El control del ingreso de amenazas es el primer nivel a abordar para su control. En esta fase, la protección del tráfico de navegación, de correo electrónico y de DNS; son tres aspectos clave a cubrir.
Las tecnologías de Next Generation Firewall, DNS Protection y Email Gateway Security permiten identificar y prevenir amenazas (malware, C&C e intentos de explotación) provenientes de estos tres vectores habitualmente utilizados por los atacantes.
Las múltiples técnicas utilizadas por los ciber atacantes les permite evadir los controles de ingreso y así acceder a la red. Una vez dentro de la red de la organización, se mueven dentro de ella y ejecutan acciones de enumeración, explotación de vulnerabilidades, escalamiento de privilegios y movimiento lateral.
Para controlar estas tácticas, las tecnologías de Endpoint Detection and Response (EDR), Network Detection and Response (NDR) y User and Entity Behavior Analytics (UEBA), proveen una capa de controles de alta efectividad.
Bajo el contexto de las plataformas modernas de XDR y NG SIEM, correlacionan e integran múltiples indicadores, entregando una capacidad de detección de alto performance.
La respuesta es una fase crítica, dónde los errores tienen un impacto alto y la velocidad es clave. Esto requiere de la definición previa de playbooks de respuesta, de sistemas automatizados para la ejecución de acciones de investigación y respuesta, y de sistemas que permitan la orquestación de los equipos de respuesta y los sistemas involucrados.
Las tecnologías de SOAR proveen estas capacidades de automatizar diversos procesos (triage, investigación, respuesta, hunting, etc.) y orquestar a los equipos involucrados en estos procesos de alta exigencia.
