+34 914 230 991 info@dotforce.es
Logo de Seceon - Plataforma de Gestión del SOC

Seceon, Plataforma de gestión del SOC

La plataforma multi-tenant de gestión del SOC de Seceon con Machine Learning y análisis del comportamiento es una solución todo-en-uno que tiene como objetivo dar solución a los principales problemas del SOC, reduciendo drásticamente el tiempo necesario para identificar y resolver las incidencias de seguridad con alta precisión y de forma automatizada con decisiones impulsadas por IA y gracias a su amplia visibilidad en servidores, endpoints, redes y Cloud, abarcando IT, IoT y OT. 

LA EMPRESA

Seceon es un proveedor global de  avanzadas plataformas de detección y remediación de ciberamenazas, con el impulso de inteligencia artificial para empresas y proveedores de servicios de seguridad administrados (MSSP).

La compañía, fundada en 2015, está localizada en Westford, Massachussets y ha recibido numerosos premios y galardones que reconocen la innovación y efectividad de sus soluciones. Seceon tiene más de 5600 clientes y 130 MSSP en todo el mundo, y sus soluciones ingieren más de 325.000.000.000 eventos y flows al día.

Seceon Open Threat Managment Platform (OTM)

La plataforma OTM de Seceon aprovecha al máximo la información y la inteligencia disponibles de los distintos activos digitales de la organización. Esta tarea está guiada por análisis de comportamiento basado en Machine Learning y toma de decisiones mediante IA. El objetivo es detectar y eliminar las amenazas de ciberseguridad que son una amenaza para la organización, de manera proactiva y segura.

Trabajar con soluciones de ciberseguridad aisladas tiene varios inconvenientes:

  • Redundancia significativa de amenazas y alertas que causan alert fatigue.
  • Datos obtenidos de una única fuente, lo que impide verificar el riesgo de las amenazas a la vez que demora la detección de falsos positivos.
  • Problemas operativos con paneles dispares de varias herramientas y plataformas.
  • Alto coste de integración, soporte y mantenimiento.

La plataforma OTM de Seceon para la gestión del SOC viene a resolver estos inconvenientes, sirviendo de soporte para las 3 soluciones de Seceon:

 

aiSIEM™

Plataforma de gestión del SOC con SIEM avanzado con IA

Seceon aiSIEM™ detecta y neutraliza amenazas conocidas y desconocidas en sus activos digitales (on-premise, cloud o remotos) antes de que se conviertan en incidentes importantes. Para ello, aiSIEM™ utiliza su visibilidad integral de las ciberamenazas, los exploits y los ataques dirigidos a los activos IT de las organizaciones, al tiempo que asegura el cumplimiento regulatorio de forma continua.

aiSIEM™ reúne una lista fiable de indicadores de amenazas, eventos correlacionados, Netflows y tráfico de red (NTA, NBAD, IDS y NDR), enriquecidos con Threat Intelligence, anomalías de comportamiento (UEBA), contexto histórico, resultados de análisis de vulnerabilidades y otros datos de aplicaciones de terceros para obtener alertas correlacionadas y altamente efectivas para evitar la alert fatigue y ofrecer una oportuna respuesta rápida, bien de forma semiautomatizada o bien completamente automatizada mediante el SOAR integrado.

 

aiXDR™

Plataforma eXtendida con vigilancia en el endpoint

aiXDR™ es la solución más completa de Seceon. A todo lo incluido en aiSIEM™, aiXDR™ incluye el EDR para Windows, Linux y macOS, tanto online como offline. La solución EDR cuenta además con telemetría, monitorización de la actividad de red (IP, adaptadores) y resumen de actividad basado en eventos relacionados con archivos, procesos, sockets, scripts de shell y la red.

Con Seceon aiXDR™ se obtiene una comprensión rápida y fiable del comportamiento de los usuarios de la organización, mejorando el tiempo y la fiabilidad de las detecciones de inicios de sesión maliciosos, acceso indebido a documentos sensibles, ataques de fuerza bruta y muchos otros tipos de amenaza.

