Seceon, Plataforma de gestión del SOC

Seceon Open Threat Managment Platform (OTM)

La plataforma OTM de Seceon aprovecha al máximo la información y la inteligencia disponibles de los distintos activos digitales de la organización. Esta tarea está guiada por análisis de comportamiento basado en Machine Learning y toma de decisiones mediante IA. El objetivo es detectar y eliminar las amenazas de ciberseguridad que son una amenaza para la organización, de manera proactiva y segura.

Trabajar con soluciones de ciberseguridad aisladas tiene varios inconvenientes:

• Redundancia significativa de amenazas y alertas que causan alert fatigue.
• Datos obtenidos de una única fuente, lo que impide verificar el riesgo de las amenazas a la vez que demora la detección de falsos positivos.
• Problemas operativos con paneles dispares de varias herramientas y plataformas.
• Alto coste de integración, soporte y mantenimiento.

La plataforma OTM de Seceon para la gestión del SOC viene a resolver estos inconvenientes, sirviendo de soporte para las 3 soluciones de Seceon:

aiSIEM™

Plataforma de gestión del SOC con SIEM avanzado con IA

Seceon aiSIEM™ detecta y neutraliza amenazas conocidas y desconocidas en sus activos digitales (on-premise, cloud o remotos) antes de que se conviertan en incidentes importantes. Para ello, aiSIEM™ utiliza su visibilidad integral de las ciberamenazas, los exploits y los ataques dirigidos a los activos IT de las organizaciones, al tiempo que asegura el cumplimiento regulatorio de forma continua.

aiSIEM™ reúne una lista fiable de indicadores de amenazas, eventos correlacionados, Netflows y tráfico de red (NTA, NBAD, IDS y NDR), enriquecidos con Threat Intelligence, anomalías de comportamiento (UEBA), contexto histórico, resultados de análisis de vulnerabilidades y otros datos de aplicaciones de terceros para obtener alertas correlacionadas y altamente efectivas para evitar la alert fatigue y ofrecer una oportuna respuesta rápida, bien de forma semiautomatizada o bien completamente automatizada mediante el SOAR integrado.

aiXDR™

Plataforma eXtendida con vigilancia en el endpoint

aiXDR™ es la solución más completa de Seceon. A todo lo incluido en aiSIEM™, aiXDR™ incluye el EDR para Windows, Linux y macOS, tanto online como offline. La solución EDR cuenta además con telemetría, monitorización de la actividad de red (IP, adaptadores) y resumen de actividad basado en eventos relacionados con archivos, procesos, sockets, scripts de shell y la red.

Con Seceon aiXDR™ se obtiene una comprensión rápida y fiable del comportamiento de los usuarios de la organización, mejorando el tiempo y la fiabilidad de las detecciones de inicios de sesión maliciosos, acceso indebido a documentos sensibles, ataques de fuerza bruta y muchos otros tipos de amenaza.

aiMSSP™

La plataforma multi-tenant de gestión del SOC

Seceon aiMSSP™ combina la Dashboard de gestión del SOC con la solución de ciberseguridad en profundidad de defensa deseada, aiSIEM™ o aiXDR™. aiMSSP™ está perfeccionada para la detección y corrección automática de amenazas de forma semi-automatizada y totalmente automatizada. De nuevo, la toma de decisiones se realiza con IA tras analizar un amplio contexto. Esto la convierte en la plataforma de detección y respuesta gestionada más versátil del mercado para MSSP.

Casos de uso de la Plataforma de gestión del SOC de Seceon

Malware

Las tácticas y técnicas de malware han evolucionado para evitar ser detectados por los métodos tradicionales como herramientas de mantenimiento del sistema o controles de seguridad (whitelists/blacklists). Se utilizan métodos sofisticados (incluidos ML e AI) para superar las técnicas de detección avanzadas, evitando las reglas estáticas.

Por ello, las soluciones de Seceon (tanto aiSIEM como aiXDR) se basan principalmente en los patrones de comportamiento de usuarios y entidades al analizar procesos sospechosos, cambios en archivos, conexiones, escaneos, etc. Y todo ello mientras se mantienen conectadas al mundo externo de Cyber ​​Threat Intelligence. Este modo de mantenerse alerta, con la ayuda de ML e AI, permite a aiXDR y a aiSIEM la capacidad de detectar amenazas Zero-day, ransomware y otras variantes de malware con alta fiabilidad.

En la imagen “Indicadores de Malware”, se pueden ver algunos de los indicadores, que están detallados en el desplegable que hay a continuación:

Ransomware

La detección de ransomware requiere un alto grado de fiabilidad en el análisis de comportamiento y el modelado de amenazas para detectarlo en todas las etapas de su propagación. Las herramientas tradicionales de detección de amenazas dependen en gran medida del analista de seguridad para discernir actividades inusuales y crear reglas de correlación para unir indicadores. En marcado contraste, aiSIEM/aiXDR de Seceon se apoya en el Machine Learning para el análisis de comportamiento y la inteligencia artificial para correlacionar indicadores impulsados ​​por modelos dinámicos de amenazas integrados. Cuando estos indicadores se alinean con cierto grado de confianza, el algoritmo genera una alerta para que el analista actúe.

