Las operaciones de Seguridad se han vuelto más comunes entre empresas de todo tipo que han identificado el impacto de las amenazas para su negocio, gracias a las soluciones SaaS, analítica y modelos MSSP flexibles y competitivos. Aún así, la posibilidad de tener de un solo vistazo un análisis situacional enfocado en el riesgo todavía es un deseable, las empresas y sus equipos de cyber requieren identificar ameneazas reales, riesgo medible y eso se hace posible por medio de la filosofía de Netenerich para Observar todo, Determinar que es lo que importa entendiendo lo que está pasando y actuar con un rápido contexto. Pasando de SOC – Operaciones de Seguridad al concepto de Operación Segura donde incluimos tanto operación Digital así como Operaciones de Seguridad.
3. La realidad de las operaciones de Seguridad
• 100 M de Eventos
• 1,2 K de Eventos de
Interés
• 1 K en Indicadores
de Compromiso
• Triage: 15 ¨ • 250 Horas/día
• 30 Personas aprox • 30 Amenazas • 97% Falsos P.
Números, Personas y Tiempo:
la matemática de los eventos
4. Operaciones de Seguridad Eficientes
• 100 M de Eventos
• 1,2 K de Eventos de
Interés
• 1 K en Indicadores
de Compromiso
• Triage: 10 ¨
• 3% Falsos P.
• 2 Personas
• 97 Amenazas
• Triage: 15 ¨
• 97% Falsos P.
Security Analytics:
5. Cómo se ha logrado la Eficiencia?
1,000,000,000s
Raw Logs
1,000,000s
Events
1000s
Anomalies
10,000s
Alarms
< 10
Threats
100s
Violations &
Violators
Log Management
• SIEM DB
• Datalake
Alerts
• Rules
• Policies
• IOC’s
ML & Behavior
Analysis
• Context
• Use Cases/ content
• Anomalies
• UEBA
• MITRE
• Kill Chain
Security
Analytics
• XDR
• SOAR
90
Critical exposure followed by
exploit and execution
7. Necesitamos mejorar las Operaciones de
Seguridad?
• Se limita el análisis de comportamiento
a la Identidad, sin tomar en cuenta el
criterio de “assets”
• Calificación del riesgo basado en el
contexto de “amenaza”
• El análisis de las operaciónes Digitales sigue siendo un
SILO aislado y no correlacionado con situaciones de interés
y de riesgo para el negocio
• El Riesgo no está alineado con el Impacto para el negocio
• Alta incertidumbre ante lo “desconocido”
Normalize
➟Super
Enrichment
➟Index ➟User/Entity
Attribution
➟Baseline ➟Anomaly
Detection
➟ML-Based
Analytics &
Policy Rules
➟Violations
Violators
➟Threat
Models
➟Threats
➤ Detection based in ”threat models”
Normalize
➟Super
Enrichment
➟Index ➟User/Entity
Attribution
➟Baseline ➟Anomaly
Detection
➟ML-Based
Analytics &
Policy Rules
➟Violations
Violators
➟Threat
Models
➟Threats
➤ Detection based in ”threat models”
8. Como pasar de Security Operations a Secure
Operations
• Observe Everything
• Determine what matters
• Understand What’s happening
• Act with Fast context
Security IT OPS
9. El enfoque actual Vs Netenrich
Security Operations:
SOC + SIEM SOAR XDR
Secure Operations:
SECURITY & DIGITAL OPERATIONS
“Next gen”…How it helps:
• Advanced threat detection
• Threat Hunting
• Automated Response
• Compliance
Added Value:
• Reduce Detection and response Times
• Reduce False Positive
Netenrich:
All of this + High Efficiency:
• Focus on business Risk…availability is also important!
• Eliminates siloed views/process/analytics: “holistic approach”
• Focus on what is relevant
• Increased false positives reduction
• High Efficacy looking for the “unknown”
• CSMA approach
10. Cómo funciona Resolution Intelligence Cloud?
Correlation
Anomaly Detection
ML
Impact
Risk
+ more
Runs
real-time
analytics
Ingests all
telemetry data
Security
Telemetry
+
IT Operations
Cloud
Applications
Database
Network
OS
Virtualization
Storage
ITSM
SSO
3rd Party events
Classifies &
normalizes
data
Automates
&
Reduces
noise
Provides
• Comprehensive visibility
• Faster resolution
• Lower workloads
• …Across all tenants
Context & ActOns
Situational Awareness
Dashboards
Integration with resolution
workflows
SNOW, Jira, Chronicle
SOAR, etc.