Archivo de la etiqueta: Endpoint

Las diez principales consideraciones de la evaluación de MITRE de Trend Micro

La llegada de las evaluaciones de MITRE ATT&CK es bienvenida al campo de pruebas de terceros. El framework de ATT&CK, y las evaluaciones en particular, han contribuido en gran medida al avance de la industria de la seguridad en su conjunto, y de los productos de seguridad individuales que sirven al mercado.

La información obtenida de estas evaluaciones es increíblemente útil. Pero admitamos que para todos, excepto para aquellos inmersos en el análisis, puede ser difícil de entender. La información es valiosa, pero densa. Hay múltiples maneras de mirar los datos y aún más maneras de interpretar y presentar los resultados (¡como sin duda ya se habrá dado cuenta después de leer todos los blogs de proveedores y artículos del sector!) Hemos estado mirando los datos de la última semana desde que se publicaron, y todavía tenemos más para examinar en los próximos días y semanas.  

Cuanto más evaluamos la información, más clara se vuelve la historia, así que queríamos compartir con vosotros las 10 conclusiones clave de Trend Micro para obtener nuestros resultados:

1. Es importante ver los resultados de la primera serie de la evaluación:

Trend Micro ocupó el primer lugar en detección general inicial. Somos el líder en detecciones basadas en las configuraciones iniciales de productos. Esta evaluación permitió a los proveedores realizar ajustes de producto después de una primera ejecución de la prueba para aumentar las tasas de detección en una nueva prueba. Los resultados de MITRE muestran los resultados finales después de todos los cambios de producto. Si se evalúa lo que el producto podía detectar como se proporcionó originalmente, tuvimos la mejor cobertura de detección entre el grupo de 21 proveedores.

  • Esto es importante tenerlo en cuenta porque los ajustes del producto pueden variar en importancia y pueden o no estar disponibles inmediatamente en el producto actual de los proveedores. También creemos que es más fácil hacerlo mejor, una vez que se sabe lo que el atacante estaba haciendo – en el mundo real, los clientes no tienen un segundo intento contra un ataque.
  • Dicho esto, nosotros también aprovechamos la oportunidad de volver a realizar la prueba, ya que nos permite identificar las mejoras en el producto, pero nuestras detecciones generales fueron tan altas, que incluso eliminando las asociadas a un cambio de configuración, seguimos ocupando el primer puesto general.
https://blog.trendmicro.com/wp-content/uploads/2020/04/mitre4-e1588186211333.png
Y así nadie piensa que solo estamos dando vueltas… sin hacer ningún tipo de exclusiones a los datos, y cogiendo solo los resultados de MITRE en su totalidad, Trend Micro tuvo la segunda tasa de detección más alta, con una cobertura de detección del +91%.
https://blog.trendmicro.com/wp-content/uploads/2020/04/mitre1-e1588166647158.png

2. Existe una jerarquía en el tipo de detecciones principales: las técnicas son más significativas

  • Hay una jerarquía natural en el valor de los diferentes tipos de detecciones principales.
    • Una detección general indica que algo se consideró sospechoso pero no se asignó a una táctica o técnica específica.
    • Una detección en la táctica significa que la detección puede atribuirse a un objetivo táctico (por ejemplo, acceso a credenciales).
    • Por último, una detección en la técnica significa que la detección puede atribuirse a una acción de confrontación específica (por ejemplo, el dumping de credenciales).
  • Tenemos una fuerte detección en las técnicas, que es una mejor medida de detección. Con la técnica individual de MITRE identificada, se puede determinar la táctica asociada, ya que típicamente, solo hay un puñado de tácticas que se aplicarían a una técnica específica. Al comparar los resultados, se puede observar que los proveedores tuvieron en general detecciones tácticas más bajas, lo que demuestra un reconocimiento general de dónde debería estar la prioridad. 
 Asimismo, el hecho de que tuviéramos detecciones generales más bajas comparadas con las detecciones técnicas es positivo. Las detecciones generales están típicamente asociadas a una firma; como tal, esto prueba que tenemos una baja dependencia de AV.
También es importante tener en cuenta que lo hicimos bien en telemetría, que brinda a los analistas de seguridad acceso al tipo y la profundidad de visibilidad que necesitan al examinar en detalle la actividad de los atacantes a través de los activos. 
 
