[18/06/2024] Sysdig anunció investigaciones nativas de la nube mejoradas diseñadas para reducir el tiempo de análisis de incidentes a cinco minutos. Según lo señalado en el comunicado de prensa, esta aceleración es posible gracias a la automatización de la recopilación y correlación de eventos, posturas y vulnerabilidades con las identidades, incluso para los ataques en la nube más complejos.
"Cuando se produce un ataque en menos de 10 minutos en la nube, las investigaciones deben avanzar rápidamente. La investigación en la nube en tiempo real de Sysdig devuelve a las organizaciones un tiempo precioso, reduce sus brechas de habilidades y otorga a los equipos de seguridad y plataforma la capacidad de tomar decisiones más rápidas y mejor informadas”, señaló Jamie Butler, jefe de Protección en Tiempo de Ejecución y Estrategia de Respuesta de Sysdig.
La nube es diferente, más rápida, más compleja y más dinámica que los entornos locales, con una superficie de ataque cada vez mayor atribuible a la IA y a las cadenas de suministro en la nube que cambian rápidamente. "Las organizaciones tienen solo cinco minutos para investigar los incidentes en la nube. Las soluciones heredadas de detección y respuesta de endpoints (EDR)/detección y respuesta extendidas (XDR) y las plataformas de gestión de eventos e información de seguridad (SIEM) carecen de un contexto crucial en la nube, lo que ralentiza las investigaciones y limita su alcance. Además, es posible que las consultas SIEM ni siquiera arrojen resultados antes de que un atacante tenga las llaves del castillo. Para detectar, investigar y responder de manera efectiva en la nube, los equipos deben ser capaces de monitorear y analizar la nube y registrar eventos en tiempo real, capacidades que solo les brinda una solución verdaderamente nativa de la nube. Sysdig simplifica las investigaciones y, por lo tanto, limita el radio de explosión para los equipos que históricamente se han encargado de correlacionar, contextualizar y evaluar amenazas en fuentes de datos fragmentadas de dominios dispares y complejos”, anotó el ejecutivo.
Las novedades anunciadas son:
- Visualización de la cadena de ataque: Al visualizar un incidente determinado en el gráfico de ataque a la nube de Sysdig, Butler indicó que los analistas de seguridad obtienen una visión dinámica de las relaciones entre los recursos para una mejor comprensión de la cadena de eliminación y el posible movimiento lateral en un entorno de nube. "Las superposiciones de detecciones, vulnerabilidades y configuraciones incorrectas ayudan a los respondedores a discernir dónde puede haberse originado una amenaza y cómo un actor de amenazas pudo perpetuar un ataque”.
- Correlación de identidades en tiempo real: Al correlacionar automáticamente los eventos de la nube y la carga de trabajo con las identidades, el ejecutivo comentó que Sysdig ha desbloqueado una forma más poderosa de mejorar el monitoreo en tiempo real para un contexto completo del incidente. "La correlación automática entre los eventos en la nube y las identidades con reconocimiento de ubicación resalta los inicios de sesión inusuales, los escenarios de viaje imposibles y las direcciones de Protocolo de Internet (IP) maliciosas. Los usuarios obtienen una comprensión más clara de lo que los actores de amenazas están haciendo en su infraestructura, así como de cómo tienen y pueden aprovechar las políticas, los permisos y los roles asociados para avanzar en un ataque”.
- Optimización del flujo de trabajo de investigación: Al centralizar, enriquecer y correlacionar las identidades con los eventos, los equipos de seguridad y plataforma pueden romper los silos y compartir fácilmente los hallazgos para acelerar las investigaciones, mejorar los controles preventivos y brindar orientación prescriptiva para las acciones de respuesta.
"Cuando se trata de superar los ataques en la nube, cualquier cosa que no sea la detección en tiempo real y la correlación automatizada en múltiples dominios pone a las organizaciones en una grave desventaja. La investigación nativa de la nube mejorada permite a las empresas evaluar rápidamente las amenazas en tiempo real, explorar fácilmente las narrativas de ataque basadas en el contexto profundo y responder con precisión a la velocidad de la nube", finalizó Butler.
Franca Cavassa, CTOPerú