 

aiMSSP™

La plataforma multi-tenant de gestión del SOC

Seceon aiMSSP™ combina la Dashboard de gestión del SOC con la solución de ciberseguridad en profundidad de defensa deseada, aiSIEM™ o aiXDR™. aiMSSP™ está perfeccionada para la detección y corrección automática de amenazas de forma semi-automatizada y totalmente automatizada. De nuevo, la toma de decisiones se realiza con IA tras analizar un amplio contexto. Esto la convierte en la plataforma de detección y respuesta gestionada más versátil del mercado para MSSP.

Plataforma OTM de Seceon para la gestión del SOC
Plataforma OTM de Seceon para la gestión del SOC
Alertas
Deep Tracker
DashBoard del Panel MSSP

Casos de uso de la Plataforma de gestión del SOC de Seceon

Malware

Las tácticas y técnicas de malware han evolucionado para evitar ser detectados por los métodos tradicionales como herramientas de mantenimiento del sistema o controles de seguridad (whitelists/blacklists). Se utilizan métodos sofisticados (incluidos ML e AI) para superar las técnicas de detección avanzadas, evitando las reglas estáticas.

Por ello, las soluciones de Seceon (tanto aiSIEM como aiXDR) se basan principalmente en los patrones de comportamiento de usuarios y entidades al analizar procesos sospechosos, cambios en archivos, conexiones, escaneos, etc. Y todo ello mientras se mantienen conectadas al mundo externo de Cyber ​​Threat Intelligence. Este modo de mantenerse alerta, con la ayuda de ML e AI, permite a aiXDR y a aiSIEM la capacidad de detectar amenazas Zero-day, ransomware y otras variantes de malware con alta fiabilidad.

En la imagen “Indicadores de Malware”, se pueden ver algunos de los indicadores, que están detallados en el desplegable que hay a continuación:

Ver indicadores de detección de malware

 

Indicador Amenaza Tácticas usadas para detectar el Malware
1 Nueva conexión de proceso

Se detectaron nuevos procesos (ejecutables) que intentan establecer una conexión con direcciones IP públicas de un host en particular. Llamémosle Alpha-Y en este ejemplo.

2 Detectado proceso en nuevo host

Se detectaron varios procesos sospechosos en Alpha-Y.

3 Nuevo proceso

Se detectaron nuevos procesos con hashes sospechosos, según fuentes de Threat Intelligence sources, en Alpha-Y.

4 Proceso sospechoso detectado

Se detectaron varios procesos sospechosos con procesos principales inusuales en el host Alpha-Y.

5 Evasión

Se detectaron varias instancias de procesos principales sospechosos utilizados por atacantes o un malware que se hace pasar por procesos legítimos de Windows.

6 Windows exploit

Múltiples procesos secundarios sospechosos relacionados con scripts de inicio de sesión de Windows (usuarios o grupos de usuarios) detectados en Alpha-Y. Estos scripts se utilizan para realizar funciones administrativas, a menudo ejecutando otros programas o enviando información a un servidor de logs interno.

7 Nueva conexión por un proceso

Más conexiones nuevas detectadas en Alpha-Y.

Tipos de indicadores de amenazas

Indicadores de Malware

Ransomware

La detección de ransomware requiere un alto grado de fiabilidad en el análisis de comportamiento y el modelado de amenazas para detectarlo en todas las etapas de su propagación. Las herramientas tradicionales de detección de amenazas dependen en gran medida del analista de seguridad para discernir actividades inusuales y crear reglas de correlación para unir indicadores. En marcado contraste, aiSIEM/aiXDR de Seceon se apoya en el Machine Learning para el análisis de comportamiento y la inteligencia artificial para correlacionar indicadores impulsados ​​por modelos dinámicos de amenazas integrados. Cuando estos indicadores se alinean con cierto grado de confianza, el algoritmo genera una alerta para que el analista actúe.