 

https://attackevals.mitre.org/APT29/detection-categories.html

3. Más alertas no es igual a una mejor alerta, sino todo lo contrario.

  • A primera vista, algunos pueden esperar que se tenga el mismo número de alertas que de detecciones. Pero no todas las detecciones son creadas iguales, y no todo debería tener una alerta (recuerde, estas detecciones son para pasos de ataque de bajo nivel, no para ataques separados).
  • Demasiadas alertas pueden llevar a una fatiga de alerta y añadir a la dificultad de clasificar a través del ruido lo que es más importante.
  • Si se consideran las alertas asociadas a nuestras detecciones de mayor fidelidad (por ejemplo, la detección de la técnica), se puede ver que los resultados muestran que Trend Micro lo hizo muy bien al reducir el ruido de todas las detecciones a un volumen mínimo de alertas significativas/accionables.

4. Las detecciones del Servicio Gestionado no son exclusivas

  • Nuestros analistas de MDR contribuyeron a la categoría de «detección retardada». Aquí es donde la detección involucró la acción humana y puede no haberse iniciado automáticamente.
  • Nuestros resultados muestran la fortaleza de nuestro servicio MDR como una forma de detección y enriquecimiento. Si se incluyera un servicio MDR en esta evaluación, creemos que le gustaría ver que proporciona una buena cobertura, ya que demuestra que el equipo es capaz de detectar basándose en la telemetría recogida.
  • Sin embargo, lo que es importante señalar es que los números para la detección retardada no significan necesariamente que era fuera única manera de hacer una detección; la misma detección podría ser identificada por otros medios. Hay superposiciones entre las categorías de detección.
  • Nuestros resultados de cobertura de detección se habrían mantenido sólidos sin esta participación humana – aproximadamente el 86% de cobertura de detección (con el MDR, aumentó hasta el 91%).

5. ¡No nos olvidemos de la eficacia y la necesidad del bloqueo!

  • En esta evaluación de MITRE no se comprobó la capacidad de un producto para bloquear/protegerse de un ataque, sino que se examina exclusivamente la eficacia de un producto para detectar un evento que ha ocurrido, por lo que no se incluye ninguna medida de la eficacia de la prevención.
  • Esto es significativo para Trend Micro, ya que nuestra filosofía es bloquear y prevenir tanto como se pueda para que los clientes tengan menos que limpiar/mitigar.

6. Necesitamos mirar más allá de Windows

  • Esta evaluación se centró en los endpoints y servidores de Windows solamente; no se consideró Linux por ejemplo, donde por supuesto Trend Micro tiene una gran fuerza en cuanto a capacidad.
  • Esperamos con interés la expansión de los sistemas operativos a su alcance. Mitre ya ha anunciado que la próxima ronda incluirá un sistema Linux.

7. La evaluación muestra hacia dónde va nuestro producto

  • Creemos que la máxima prioridad de esta evaluación son las detecciones principales (por ejemplo, la detección en técnicas como las mencionadas anteriormente). La correlación entra dentro de la categoría de detección de modificador, que analiza lo que sucede por encima y más allá de una detección inicial.
  • Estamos satisfechos con nuestras principales detecciones, y vemos una gran oportunidad de aumentar nuestras capacidades de correlación con Trend Micro XDR, en la que hemos invertido fuertemente y que es el núcleo de las capacidades que ofreceremos en producto a los clientes a finales de junio de 2020.
  • Esta prueba no evaluó nuestra correlación con la seguridad del correo electrónico, por lo que existe un valor de correlación que podemos ofrecer a los clientes más allá de lo que se representa aquí.

8. Esta evaluación nos está ayudando a mejorar nuestro producto

  • La información que nos ha proporcionado esta evaluaciónha sido inestimable y nos ha ayudado a identificar áreas de mejora y, como resultado, hemos iniciado las actualizaciones de productos. 
  • Además, tener un producto con una opción de modo “solo detección” ayuda a aumentar la inteligencia del SOC, por lo que nuestra participación en esta evaluación nos ha permitido hacer que nuestro producto sea aún más flexible de configurar; y por lo tanto, una herramienta más poderosa para el SOC.
  • Mientras que algunos proveedores intentan utilizarlo contra nosotros, nuestras detecciones adicionales después del cambio de configuración muestran que podemos adaptarnos al cambiante panorama de amenazas rápidamente cuando es necesario.

