Microsoft, el mayor fabricante global de software, anunció que dará a los centros de operaciones de seguridad empresarial (SOC, sigla en inglés) un acceso más amplio a la enorme cantidad de inteligencia sobre amenazas que recopila todos los días.
A través de dos nuevos servicios presentados esta semana, el gigante del software dijo que las organizaciones podrán protegerse de manera proactiva al ver los mismos datos que ven los expertos en ciberseguridad de Microsoft y comprender los puntos débiles de sus propias defensas.
Defender Threat Intelligence y Defender External Attack Surface Management son dos nuevas herramientas de seguridad que permiten obtener un panorama más profundo de las actividades de los delincuentes. También ayudan a las organizaciones a proteger su infraestructura y reducir su superficie de ataque en general.
Según datos de CERT.ar, durante 2021 se registraron un total de 591 incidentes informáticos, cifra que superó en un 261% a la del 2020. El panorama de las amenazas es más sofisticado que nunca y los daños aumentaron: el informe IC3 2021 del FBI encontró que el costo de la ciberdelincuencia alcanzó los 6.900 millones de dólares.
Estas nuevas ofertas de inteligencia de amenazas brindan información más detallada sobre los comportamientos de los ciberdelincuentes y ayudan a los equipos de seguridad a acelerar la identificación y priorización de riesgos.
Rastreo de ciberdelincuentes
Según informaron desde la filial argentina de Microsoft a iProfesional, Defender Threat Intelligence permite rastrear las actividades y patrones de los ciberdelincuentes. Ahora, los equipos de operaciones de seguridad pueden descubrir la infraestructura del atacante, acelerar la investigación y la remediación con más contexto, información y análisis que antes.
Aunque la inteligencia de amenazas ya está integrada en las detecciones en tiempo real de la plataforma y productos de seguridad de la compañía, como la familia Microsoft Defender y Microsoft Sentinel, esta nueva oferta brinda acceso directo a los datos en tiempo real desde las señales de seguridad de la compañía.
Ahora, las organizaciones pueden encontrar en forma proactiva las amenazas en sus entornos, conducir investigaciones y procesos personalizados de inteligencia de amenazas y mejorar el rendimiento de los productos de seguridad de terceros. La versión gratuita seguirá disponible.
¿Cómo ven los delincuentes informáticos a sus víctimas?
Las empresas podrán ver a sus propias organizaciones como lo hace un atacante con Microsoft Defender External Attack Surface Management. Esta nueva herramienta brinda a los equipos de seguridad la capacidad de descubrir recursos desconocidos y no gestionados que son visibles y accesibles desde Internet, es decir, tener la misma vista que tiene un atacante al seleccionar un blanco.
Defender EASM ayuda a los clientes a descubrir los recursos no gestionados que puedan ser puntos de entrada para un atacante. Microsoft Defender External Attack Surface Management escanea Internet y sus conexiones todos los días.
Esto crea un catálogo completo del ambiente de un cliente, en el cual se descubren los recursos en Internet e incluso los activos sin agentes y no gestionados.
Microsoft anunció Sentinel para proteger la información empresarial crítica dentro de SAP. Los equipos de seguridad ahora pueden monitorear, detectar y responder a las alertas de SAP, como, por ejemplo, el aumento de privilegios y descargas sospechosas, todo de la nube SIEM nativa.
Con la solución Microsoft Sentinel para SAP, los clientes pueden desarrollar detecciones personalizadas de las amenazas que enfrentan para reducir el riesgo de una interrupción catastrófica.
Enorme baúl de información sobre delincuentes
"Microsoft rastrea 35 familias de ransomware y más de 250 atacantes de los Estados-Nación, ciberdelincuentes y otras amenazas", comentó Vasu Jakkal, vicepresidenta corporativa de seguridad, cumplimiento, identidad y gestión. Este vocero explicó que la nube de Microsoft también procesa y analiza más de 24 billones de señales de seguridad cada día.
"Esta cantidad masiva de inteligencia derivada de la plataforma y productos de Microsoft proporciona información exclusiva para proteger a los clientes de dentro hacia afuera", resaltó.
La adquisición de RiskIQ hace poco más de un año permitió a Microsoft brindar a los clientes una visibilidad única de las actividades de los delincuentes, sus patrones conductuales y sus objetivos.
Inmunidad colectiva
Este es un paso importante de Microsoft, que tiene una visibilidad de las amenazas que otros proveedores no pueden igualar. En este caso se podría replicar el concepto de inmunidad colectiva referido a la pandemia del coronavirus.
Microsoft acumula información como indicadores de compromiso, información sobre malos actores y objetivos potenciales. Cuanto más difunda esa información, la comunidad se vuelve mejor.
Las organizaciones necesitan conocer los agujeros en sus defensas de seguridad, que van desde una instancia en la nube que un desarrollador creó pero nunca cerró hasta una cuenta de redes sociales no utilizada o desconocida.
La superficie de ataque es una amenaza grande pero cualquier cosa que permita tener una mejor idea de cómo se ve ese paisaje es una gran ventaja.