Escenarios de detección de Ransomware con Seceon aiSIEM y aiXDR

Detección en el host
El payload del ransomware intenta llegar al endpoint de destino. En el caso de un ataque de phishing de correo electrónico, aiSIEM/aiXDR entra rápidamente en acción, correlacionando los registros del servidor de correo electrónico con las actividades del endpoint para encontrar rastros de procesos inusuales o sospechosos generados en el endpoint.

Detección en la conexión del host con C&C
El malware intenta establecer una conexión con el Centro de Comando y Control (C&C) desde el endpoint infectado. Potencialmente podría generar un nuevo dominio e intentar conectarse. Durante esta etapa, la plataforma aiSIEM/aiXDR de Seceon interviene para detectar los nombres de dominio generados automáticamente y correlacionar esa información con otros indicadores de amenazas para generar una alerta.

Detección de movimiento lateral
Una vez que ha infectado un endpoint, el malware podría realizar un análisis de la red con el fin de identificar objetivos potenciales antes de propagarse a otros endpoints/servidores. Seceon aiSIEM/aiXDR puede detectar esta actividad rápidamente y correlacionarla con eventos contextuales para generar una alerta de “Potential Malware Infected Host”, seguida de la cuarentena del host infectado. (Ver imagen adyacente con el flujo de la actividad)

Propagación de Ransomware y cómo Seceon lo detecta, gestión del SOC

Propagación de Ransomware y cómo Seceon lo detecta

Propagación de Ransomware y cómo Seceon lo detecta, gestión del SOC

Fases de ataque de Ransomware

Ataques de Fuerza Bruta

Es crucial que una solución emplee Zero-Trust y tenga conciencia contextual y realice análisis de comportamiento para identificar ciberataques. Seceon tiene en cuenta la ubicación geográfica, la dirección IP, la hora del día, el dispositivo, la frecuencia de inicio de sesión y las infracciones de políticas, junto con el posible comportamiento anómalo del usuario mediante Machine Learning.

Escenarios adicionales de ataques de fuerza bruta rastreados y detectados por la solución de Seceon (tanto aiSIEM como aiXDR):

  • Gran cantidad de inicios de sesión fallidos desde direcciones IP únicas o múltiples, internas o externas, contra un nombre de usuario único o múltiple.
  • Inicios de sesión fallidos desde nuevas ubicaciones geográficas o nuevo dispositivo de usuario.
  • Gran número de bloqueos de cuentas.
  • Ataque de fuerza bruta con spraying de contraseñas para violar cuentas con una contraseña débil.

Seceon va un paso más allá y determina si el atacante ha conseguido violar la cuenta. Más allá de generar alertas, la solución ayuda a evitar que los ataques tengan éxito, comunicándose con los firewalls para bloquear las direcciones IP desde donde se originan los ataques o deshabilitando al usuario desde el controlador de dominio.

Alerta de Ataque de Fuerza Bruta

Alerta de Ataque de Fuerza Bruta

Personal de la organización

El personal de una organización también puede convertirse en una amenaza, por descuido o imprudencia, o incluso de forma deliberada.

Seceon aborda la detección de amenazas internas a través de User Entity Behavior Analytics (UEBA) que se basa en algoritmos de aprendizaje automático para identificar diversas tácticas y técnicas utilizadas por los perpetradores.

El indicador “Compromised Credential” es una clara evidencia de que una persona con información privilegiada intenta obtener acceso a información de la que, potencialmente, podría hacer mal uso. Como se muestra en la imagen “Alerta de Amenaza Interna”, se descubrió que un usuario en particular estaba iniciando sesión en un host inesperado.

La filtración de datos también es otra actividad que puede realizar un usuario interno, que es identificada con el indicador “Data Exfiltration”. En este caso, puede haber indicadores de una mayor comunicación con un host sospechoso.