9. MITRE es más que la evaluación

  • Si bien la evaluación es importante, no lo es menos reconocer que MITRE ATT&CK es una importante base de conocimiento con la que la industria de la seguridad puede alinearse y contribuir.
  • El hecho de tener un lenguaje y un marco común para explicar mejor cómo se comportan los adversarios, qué es lo que intentan hacer y cómo tratan de hacerlo,  hace que toda la industria sea más potente. 
  • Entre las muchas cosas que hacemos con MITRE o en torno a él, Trend ha contribuido y continúa aportando nuevas técnicas a las matrices del framework y lo está aprovechando dentro de nuestros productos utilizando ATT&CK como lenguaje común para las descripciones de alertas y detección, y para los parámetros de búsqueda.

10. ¡Es difícil no confundirse con el fud*!

  • MITRE no califica, clasifica o proporciona una comparación de productos, así que a diferencia de otras pruebas o informes de analistas de la industria, no hay un conjunto de “líderes” identificados.
  • Como esta evaluación considera múltiples factores, hay muchas maneras diferentes de ver, interpretar y presentar los resultados (tal y como lo hemos hecho aquí en este blog).
  • Es importante que las organizaciones individuales comprendan el marco, la evaluación y, lo que es más importante, cuáles son sus propias prioridades y necesidades, ya que es la única manera de asignar los resultados a los casos de uso individuales.
  • Busque a sus proveedores para que le ayuden a explicar los resultados, en el contexto que tenga sentido para usted. Debería ser nuestra responsabilidad ayudar a educar, no explotar.

 *Nota: FUD es una estrategia simple pero eficaz que se basa en proporcionar a la audiencia información negativa para influir en sus decisiones, y es fácil ver por qué se ha convertido en algo frecuente en el mundo de la ciberseguridad, con la amenaza siempre presente de otro ataque importante.

5 razones para llevar la seguridad del endpoint a la nube ahora

A medida que el mundo ha ido adoptando iniciativas de teletrabajo, hemos visto a muchas organizaciones acelerar sus planes para pasar de las soluciones de seguridad y de detección y respuesta (EDR/XDR) para el endpoint on-premise a las versiones de software como servicio (SaaS). Diferentes empresas que ya adoptaron la modalidad SaaS el año pasado, han mostrado su satisfacción al haberlo hecho cuando pasaron a trabajar a distancia.

A continuación Trend Micro ofrece 5 razones para considerar el cambio a una solución gestionada en cloud:

1. Sin gestión de la infraestructura interna = menos riesgo

Si no ha encontrado tiempo para actualizar el software de seguridad de sus terminales y está utilizando en una o dos anteriores, está poniendo a su organización en riesgo de ataque. Las versiones más antiguas no tienen el mismo nivel de protección contra el ransomware y los ataques sin archivos. Así como las amenazas están siempre evolucionando, lo mismo ocurre con la tecnología creada para protegerse contra ellas.

Con Apex One as a Service, siempre se tiene la última versión. No hay parches de software que aplicar ni servidores Apex One que gestionar – Trend Micro se  encarga de ello por usted. Si teletrabaja, es una tarea menos de la que preocuparse y menos servidores en su entorno que podrían necesitar su atención.

2. Alta disponibilidad, fiabilidad

Con procesos redundantes y monitorización continua del servicio, Apex One as a Services ofrece el tiempo de actividad que usted necesita con una disponibilidad del 99,9%. El equipo de operaciones también monitoriza proactivamente los posibles problemas en sus endpoints, y con su aprobación previa, puede solucionar problemas menores con un agente de endpoint antes de que necesiten su atención.

3. Detección y respuesta más rápida (EDR/XDR)

Al transferir la telemetría del endpoint a un lago de datos cloud, las actividades de detección y respuesta como las investigaciones y el barrido pueden ser procesadas mucho más rápido. Por ejemplo, la creación de un diagrama de análisis de causa raíz en la nube lleva una fracción del tiempo, ya que los datos están fácilmente disponibles y pueden procesarse rápidamente con la potencia del cálculo de la nube.

