Éxito Instantáneo en la Detección de Amenazas con Detección como Código Bajo Demanda
Tabla de contenidos:
SOC Prime lanza nuevos planes de suscripción para acelerar la detección de amenazas con contenido personalizado y a demanda
En general, la ingeniería de detección sufre de la necesidad de cazar continuamente amenazas cibernéticas agresivas, dañinas, actuales y de largo impacto. La necesidad de enfoques automatizados, sistemáticos, repetibles, previsibles y compartibles es flagrante. Especialmente para la mayoría de los ingenieros de detección que deben funcionar como cazadores de amenazas, analistas de SOC, creadores de contenido de detección, administradores, mitigadores. Y operar como parte conductores, artistas, estrategas y tácticos.
Además, la detección de amenazas requiere no solo capacidad, sino también herramientas y contenido. Las organizaciones pueden construir, comprar, subcontratar o sufrir las consecuencias, ya que la ignorancia o el evitamiento generalmente resultan en multas, pérdida de ingresos, pérdida de clientes y daño a la marca. Muchas organizaciones no sobreviven a estos impactos. SOC Prime ofrece soluciones viables y rentables que permiten a las organizaciones potenciar sus capacidades de detección de amenazas con un enfoque innovador de ciberseguridad.
Paradigma de Detección como Código
Anton Chuvakin pionero la premisa de ‘Detección como Código’ para intentar alinear las operaciones de seguridad con otras direcciones de DevOps que fueron mejoradas por el éxito del desarrollo de software con capacidades similares (de ahí la etiqueta ‘como código’). La premisa es impulsar la ingeniería de detección hacia un conjunto de prácticas y sistemas mejor equipados para ofrecer una detección de amenazas moderna y efectiva y para hacer crecer la ingeniería de detección para ser una práctica ‘real’, construida sobre principios modernos utilizados con éxito en otros lugares de TI (por ejemplo, Agile o DevOps). En última instancia, ‘Detección como Código’ se pretende como un enfoque sistemático, flexible y completo para evolucionar la operación de detección de amenazas al habilitar una mejor colaboración, prueba, implementación y gestión del ciclo de vida de detección de amenazas.
SOC Prime es el innovador original que abraza el concepto de Detección como Código. Hoy en día, la plataforma SOC Prime proporciona más de 180K reglas basadas en Sigma, consultas, parsers, tableros listos para SOC, reglas YARA y Snort, modelos de Aprendizaje Automático y Libros de Jugadas de Respuesta a Incidentes mapeados a los marcos CVE y MITRE ATT&CK®.
Los beneficios de aprovechar la plataforma de Detección como Código de SOC Prime son impresionantes. Se pueden eliminar más de $3M en costos al eliminar la necesidad de asignar un día de trabajo para desarrollar una única regla de detección a un costo aproximado de $800. Las organizaciones empresariales ahorran hasta 5,000 horas por año en la creación de contenido de detección.
SOC Prime también ha adoptado Sigma para garantizar que el contenido de detección sea de código abierto, basado en estándares y neutral con respecto al proveedor. Las reglas se escriben en formato YAML estructurado, lo que facilita el consumo tanto por humanos como por sistemas y para garantizar:
- Escalabilidad: Las reglas Sigma se pueden implementar a través de más de 25 integraciones SIEM, EDR, XDR.
- Compartir: Las reglas Sigma están diseñadas para ser compartidas y traducidas para integración con cualquier herramienta de seguridad.
- Simplicidad: Los ingenieros de detección de amenazas necesitan dominar un único estándar para crear contenido de detección en todas las capacidades de seguridad.
Planes de suscripción a demanda
En un esfuerzo por simplificar aún más el acceso y la aplicación de la premisa de detección como código, SOC Prime ha hecho que la Detección como Código esté disponible a demanda. Las suscripciones a demanda ofrecen acceso instantáneo y rentable a contenido de detección como código basado en criterios de búsqueda personalizados adaptados a los vectores de ataque más importantes para la investigación de una organización individual. Un motor de traducción Sigma garantiza flexibilidad y que el contenido esté disponible para cualquier entorno SIEM, EDR o XDR.
Esto garantiza que los cazadores de amenazas puedan buscar cualquier frase de código de detección para descubrir contenido de detección disponible y desplegar rápidamente código de detección relevante en su infraestructura de seguridad. La intención es escalar el crecimiento de la capacidad de ingeniería de amenazas organizacionales rápidamente y de manera rentable, y permitir a los cazadores de amenazas enfocarse de inmediato en las vulnerabilidades identificadas como problemáticas o priorizadas en sus entornos únicos.
«A la luz de un panorama de amenazas en constante cambio, mantener el contenido de detección de una organización actualizado, efectivo y relevante es una tarea desalentadora para los profesionales de seguridad,» dijo Andrii Bezverkhyi, fundador y CEO de SOC Prime. «Con la Detección como Código a Demanda de SOC Prime, los profesionales de seguridad pueden recibir contenido relevante en el momento exacto requerido y asegurar continuamente que nunca se omita el contenido crítico de detección de amenazas.»