Alerta de Amenaza Interna

Alerta de Amenaza Interna

Brechas de seguridad

La detección “Data Breach” se realiza con un amplio conjunto de datos: uso de archivos, actividad del usuario y tráfico de red (aplicaciones y servidores) entre otros. Además, el Threat Intelligence y el escaneo de vulnerabilidades juegan un papel importante enriqueciendo la investigación, particularmente cuando están involucrados perpetradores externos.

Con esos datos, Seceon aplica Machine Learning para crear un perfil de referencia y determinar la fiabilidad de las detecciones con alta fiabilidad. Las actividades sospechosas que conducen a una infracción, como el escaneo de puertos, se pueden correlacionar casi en tiempo real. De esta manera, se minimizan el alcance y el impacto del ciberataque, salvando a las organizaciones de importantes pérdidas económicas y de reputación.

Las imágenes de la derecha muestran una alerta con un host involucrado en una exfiltración de datos, con datos detallados sobre la aplicación, el host de origen y el de destino, y los datos de la comunicación entre ambos.

Alerta de Brecha de datos

Alerta de Brecha de datos

Detalles de alerta de Brecha de Datos

Detalles de alerta de Brecha de Datos

Exploits de Vulnerabilidades

Dado que las vulnerabilidades proliferan en todo el entorno IT, los exploits deben detectarse a través de diversas actividades con una sólida comprensión de las tácticas y técnicas del atacante. Seceon analiza varios indicadores de amenazas para determinar si los indicadores “Vulnerability Exploit” o “Web Exploit” deben marcarse como una alerta “crítica” o al menos “major” (importante).

Seceon dispone de dos indicadores que alertan de una posible explotación de vulnerabilidad. “Vulnerability Exploit” generalmente implica que un malware está realizando un escaneo de IP o un solo puerto en la red, en un intento de encontrar servidores con un puerto abierto en particular para, posteriormente, conectarse al servidor IRC en dominio público. Por otro lado, “Web Exploit” generalmente involucra un sitio en la blacklist que intenta obtener demasiada información a través de una URL manipulada.

Las capturas de pantalla (“Alerta de Exploit de Vulnerabilidad” y “Detalle de Alerta de Exploit de Vulnerabilidad”) muestran un endpoint en particular que realiza un análisis exhaustivo de la red, así como indicadores detallados de amenazas subyacentes: escaneo de puertos, acceso prohibido a aplicaciones, datos salientes inusuales, descarga y carga de datos. Todos estos indicadores son generados automáticamente por la plataforma OTM de Seceon utilizando ML e IA.

Alerta de Exploits de Vulnerabilidades

Alerta de Exploits de Vulnerabilidades

Alerta de Amenaza Interna

Detalle de alerta de Exploits de Vulnerabilidades

Seguridad de Aplicaciones Web

Las Aplicaciones Web continúan representando un importante riesgo de ciberseguridad para las organizaciones. Por ello, la solución de Seceon (tanto aiSIEM como aiXDR) es capaz de detectar varios indicadores de vectores de ataque categorizados como tipo de evento “Web Exploits”.

Estos son algunos de los ataques detectados:

  • Cross-Site Scripting (XSS).
  • Inyección SQL.
  • Ejecución remota de archivo.
  • Inclusión de archivos maliciosos en el servidor web.
  • Directory Traversal.
Compliance

El cumplimiento se observa en diferentes áreas de los productos aiSIEM y aiXDR de Seceon.

  • Los logs se almacenan sin procesar con el timestamp original y los datos de auditoría. Esto preserva la cadena de custodia y sirve para el cumplimiento normativo y las necesidades forenses.
  • Múltiples políticas/reglas personalizadas para el acceso (permitir, limitar, denegar, etc.) pueden definirse, correlacionarse y aplicarse estrictamente para seguridad y cumplimiento.
  • El acceso de los usuarios a Seceon aiSIEM y aiXDR Portal (GUI) se controla a través de roles separados para limitar los privilegios por razones de seguridad y cumplimiento.
  • Las actividades de los usuarios se registran en Seceon aiSIEM y aiXDR para el cumplimiento y la auditoría integral.
  • Informes programados o bajo demanda para HIPAA, PCI-DSS, NIST, GDPR y otros requisitos reglamentarios.
  • Los informes de postura de seguridad con una vista gráfica de la tendencia histórica durante un período seleccionado brindan a la organización inmunidad adicional.
  • Los informes de investigación (Actividad de FTP, Actividad de SMTP, Informe de remediación) se suman a los requisitos de cumplimiento obligatorios para proporcionar a los organismos reguladores.

 

Informe de cumplimiento

Informe de cumplimiento

Informe de remediaciones para Compliance

Informe de remediaciones para Compliance

Protección de DNS

A través del análisis profundo de paquetes del tráfico de DNS, la solución de Seceon (aiXDR y aiSIEM) puede identificar abusos de protocolo y analizar cambios de comportamiento relacionados con DNS Tunneling. El Threat Intelligence de Seceon, que se alimenta de más de 70 fuentes, se utiliza de manera efectiva para identificar dominios y URL en blacklists. Además, la solución viene integrada con las API de muchos Firewalls para bloquear la comunicación con dominios en blacklists, comunicación de C&C, etc.

Aquí hay algunas características/funcionalidades que se combinan para formar la Protección DNS.

  • Protege la infraestructura de DNS identificando ataques de amplificación DDoS y ataques volumétricos en la infraestructura, y generando alertas.
  • Utiliza algoritmos para identificar ataques DDoS y comunicaciones C&C.
  • Identifica dominios sospechosos y detecta de forma proactiva los dominios generados mediante algoritmos DGA.
  • Realiza una inspección de tráfico DNS en tiempo real (inspección profunda de paquetes) para identificar amenazas.
  • Analiza las consultas y respuestas de DNS en tiempo real para obtener información, como un aumento en la cantidad de fallos.
  • Aprovecha Network Behavior Analytics para detectar cambios en los patrones de tráfico (como paquetes de DNS por segundo, flujos de DNS por segundo, etc.) que pueden conducir a amenazas persistentes avanzadas (APT)
Monitorización de Assets Cloud

Seceon es conocedor de la importancia de monitorizar los Assets Cloud para en la estrategia de ciberseguridad de una organización. Por lo tanto, se gana visibilidad a través de eventos, flows (a través de firewalls), Threat Intelligence, IDS/IPS y EDR. Por supuesto, todo lo anterior se combina en una interfaz de usuario unificada y con navegación fluida. Luego, se crean indicadores de amenazas para conexiones sospechosas, transferencias de datos (VMs en el Cloud y fuera de él), escaneo de puertos (horizontal y vertical), accesos inusuales, indicios de acciones de un troyano y otras muchas anomalías de comportamiento. Dependiendo de la naturaleza de los indicadores de amenaza y cómo se combinen, se pueden generar eventos personalizados.

Estos son algunos eventos de seguridad manejados por aiXDR y aiSIEM en servidores y aplicaciones Cloud:

  1. Compromised Credential.
  2. Brute-Force Attack.
  3. Blacklisted Site Access.
  4. SQL Injection.
  5. Potential Ransomware.
  6. Zero-Day Malware.
  7. DDoS Attacks.
  8. Trojan Activity.
  9. Cross-site Scripting.
  10. DNS Tunneling Attack.
Seceon Monitorización de Assets Cloud con aiSIEM y aiXDR

Monitorización de Assets Cloud

Solicitud de Información o Demo


  • Este campo es un campo de validación y debe quedar sin cambios.

Utilizamos cookies propias y de terceros para obtener datos estadísticos de la navegación de nuestros usuarios y mejorar nuestros servicios. Si acepta o continúa navegando, consideramos que acepta su uso. Puede obtener más información en el siguiente enlace. Más información

POLITICA DE COOKIES Dot Force S.L. utiliza cookies en sus sitios web para atender a nuestros visitantes de acuerdo con este aviso de cookies. Puede obtener más información sobre esto a continuación. Si no acepta el uso de estas cookies, desactívelas siguiendo las instrucciones más abajo en esta página o cambie la configuración de su navegador para que las cookies de este sitio web no puedan enviarse ni almacenarse en su dispositivo. Acerca de las cookies Una cookie de Internet es un pequeño archivo que se envía desde un sitio web y se almacena en la computadora, tableta o dispositivo móvil de un usuario cuando visita un sitio web. Suelen ser anónimos y se utilizan con fines de mantenimiento de registros, pero pueden contener información sobre su visita a un sitio web en particular, como el estado de inicio de sesión, la personalización y las preferencias publicitarias, etc. Las cookies tienen un tiempo de vida predefinido, después del cual no se podrán utilizar y se eliminarán automáticamente. Las cookies pueden ser cookies "persistentes" o de "sesión". El navegador almacenará una cookie persistente y seguirá siendo válida hasta la fecha de caducidad establecida, a menos que el usuario la elimine antes de la fecha de caducidad. Una cookie de sesión, por otro lado, caducará al final de la sesión del usuario cuando se cierre el navegador web. Algunas cookies extremadamente persistentes que pueden persistir después de la eliminación se denominan "Evercookies". Uso de cookies DotForce no utiliza Evercookies. Todas nuestras cookies caducan automáticamente, después de lo cual se eliminarán de su dispositivo. Nuestras cookies no contienen ninguna información que lo identifique personalmente, pero la información personal que almacenamos sobre usted puede ser vinculada, por nosotros, a la información almacenada y obtenida de las cookies. Podemos utilizar la información que obtenemos de su uso de nuestras cookies para los siguientes propósitos. - Para reconocer su computadora cuando visita nuestro sitio web; - Para mejorar la usabilidad del sitio web; - Para analizar el uso de nuestro sitio web; - En la administración de este sitio web; - Cookies de terceros Cuando utiliza nuestro sitio web, también puede recibir cookies de terceros. Nuestros proveedores de servicios pueden enviarle cookies. Pueden usar la información que obtienen de su uso de sus cookies: - Para rastrear su navegador a través de múltiples sitios web; - Para construir un perfil de su navegación web; - Para dirigir anuncios que puedan ser de su interés particular.   Desactivación y/o eliminación de cookies Los navegadores web permiten a los usuarios controlar o eliminar cualquiera o todas las cookies almacenadas en el navegador, esta funcionalidad es común en la mayoría de los navegadores. La mayoría de los navegadores le permiten negarse a aceptar cookies. Por ejemplo: en Internet Explorer puede rechazar todas las cookies haciendo clic en "Herramientas", "Opciones de Internet", "Privacidad" y seleccionando "Bloquear todas las cookies" con el selector deslizante en Firefox puede bloquear todas las cookies haciendo clic en "Herramientas", "Opciones" y desmarcando "Aceptar cookies de sitios" en el cuadro "Privacidad". Sin embargo, bloquear todas las cookies tendrá un impacto negativo en la usabilidad de muchos sitios web. Lista de Cookies Nuestros sitios web y servicios pueden utilizar cualquiera o todas las siguientes cookies: Nombre: _gid Propósito: Esta cookie es utilizada para Google Analytics Tipo: Persistente Duración: 3 Meses  Cookies pasadas y activas Si ha deshabilitado una o más cookies analíticas o de contenido, es posible que aún tengamos información recopilada de cookies que no hayan expirado antes de que se establezca su preferencia deshabilitada. Sin embargo, dejaremos de usar las cookies deshabilitadas para recopilar más información. Una vez que las cookies no caducadas hayan caducado, se eliminarán de su sistema.

Cerrar aviso