4. Aumento del mapeo MITRE

El poder inigualable del cloud computing también permite el análisis a través de un gran volumen de eventos y la telemetría para identificar una serie de actividades sospechosas. Esto permite métodos de detección innovadores pero también un mapeo adicional de técnicas y tácticas al framework MITRE. Construir la potencia de cálculo equivalente en una arquitectura en el lugar sería de un coste prohibitivo.

5. XDR – Endpoint combinado + Detección y Respuesta en el Email

Según Verizon, el 94% de los incidentes de malware comienzan en el correo electrónico.  Cuando se produce un incidente en el endpoint, es probable que provenga de un mensaje de correo electrónico y quiera saber qué otros usuarios tienen mensajes con el mismo email o un archivo adjunto de correo electrónico en su bandeja de entrada. Puede pedir a su administrador de correo electrónico que realice estas búsquedas por usted, lo cual lleva tiempo y coordinación. Como Forrester reconoció en el informe recientemente publicado: Forrester Wave™ Enterprise Detection and Response, Q1 2020:

«Trend Micro ofrece la funcionalidad XDR que puede tener gran impacto hoy en día. El phishing puede ser la forma más efectiva para que un adversario entregue cargas útiles específicas en lo profundo de una infraestructura. Trend Micro reconoció esto e hizo su primera entrada en XDR al integrar las capacidades de gestión de Microsoft Office 365 y la suite Google G en sus flujos de trabajo EDR».

Esta capacidad XDR está disponible hoy en día mediante la combinación de alertas, registros y datos de actividad de Apex One as a Service y Trend Micro Cloud App Security. Los datos de los endpoints se vinculan con la información de correo electrónico de Office 365 o G Suite de Cloud App Security para evaluar rápidamente el impacto del correo electrónico sin tener que utilizar otra herramienta o coordinar con otros grupos.

El traslado de la protección de los puntos finales y la detección y respuesta a la nube, tiene un enorme ahorro en el tiempo de los clientes al tiempo que aumenta su protección y capacidades. Si tiene licencia de nuestras Smart Protection Suites, ya tiene acceso a Apex One as a Service y nuestro equipo de asistencia está listo para ayudarle en su migración. Si se trata de una suite más antigua, hable con su representante de ventas de Trend Micro acerca de la migración a una licencia que incluya SaaS.

El traslado de la protección del endpoint y la detección y respuesta a la nube, tiene un enorme ahorro en el tiempo de los clientes al igual que aumenta su protección y capacidades. Si tiene licencia de las Smart Protection Suites de Trend Micro, ya tiene acceso a Apex One as a Service y nuestro equipo de soporte está listo para ayudarle en su migración. Si se trata de una suite más antigua, hable con su representante comercial de Trend Micro acerca de la migración a una licencia que incluya SaaS.  

Trend Micro se posiciona de nuevo como líder en el Cuadrante Mágico de Gartner para Plataformas de Protección Endpoint

El líder en ciberseguridad comparte cómo su solución Apex One agrega valor para los clientes de todo el mundo

Trend Micro Incorporated, líder global en soluciones de ciberseguridad, ha sido nombrado Líder en el Cuadrante Mágico de Gartner

para Plataformas de Protección Endpoint1 de 2019, en la evaluación de su solución de seguridad para endpoints Apex One.

Trend Micro ha sido nombrado Líder en todos los Cuadrantes Mágicos de Gartner para esta categoría desde 2002 y cree que este último reconocimiento demuestra cómo su estrategia y rendimiento continúan satisfaciendo las demandas cambiantes de los clientes globales.

«Estamos encantados de volver a ser reconocidos como Líderes en el Cuadrante Mágico de Gartner para Plataformas de Protección de Endpoints», afirma Wendy Moore, vicepresidenta de marketing de producto de Trend Micro. «Nuestra solución Apex One redefinió la seguridad de los endpoints al combinar la detección y respuesta automatizadas con una amplia gama de capacidades de defensa contra amenazas, todas ellas disponibles desde un único agente. Desde nuestro punto de vista, este reconocimiento es un testimonio de nuestro compromiso con la innovación y el rendimiento en un mercado en constante cambio».