Escenarios de detección de Ransomware con Seceon aiSIEM y aiXDR

Detección en el host
El payload del ransomware intenta llegar al endpoint de destino. En el caso de un ataque de phishing de correo electrónico, aiSIEM/aiXDR entra rápidamente en acción, correlacionando los registros del servidor de correo electrónico con las actividades del endpoint para encontrar rastros de procesos inusuales o sospechosos generados en el endpoint.

Detección en la conexión del host con C&C
El malware intenta establecer una conexión con el Centro de Comando y Control (C&C) desde el endpoint infectado. Potencialmente podría generar un nuevo dominio e intentar conectarse. Durante esta etapa, la plataforma aiSIEM/aiXDR de Seceon interviene para detectar los nombres de dominio generados automáticamente y correlacionar esa información con otros indicadores de amenazas para generar una alerta.

Detección de movimiento lateral
Una vez que ha infectado un endpoint, el malware podría realizar un análisis de la red con el fin de identificar objetivos potenciales antes de propagarse a otros endpoints/servidores. Seceon aiSIEM/aiXDR puede detectar esta actividad rápidamente y correlacionarla con eventos contextuales para generar una alerta de “Potential Malware Infected Host”, seguida de la cuarentena del host infectado. (Ver imagen adyacente con el flujo de la actividad)

Ataques de Fuerza Bruta

Es crucial que una solución emplee Zero-Trust y tenga conciencia contextual y realice análisis de comportamiento para identificar ciberataques. Seceon tiene en cuenta la ubicación geográfica, la dirección IP, la hora del día, el dispositivo, la frecuencia de inicio de sesión y las infracciones de políticas, junto con el posible comportamiento anómalo del usuario mediante Machine Learning.

Escenarios adicionales de ataques de fuerza bruta rastreados y detectados por la solución de Seceon (tanto aiSIEM como aiXDR):

• Gran cantidad de inicios de sesión fallidos desde direcciones IP únicas o múltiples, internas o externas, contra un nombre de usuario único o múltiple.
• Inicios de sesión fallidos desde nuevas ubicaciones geográficas o nuevo dispositivo de usuario.
• Gran número de bloqueos de cuentas.
• Ataque de fuerza bruta con spraying de contraseñas para violar cuentas con una contraseña débil.

Seceon va un paso más allá y determina si el atacante ha conseguido violar la cuenta. Más allá de generar alertas, la solución ayuda a evitar que los ataques tengan éxito, comunicándose con los firewalls para bloquear las direcciones IP desde donde se originan los ataques o deshabilitando al usuario desde el controlador de dominio.

Personal de la organización

El personal de una organización también puede convertirse en una amenaza, por descuido o imprudencia, o incluso de forma deliberada.

Seceon aborda la detección de amenazas internas a través de User Entity Behavior Analytics (UEBA) que se basa en algoritmos de aprendizaje automático para identificar diversas tácticas y técnicas utilizadas por los perpetradores.

El indicador “Compromised Credential” es una clara evidencia de que una persona con información privilegiada intenta obtener acceso a información de la que, potencialmente, podría hacer mal uso. Como se muestra en la imagen “Alerta de Amenaza Interna”, se descubrió que un usuario en particular estaba iniciando sesión en un host inesperado.

La filtración de datos también es otra actividad que puede realizar un usuario interno, que es identificada con el indicador “Data Exfiltration”. En este caso, puede haber indicadores de una mayor comunicación con un host sospechoso.

Brechas de seguridad

La detección “Data Breach” se realiza con un amplio conjunto de datos: uso de archivos, actividad del usuario y tráfico de red (aplicaciones y servidores) entre otros. Además, el Threat Intelligence y el escaneo de vulnerabilidades juegan un papel importante enriqueciendo la investigación, particularmente cuando están involucrados perpetradores externos.

Con esos datos, Seceon aplica Machine Learning para crear un perfil de referencia y determinar la fiabilidad de las detecciones con alta fiabilidad. Las actividades sospechosas que conducen a una infracción, como el escaneo de puertos, se pueden correlacionar casi en tiempo real. De esta manera, se minimizan el alcance y el impacto del ciberataque, salvando a las organizaciones de importantes pérdidas económicas y de reputación.

Las imágenes de la derecha muestran una alerta con un host involucrado en una exfiltración de datos, con datos detallados sobre la aplicación, el host de origen y el de destino, y los datos de la comunicación entre ambos.

Exploits de Vulnerabilidades

Dado que las vulnerabilidades proliferan en todo el entorno IT, los exploits deben detectarse a través de diversas actividades con una sólida comprensión de las tácticas y técnicas del atacante. Seceon analiza varios indicadores de amenazas para determinar si los indicadores “Vulnerability Exploit” o “Web Exploit” deben marcarse como una alerta “crítica” o al menos “major” (importante).

Seceon dispone de dos indicadores que alertan de una posible explotación de vulnerabilidad. “Vulnerability Exploit” generalmente implica que un malware está realizando un escaneo de IP o un solo puerto en la red, en un intento de encontrar servidores con un puerto abierto en particular para, posteriormente, conectarse al servidor IRC en dominio público. Por otro lado, “Web Exploit” generalmente involucra un sitio en la blacklist que intenta obtener demasiada información a través de una URL manipulada.

