Por: Dustin Duran, gerente principal de investigación en Microsoft Defender ATP.
Microsoft Threat Experts es el servicio administrado de búsqueda de amenazas dentro de Microsoft Defender Advanced Threat Protection (ATP) que incluye dos capacidades: notificaciones de ataques dirigidos y expertos bajo demanda.
En esta ocasión estamos por demás emocionados por compartir que expertos bajo demanda está ahora disponible a nivel general y brinda a los clientes acceso directo a analistas de amenazas de la vida real de Microsoft para ayudar con sus investigaciones de seguridad.
Con expertos bajo demanda, los clientes de Microsoft Defender ATP pueden interactuar de manera directa con analistas de seguridad de Microsoft para obtener los consejos y la información de valor necesarios para entender, prevenir y responder mejor a complejas amenazas en sus entornos. Esta capacidad se formó a través de asociaciones con múltiples clientes en varios mercados verticales al investigar y ayudar a mitigar ataques del mundo real. Desde la investigación profunda de máquinas por las que los clientes tenían problemas de seguridad, a preguntas de inteligencia amenazas relacionadas con adversarios anticipados, expertos bajo demanda extiende y apoya a los equipos de operaciones en seguridad.
La otra capacidad de Microsoft Threat Experts, notificaciones de ataques dirigidos, entrega alertas que están ajustadas a las organizaciones y brinda tanta información como sea posible entregar de manera rápida para llamar la atención sobre amenazas críticas en su red, incluida línea de tiempo, alcance de la brecha, y los métodos de intrusión. En conjunto, las dos capacidades hacen de Microsoft Threat Experts una solución integral administrada de búsqueda de amenazas que brinda una capa adicional de experiencia y óptica para los equipos de operaciones de seguridad.
Expertos en el caso
Por diseño, el servicio Microsoft Threat Experts tiene tantos casos de uso como hay organizaciones únicas con escenarios y requerimientos de seguridad únicos también. Un caso en particular mostró cómo una alerta en Microsoft Defender ATP llevó a una respuesta informada por parte del cliente, respaldad por una notificación de ataque dirigido que progresó en una consulta para expertos bajo demanda, y resultó en la completa remediación del incidente por parte del cliente y una mejora en su postura de seguridad.
En este caso, las capacidades de protección de extremo de Microsoft Defender ATP reconocieron un nuevo archivo malicioso en una máquina dentro de una organización. El centro de operaciones de seguridad (SOC, por sus siglas en inglés) de la organización investigó la alerta de manera rápida y desarrolló la sospecha que podría indicar una nueva campaña de un adversario avanzado dirigida en específico a ellos.
Microsoft Threat Experts, que de manera constante buscan a nombre de este cliente, había detectado de manera independiente e investigó los comportamientos maliciosos asociados con el ataque. Con el conocimiento de los adversarios detrás del ataque y sus motivos, Microsoft Threat Experts envió a la organización una notificación a la medida de ataque dirigido, la cual brindó información y contexto adicionales, incluido el hecho de que el archivo estaba relacionado con una aplicación que había sido blanco de un ataque cibernético documentado.
Para crear una ruta informada de manera completa para su mitigación, los expertos apuntaron a la información sobre el alcance de la afectación, indicadores relevantes de afectación, y una línea de tiempo de eventos observados, que mostraron que el archivo se ejecutó en la máquina infectada y procedió a soltar archivos adicionales. Uno de esos archivos intentó conectarse a un servidor de comando y control, lo que habría dado a los atacantes acceso directo a la red y a los datos sensibles de la organización. Microsoft Threat Experts recomendó una investigación completa de la máquina afectada, así como para el resto de la red para indicadores relacionados con el ataque.
Basada en la notificación de ataque dirigido, la organización abrió una investigación por parte de expertos bajo demanda, la cual permitió al SOC tener una línea de comunicación y consulta con Microsoft Threat Experts. El equipo de MTE pudo confirmar de inmediato la atribución del atacante que el SOC sospechaba. A través de las óptimas capacidades y óptica de Microsoft Defender ATP, junto con la inteligencia sobre el autor de la amenaza, expertos bajo demanda validó que no hubiera señales de un malware en una segunda etapa o una afectación posterior dentro de la organización. Dado que, con el tiempo, Microsoft Threat Experts ha desarrollado un entendimiento de la postura de seguridad de esta organización, pudieron compartir que la infección inicial de malware fue resultado de un débil control de seguridad: permitir a los usuarios ejercer un privilegio de administrador local sin restricciones.
Expertos bajo demanda en el clima actual de seguridad cibernética
De manera diaria, las organizaciones tienen que defenderse de la gran cantidad de ataques cada vez más sofisticados que presentan desafíos únicos de seguridad: ataques a cadena de suministro, campañas muy específicas, ataques tipo hands-on-keyboard. Con Microsoft Threat Experts, los clientes pueden trabajar con Microsoft para aumentar sus capacidades de operaciones de seguridad e incrementar la confianza en la investigación y respuesta a incidentes de seguridad.
Ahora que expertos bajo demanda está disponible de manera general, los clientes de Microsoft Defender ATP tienen una manera aún más rica de aprovechar a los expertos en seguridad de Microsoft y obtener acceso a las habilidades, la experiencia e inteligencia necesarias para hacer frente a los adversarios.
Expertos bajo demanda brinda información de valor sobre ataques, guía técnica sobre siguientes pasos, y consejos sobre riesgo y protección. Los expertos pueden ser contactados de manera directa desde Microsoft Defender Security Center, para que sean parte de una experiencia existente de operaciones de seguridad:
Estamos felices de llevar a expertos bajo demanda al alcance de todos los clientes Microsoft Defender ATP. Comiencen hoy su prueba gratuita de 90 días a través de Microsoft Defender Security Center.
Conozcan más sobre el servicio administrado de búsqueda de amenazas de Microsoft Defender ATP aquí: Anunciamos Microsoft Threat Experts (en inglés).