Apex One está impulsado por la inteligencia de amenazas líder del sector y aprovecha el enfoque de seguridad intergeneracional por capas de Trend Micro, conocido como XGen™, para aplicar la técnica de defensa contra amenazas correcta en el momento adecuado.

El soporte integral de Trend Micro para los sistemas operativos actuales y heredados/fuera de soporte, así como su presencia global, junto con la asistencia y soporte técnico localizado para ayudar a satisfacer las necesidades técnicas y de cumplimiento normativo regionales, también son ofertas destacadas.

El endpoint es cada vez más la primera línea de defensa en la guerra contra las ciberamenazas y los equipos de TI se ven abrumados por el volumen de alertas que deben gestionar. Tras el éxito de Apex One, Trend Micro ha lanzado su solución XDR, convirtiéndose en la primera en ofrecer capacidades de detección y respuesta integradas en las cargas de trabajo de correo electrónico, red, punto final, servidor y nube. Más información sobre XDR aquí: https://www.trendmicro.com/en_us/business/products/detection-response/xdr.html

Para descargar una copia gratuita del informe completo del Cuadrante Mágico de Gartner para Plataformas de Protección de Endpoint, pinche aquí: http://www.gartner.com/reprints/trend-micro—canada?id=1-1OEJAQ6E&ct=190819&st=sb

[1] Gartner “Magic Quadrant for Endpoint Protection Platforms,” por Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, 20 de agosto de 2019. Anteriormente, el informe se denominaba «Magic Quadrant for Endpoint Protection Platforms» y previamente,  «Magic Quadrant for Enterprise Antivirus».

Gartner no respalda a ningún proveedor, producto o servicio presentado en sus publicaciones de investigación, y no aconseja a los usuarios de tecnología seleccionar únicamente a aquellos proveedores con las calificaciones más altas o con otras designaciones. Las publicaciones de investigación de Gartner se basan en las opiniones de la organización de investigación de Gartner y no deben interpretarse como declaraciones de hechos. Gartner renuncia a todas las garantías, expresas o implícitas, respecto a esta investigación, incluyendo todas las garantías de comercialización o conveniencia para un propósito particular. 

Ciberseguridad: esta asignatura pendiente por las empresas, con Trend Micro, se puede aprobar.

La ciberseguridad es una asignatura pendiente en organizaciones de mediano/gran tamaño en todo el mundo. Las estadísticas demuestran que un altísimo porcentaje de compañías no poseen medidas de seguridad adaptadas al panorama de amenazas existente hoy. Se hace crucial la utilización de soluciones que sean capaces de detectar y analizar Amenazas Persistentes Avanzadas. En este artículo se muestran estadísticas reales que ponen de manifiesto la situación de las empresas en cuanto a ciberseguridad.

ciberwar

Muchas veces, las empresas no se plantean el incorporar soluciones de detección de APTs porque piensan que tendrán que hacer un cambio en su infraestructura o hacer un gasto importante para disponer de las mismas; pero no es así: soluciones como las de Trend Micro (Custom Defense), a través de Deep Discovery o de los plugins de detección de APTs para OfficeScan o el gateway, pueden prevenir las infecciones y ataques actuales de forma ágil y suponiendo una inversión de futuro, económicamente hablando.
Sigue leyendo

El portal documental corporativo: la protección necesaria frente al panorama del malware actual

