 Defender demostró su protección líder en la industria en las evaluaciones empresariales independientes de ATT&CK® de MITRE Engenuity, mostrando el valor de una defensa integrada basada en XDR que unifica la protección de dispositivos e identidad con un enfoque Zero Trust:

  • Visibilidad y análisis completos de todas las etapas de la cadena de ataque 100% de protección, bloqueando todas las etapas en los primeros pasos
  • Cada ataque generó un solo incidente integral para el SOC
  • Capacidades XDR diferenciadas con protección de identidad integrada
  • Protección para Linux en todas las etapas de ataque
  • Sensores de dispositivos Windows profundos e integrados
  • Liderar con la verdad del producto y un enfoque centrado en el cliente
  • La solución Microsoft 365 Defender XDR mostró una cobertura de primera clase al mostrar con éxito al centro de operaciones de seguridad (SOC) un único incidente integral por cada uno de los ataques simulados.
  • Esta vista integral proporcionada en cada incidente detalló las actividades sospechosas de identidad y dispositivos junto con una cobertura sin igual de las técnicas del adversario en toda la cadena de ataque.

Microsoft 365 Defender también demostró una protección del 100 % al bloquear ambos ataques en las primeras etapas. Este es el tercer año en el que Microsoft 365 Defender muestra el poder de la suite XDR combinada, demostrando la cobertura entre dispositivos, identidades y aplicaciones en la nube.

Visibilidad y análisis completos demostrados en todas las etapas de la cadena de ataque

Microsoft 365 Defender demostró una cobertura completa a nivel técnico en todas las etapas de ataque de Wizard Spider y Sandworm, aprovechando nuestra protección adaptativa impulsada por inteligencia artificial.

La defensa contra el ransomware operado por humanos requiere un enfoque de defensa en profundidad que evalúe continuamente el riesgo del dispositivo, el usuario, la red y la organización y luego aproveche estas señales para alertar sobre posibles amenazas en toda la cadena de ataque. Proporcionar detección y visibilidad permite a los defensores expulsar a los atacantes de la red durante la fase previa al rescate. También minimiza el impacto del cifrado o la extorsión a través de actividades de exfiltración de datos.

Cobertura de detección a nivel de técnica en tiempo real sin demoras

Los ataques de ransomware operados por humanos evolucionan en cuestión de minutos, y el tiempo que tardan los defensores en responder y evitar que los atacantes realicen acciones destructivas, como cifrar dispositivos o filtrar información para la extorsión, es crucial. Las organizaciones necesitan detecciones en tiempo real sin demoras para garantizar que puedan expulsar rápidamente a los atacantes antes de que tengan la oportunidad de continuar moviéndose lateralmente a través de la infraestructura. Microsoft 365 Defender proporcionó cobertura de nivel técnico en cada etapa de ataque en tiempo real sin detecciones retrasadas.

Cobertura de protección del 100%, bloqueando todas las etapas en los primeros pasos

Microsoft 365 Defender proporcionó una cobertura superior y bloqueó el 100 % de las etapas de ataque, ofreciendo una excelente cobertura en las plataformas Windows y Linux. Además, sus capacidades de protección de próxima generación procedieron sin obstaculizar la productividad mediante el bloqueo de actividades benignas o la necesidad del consentimiento del usuario.

En escenarios del mundo real, el bloqueo temprano de las actividades de ransomware, es decir, en la etapa previa al rescate en todas las plataformas y activos, es crucial para proteger a los clientes y mitigar el impacto de los ataques de interrupción y extorsión aguas abajo.

Cada ataque generó un solo incidente integral para el SOC

A diferencia de muchos otros proveedores que muestran múltiples alertas e incidentes, Microsoft 365 Defender mostró exactamente un incidente por ataque, combinando todos los eventos en el dispositivo y la identidad en una sola vista completa de cada ataque.

La exclusiva tecnología de correlación de incidentes de Microsoft 365 Defender es tremendamente valiosa para los analistas de SOC a la hora de lidiar con la fatiga de las alertas. Mejora significativamente la eficiencia en la respuesta a las amenazas, ahorrando tiempo que de otro modo podrían haber invertido en correlaciones manuales o en el manejo de alertas individuales. También hace que la clasificación y la investigación sean más fáciles y rápidas con una vista del gráfico de ataque completo.

Detecciones únicas y duraderas de Microsoft Defender for Identity integrado

Las capacidades integradas de protección de identidad de Microsoft 365 Defender descubren y bloquean de forma duradera los ataques relacionados con la identidad, independientemente de la técnica específica del atacante implementada en un dispositivo, lo que hace que sea prácticamente imposible que los atacantes puedan evadirlos. Además, construir estas protecciones en el tejido de identidad proporciona señales detalladas y ricas en contexto para que los equipos de seguridad investiguen y respondan de manera efectiva. Otros proveedores que aprovechan las señales solo de punto final pueden ser más susceptibles a la evasión, y sus detecciones suelen tener menos contexto.