Las capturas de pantalla (“Alerta de Exploit de Vulnerabilidad” y “Detalle de Alerta de Exploit de Vulnerabilidad”) muestran un endpoint en particular que realiza un análisis exhaustivo de la red, así como indicadores detallados de amenazas subyacentes: escaneo de puertos, acceso prohibido a aplicaciones, datos salientes inusuales, descarga y carga de datos. Todos estos indicadores son generados automáticamente por la plataforma OTM de Seceon utilizando ML e IA.

Seguridad de Aplicaciones Web

Las Aplicaciones Web continúan representando un importante riesgo de ciberseguridad para las organizaciones. Por ello, la solución de Seceon (tanto aiSIEM como aiXDR) es capaz de detectar varios indicadores de vectores de ataque categorizados como tipo de evento “Web Exploits”.

Estos son algunos de los ataques detectados:

• Cross-Site Scripting (XSS).
• Inyección SQL.
• Ejecución remota de archivo.
• Inclusión de archivos maliciosos en el servidor web.
• Directory Traversal.

Compliance

El cumplimiento se observa en diferentes áreas de los productos aiSIEM y aiXDR de Seceon.

• Los logs se almacenan sin procesar con el timestamp original y los datos de auditoría. Esto preserva la cadena de custodia y sirve para el cumplimiento normativo y las necesidades forenses.
• Múltiples políticas/reglas personalizadas para el acceso (permitir, limitar, denegar, etc.) pueden definirse, correlacionarse y aplicarse estrictamente para seguridad y cumplimiento.
• El acceso de los usuarios a Seceon aiSIEM y aiXDR Portal (GUI) se controla a través de roles separados para limitar los privilegios por razones de seguridad y cumplimiento.
• Las actividades de los usuarios se registran en Seceon aiSIEM y aiXDR para el cumplimiento y la auditoría integral.
• Informes programados o bajo demanda para HIPAA, PCI-DSS, NIST, GDPR y otros requisitos reglamentarios.
• Los informes de postura de seguridad con una vista gráfica de la tendencia histórica durante un período seleccionado brindan a la organización inmunidad adicional.
• Los informes de investigación (Actividad de FTP, Actividad de SMTP, Informe de remediación) se suman a los requisitos de cumplimiento obligatorios para proporcionar a los organismos reguladores.

Protección de DNS

A través del análisis profundo de paquetes del tráfico de DNS, la solución de Seceon (aiXDR y aiSIEM) puede identificar abusos de protocolo y analizar cambios de comportamiento relacionados con DNS Tunneling. El Threat Intelligence de Seceon, que se alimenta de más de 70 fuentes, se utiliza de manera efectiva para identificar dominios y URL en blacklists. Además, la solución viene integrada con las API de muchos Firewalls para bloquear la comunicación con dominios en blacklists, comunicación de C&C, etc.

Aquí hay algunas características/funcionalidades que se combinan para formar la Protección DNS.

• Protege la infraestructura de DNS identificando ataques de amplificación DDoS y ataques volumétricos en la infraestructura, y generando alertas.
• Utiliza algoritmos para identificar ataques DDoS y comunicaciones C&C.
• Identifica dominios sospechosos y detecta de forma proactiva los dominios generados mediante algoritmos DGA.
• Realiza una inspección de tráfico DNS en tiempo real (inspección profunda de paquetes) para identificar amenazas.
• Analiza las consultas y respuestas de DNS en tiempo real para obtener información, como un aumento en la cantidad de fallos.
• Aprovecha Network Behavior Analytics para detectar cambios en los patrones de tráfico (como paquetes de DNS por segundo, flujos de DNS por segundo, etc.) que pueden conducir a amenazas persistentes avanzadas (APT)

Monitorización de Assets Cloud

Seceon es conocedor de la importancia de monitorizar los Assets Cloud para en la estrategia de ciberseguridad de una organización. Por lo tanto, se gana visibilidad a través de eventos, flows (a través de firewalls), Threat Intelligence, IDS/IPS y EDR. Por supuesto, todo lo anterior se combina en una interfaz de usuario unificada y con navegación fluida. Luego, se crean indicadores de amenazas para conexiones sospechosas, transferencias de datos (VMs en el Cloud y fuera de él), escaneo de puertos (horizontal y vertical), accesos inusuales, indicios de acciones de un troyano y otras muchas anomalías de comportamiento. Dependiendo de la naturaleza de los indicadores de amenaza y cómo se combinen, se pueden generar eventos personalizados.

Estos son algunos eventos de seguridad manejados por aiXDR y aiSIEM en servidores y aplicaciones Cloud:

1. Compromised Credential.
2. Brute-Force Attack.
3. Blacklisted Site Access.
4. SQL Injection.
5. Potential Ransomware.
6. Zero-Day Malware.
7. DDoS Attacks.
8. Trojan Activity.
9. Cross-site Scripting.
10. DNS Tunneling Attack.