Es normal que en las empresas se fije la atención en los puestos de trabajo de los usuarios a la hora de aplicar la máxima seguridad. También se invierte en la seguridad para los dispositivos móviles, debido sobre todo al efecto de la consumerización y el BYOD (Bring Your Own Device). Los servidores también son protegidos, de forma genérica, a través de un agente antimalware que proporciona prevención frente a infecciones para cualquier tipo de malware. Pero en organizaciones, que cuenten o no con un datacenter, existen servidores con funcionalidades específicas que deben ser protegidos apropiadamente y con herramientas de seguridad adaptadas a sus requisitos. En relación a este punto, vale la pena detenerse en un tipo de servidor con el que interaccionan continuamente los trabajadores desde dentro de la red e incluso usuarios externos (teletrabajadores o colaboradores, partners etc…) y que alberga información de muy diversa índole e importancia. La pérdida de información confidencial almacenada en este servidor de forma intencionada o por error, puede acarrear pérdidas de todo tipo en la empresa (monetarias, por penalizaciones que imponga la ley; de confianza de nuestros colaboradores, de reputación…). Por eso, la protección de un servidor específico de este tipo no es trivial y tenemos que analizar sobre qué puntos tenemos que actuar y crear una barrera de seguridad que se ajuste y adapte a lo que se necesite.
Vamos a hacer un breve análisis de las necesidades de seguridad para estos servidores documentales:

1. Evitar el malware: Esta es la primera idea que nos viene a la cabeza; proteger nuestro servidor documental frente a amenazas. Es de vital importancia ya que si un virus, troyano, gusano, malware mixto entra en el portal, la propagación por el resto de la red puede ser rápida y afectar gravemente a otras máquinas.

1

2. Protección de cara a la web: Es también imprescindible monitorizar las interacciones que el servidor tenga con Internet ya que la mayor parte de las amenazas proceden de aquí. Contar con un sistema de reputación web que evite el acceso a sitios web maliciosos, fraudulentos, o que contengan malware, se hace fundamental hoy en día para nuestro servidor documental dado el panorama de las amenazas con el que nos encontramos.

2

3. Prevenir la fuga de datos: La pérdida o robo de información confidencial del servidor documental puede desencadenar problemas muy graves para la compañía. El instalar herramientas que monitoricen y bloqueen la salida de información de este tipo del servidor puede evitar que la empresa se vea involucrada en procesos legales, pago de multas por ley, pérdida de resputación e incluso confianza de sus colaboradores.

3

4. Mantener el servidor actualizado y monitorizar sus posibles vulnerabilidades: Muchas de las interacciones que se producen con el portal documental quedan fuera del control del departamento de IT corporativo: teletrabajadores, contratistas, partners, colaboradores, clientes…todos ellos acceden desde Internet a nuestro servidor de ficheros a través del portal documental. Al ser público, un hacker podría también interactuar con él, buscar vulnerabilidades abiertas e introducir su ataque o exploit en cuestión de segundos. Por eso, el disponer de una herramienta capaz de detectar/prevenir vulnerabilidades y en caso necesario poner un «parche virtual» para cerrar dichas vulnerabilidades, puede salvarnos de ser infectados o sufrir un ataque.

4

Las necesidades de seguridad para los portales documentales han ido creciendo a medida que ha ido pasando el tiempo. Estudios nos demuestran que ya no es suficiente con proteger el servidor frente a malware o evitar cargar ficheros maliciosos. Todas las recomendaciones anteriores demuestran que ahora la seguridad que tenemos que implantar en nuestro servidor de ficheros debe ser mucho más sofisticada. Pero además, algo que afecta muy de cerca al portal documental y a su seguridad son las amenazas persistentes avanzadas y los ataques dirigidos. Los cibercriminales monitorizan los servidores en busca de «puertas traseras» por las que colarse. Pueden llegar a analizar exhaustivamente el servidor, recopilar datos importantes a todos los niveles y utilizarlos en nuestra contra. Estos ataques dirigidos y creados específicamente para ciertas víctimas están afectando últimamente a organismos públicos, gobiernos y empresas importantes en todo el mundo. Pero esto no quiere decir que los hackers no vayan a atentar contra nuestro servidor. Cualquier «ventana abierta» es válida para que ellos hagan uso de sus herramientas para sacar cualquier tipo de beneficio.

6

 

Trend Micro™ PortalProtect™ protege el portal documental SharePoint, el más utilizado en la industria,  con una  capa de protección específica que nos mantendrá seguro frente a malware,  enlaces maliciosos y otras amenazas que normalmente los administradores  de SharePoint no conocen. Su tecnología de reputación Web evita que los  enlaces maliciosos se introduzcan en los portales Web mientras que su  eficaz filtrado de contenidos analiza los archivos y los componentes Web  de SharePoint.

5