Estos son algunos ejemplos que representan las capacidades únicas de protección de identidad de Microsoft 365 Defender en la evaluación:

  • Paso 5.A.4: se descubrió una consulta a una base de datos del administrador de cuentas de seguridad (SAM) utilizando señales de Active Directory con un contexto detallado sobre la actividad de enumeración de usuarios. Este enfoque de detección basado en la identidad evita la evasión de los atacantes y proporciona un rico contexto de investigación para los equipos de seguridad. Algunos otros proveedores en la prueba confiaron en la telemetría de creación de procesos para obtener una visibilidad similar, pero carecían de contexto y podían pasarse por alto fácilmente.
  • Paso 6.A.2: la actividad de acceso a los recursos en un controlador de dominio también se descubrió mediante nuestros sensores de identidad, con detalles del nombre principal del servicio expuesto (SPN) y el nombre del recurso relacionado comprometido. Aquí también, este enfoque proporciona una durabilidad de detección y ventajas de detalles de investigación similares.

Protección para Linux en todas las etapas de ataque

Microsoft 365 Defender continúa demostrando una excelente cobertura de protección en todas las plataformas, con una cobertura de primer nivel en Windows y Linux. Cubrió todas las etapas relacionadas con Linux a través de análisis de nivel técnico, alertas ricas en contexto y señales de investigación en profundidad.

Los clientes enfrentan amenazas desde varios puntos de entrada a través de los dispositivos, y el descubrimiento de dispositivos y el movimiento lateral para identificar activos de alto valor son elementos básicos para ataques avanzados como el ransomware operado por humanos. Por lo tanto, tener una excelente cobertura en todas las plataformas es crucial para proteger a las organizaciones contra los ataques.

Por ejemplo, como se ve en la Figura 10 a continuación, Microsoft Defender para Endpoint en un dispositivo Linux alertó sobre un comportamiento sospechoso por parte de un proceso de servidor web. La alerta permitía bloquear la lectura de archivos confidenciales y evitar que se leyeran más archivos. Luego, el atacante intentó descargar y ejecutar una puerta trasera en el dispositivo. Sin embargo, eso también se bloqueó conductualmente, evitando así un compromiso posterior.

Detecciones únicas y duraderas de sensores nativos profundos de Windows

Si bien la mayoría de los pasos de ataque en los dispositivos se pueden observar mediante la inspección de las actividades de procesos y secuencias de comandos, depender únicamente de este tipo de telemetría puede ser un desafío en varios aspectos.

Desde el punto de vista de la durabilidad de la detección, los atacantes podrían evitar fácilmente la detección al ofuscar o cambiar a métodos alternativos. Además, en términos de calidad de detección, depender únicamente de la telemetría de “nivel de superficie” podría producir potencialmente una mayor cantidad de falsos positivos y gastos generales para los equipos de seguridad. Finalmente, este tipo de telemetría carece del contexto necesario para permitir una investigación y respuesta efectivas.

A diferencia de otras soluciones, los sensores de dispositivos profundos nativos de la plataforma única de Microsoft 365 Defender introdujeron la profundidad de la señal, proporcionando señales duraderas y ricas en contexto para que los equipos de seguridad las identifiquen, investiguen y respondan. Aquí hay algunos ejemplos, como se vio durante la evaluación:

  • Los pasos 1.A.6 y 19.A.11 se descubrieron a través de sensores mejorados de Instrumental de administración de Windows (WMI), lo que brinda visibilidad a las actividades evasivas de los atacantes sin depender de un proceso o telemetría de ejecución de secuencias de comandos.
  • El paso 3.A.4 se descubrió a través de sensores COM, lo que brinda visibilidad a la interfaz COM de Microsoft Outlook y detecta la búsqueda de un atacante de contraseñas no seguras en Outlook sin depender de las líneas de comando del proceso que los atacantes pueden evadir fácilmente mediante el uso directo de las interfaces COM.
  • El paso 17.A.2 se descubrió a través de los sensores de la API de protección de datos (DPAPI), lo que brinda visibilidad al acceso de credenciales, una actividad extremadamente importante. Otras soluciones monitorean las carpetas del navegador web para el acceso a archivos, lo que es extremadamente propenso a falsos positivos en entornos del mundo real.

Una palabra final: Liderar con la verdad del producto y un enfoque centrado en el cliente

Como en años anteriores, la filosofía de Microsoft en esta evaluación fue empatizar con nuestros clientes: el enfoque de “protección que funciona para los clientes en el mundo real”. Participamos en la evaluación con las capacidades y configuraciones del producto que esperamos que utilicen los clientes.

A medida que revisa los resultados de la evaluación, debe considerar otros aspectos importantes, como la profundidad y la durabilidad de la protección, la integridad de las señales y los conocimientos procesables, y aspectos de calidad, como el impacto en el rendimiento del dispositivo y las tasas de falsos positivos. Todos estos son fundamentales para el funcionamiento confiable de la solución y se traducen directamente en una protección que funciona en entornos de producción de clientes reales.

Comparte tu correo electrónico y te contactaremos.
Te llamaremos para conocer cómo podemos ayudarte con la evaluación.

Leave a Reply

%d bloggers like this: