Adaptive Threat Detection

Tens punts cecs.
Els trobem.

No tots els atacants generen alertes. La Caça d'Amenaces Gestionada busca proactivament les amenaces que ja amenacen el teu entorn abans que causin danys.

Contacta amb nosaltres Línia d'incidents 24/7

Què és la Caça d'Amenaces Gestionada?

Les teves regles de detecció capturen amenaces conegudes. Però els atacants sofisticats operen per sota del radar. La Caça d'Amenaces Gestionada és la cerca proactiva d'aquestes amenaces: basada en hipòtesis, orientada per dades, impulsada per humans. Basant-se en intel·ligència d'amenaces i un profund coneixement de les tècniques d'atac, els caçadors formulen escenaris i busquen activament a les teves dades proves de compromís.

El Servei

Troba els atacants abans que trobin les teves dades

No totes les amenaces generen una alerta. Els atacants sofisticats operen per sota del llindar de les regles de detecció. La Caça d'Amenaces Gestionada és la cerca proactiva d'amenaces ja presents al teu entorn però encara no detectades.

Els caçadors d'amenaces treballen amb hipòtesis. Basant-se en intel·ligència d'amenaces, informes d'amenaces i coneixement de tècniques d'atac, formulen hipòtesis: i si un atacant ja ha obtingut accés mitjançant aquesta tècnica? A continuació, cerquen deliberadament a les dades proves que confirmin o refutin aquesta hipòtesi.

No és un procés automatitzat. La caça d'amenaces requereix creativitat humana, reconeixement de patrons i un profund coneixement del comportament dels atacants. Cada cacera produeix resultats valuosos fins i tot quan no es troba cap amenaça: millors regles de detecció, nous coneixements sobre el teu entorn o identificació de problemes d'higiene de seguretat.

El Problema

El que les regles de detecció no poden capturar

Les regles de detecció es basen en patrons coneguts. Els atacants avançats dissenyen específicament les seves tècniques per evadir aquests patrons.

Els actors d'amenaces persistents avançades usen tècniques de living-off-the-land que abusen d'eines legítimes. Generen poques o cap alerta a les regles SIEM estàndard.
El temps mitjà de permanència abans de la detecció es mesura en setmanes. Un atacant present durant mesos pot causar danys que superen àmpliament el cost de la caça proactiva.
La monitorització reactiva només et diu el que ja va passar. La caça d'amenaces et diu el que està passant ara mateix, fins i tot quan l'atacant ha estat curós de mantenir-se en silenci.

Abast

Què es caca

Caça basada en hipòtesis a partir d'intel·ligència d'amenaces

Escombrades d'Indicadors de Compromís (IoC)

Caça de comportament: cerca de comportament anòmal

Caça basada en TTP: cerca de tècniques MITRE ATT&CK

Anàlisi de dades històriques

Caça en dades d'endpoint, xarxa i cloud

Caça d'anomalies en identitat i accés privilegiat

Detecció de tècniques living-off-the-land

Metodologia

Com DEFION realitza la Caça d'Amenaces Gestionada

Formulació d'hipòtesis

A partir d'intel·ligència d'amenaces, incidents i perfil de risc es formulen hipòtesis de caça.

Exploració de dades

Consultes i anàlisis específiques sobre fonts de dades disponibles: telemetria d'endpoints, logs de xarxa, activitat cloud i identitat.

Anàlisi de patrons

Cerca d'anomalies, correlacions i TTPs coneguts en totes les fonts de dades integrades.

Validació

Avaluació de si les anomalies trobades són amenaces reals o activitat benigna que requereix documentació.

Millora de la detecció

Traducció dels resultats de la caça en noves regles de detecció per tal que la mateixa tècnica sigui detectada automàticament la propera vegada.

Informes i retroalimentació

Informe de caça amb hipòtesis, metodologia, resultats i intel·ligència d'amenaces actualitzada per al teu entorn.

Què Reps

Lliurables

Informes periòdics de caça amb hipòtesis, metodologia i resultats
Noves regles de detecció basades en els resultats de la caça
Escombrades d'IoC per a amenaces i campanyes rellevants
Major coneixement de l'entorn i documentació de línia base
Aportació per a intel·ligència d'amenaces i enginyeria de detecció
Escalada immediata quan es confirma una amenaça activa

Per a Qui

Quines organitzacions se'n beneficien més?

La Caça d'Amenaces Gestionada és més eficaç per a organitzacions que ja tenen detecció bàsica i volen anar més enllà del que les regles automatitzades poden trobar.

Organitzacions amb una operació de seguretat madura que volen ser proactives
Empreses en sectors amb alt perfil d'amenaça: financer, govern, infraestructura crítica
Organitzacions que volen reduir el risc de compromís no detectat
Empreses que necessiten demostrar els requisits NIS2 en torn a la detecció proactiva
Equips de TI que sospiten activitat inusual però no poden confirmar-la mitjançant alertes

Preguntes Freqüents

FAQ

Què és la Caça d'Amenaces Gestionada?

És la cerca proactiva d'amenaces ja presents al teu entorn que no han estat detectades per les regles automatitzades. Els caçadors treballen amb hipòtesis: basant-se en intel·ligència d'amenaces i coneixement de tècniques d'atac, formulen hipòtesis i busquen activament proves a les teves dades.

Amb quina freqüència es realitzen les caceres?

De forma contínua. La caça d'amenaces no és un exercici puntual sinó una activitat permanent. L'equip realitza caceres específiques setmanalment basant-se en informació d'amenaces actual.

Què passa si es troba alguna cosa?

Quan s'identifica una amenaça validada, s'activa immediatament el procés de resposta a incidents. S'informa l'equip d'operacions de seguretat i s'inicia la contenció. Se't informa sense demora.

En què es diferencia la caça d'amenaces de la detecció d'amenaces?

La detecció d'amenaces és reactiva: espera alertes. La caça d'amenaces és proactiva: busca activament amenaces que no generen alertes. Juntes formen una estratègia de detecció completa que cobreix tant amenaces conegudes com desconegudes.

És útil la caça d'amenaces per a organitzacions més petites?

Sí. Tota organització amb actius digitals i un perfil d'amenaça es beneficia de la caça d'amenaces. La intensitat i l'enfocament s'adapten a la teva mida i perfil de risc.

Detecció d'Amenaces Gestionada

Més informació →

XDR Gestionat

Més informació →

Validació de Controls de Seguretat

Més informació →