Attraper les menaces en quelques minutes, pas en quelques jours avec OpenText MDR – Partie 2

Nous poursuivons la conversation avec Fabian Franco, directeur principal de Digital Forensic Incident Response (DFIR), Threat Hunting and Security Operations, OpenText, et Kevin Golas, Director of Worldwide Cyber ​​Security Services, OpenText alors qu'ils partagent leurs réflexions sur la façon dont les organisations peuvent bénéficier d'une solution gérée de détection et de réponse et améliorer leur réponse après une violation.

Q. Comment Managed Detection and Response (MDR) complète-t-il une solution Endpoint Detection and Response (EDR) ?

FF : Une Endpoint Detection and Response est un élément essentiel d'une Managed Service de détection et de réponse. L'EDR récupère la télémétrie des points de terminaison gérés et peut également ingérer le trafic réseau et DNS, ainsi que les points de données du système d'exploitation qui sont générés. Cela offre aux analystes de sécurité une visibilité étendue et permet l'exécution de l'automatisation sur ces ensembles de données. MDR apporte un élément humain dans l'équation. Il est toujours difficile pour l'apprentissage automatique et l'IA de toujours prédire chaque type d'attaque. Et s'il le pouvait, l'antivirus attraperait tout ce qui existe, ce qui n'est pas le cas. Lors de l'attaque Solar Windsc'est une équipe d'intervention en cas d'incident qui a initialement signalé que la violation se produisait, ce qui montre l'importance d'avoir des équipes expérimentées pour examiner les données. Le logiciel EDR peut générer de nombreux faux positifs, ce qui rend difficile l'identification des alertes exploitables. Tandis qu'un MDR fournit l'élément humain en construisant des règles adaptées au réseau du client pour le rendre plus efficace et efficient pour eux. OpenText MDR aide à automatiser de nombreux processus SOC de niveau 1 pour nos clients et inclut à la fois un EDR et un SIEM dans le cadre de la solution.

Q. Comment l'automatisation aide-t-elle à réduire la rotation du personnel et la fatigue des alertes ?

KG : Ce que nous constatons dans l'industrie est un taux de rotation élevé et une pénurie d'experts en sécurité. De nombreux analystes SOC sont constamment à la recherche de différents emplois et de nouvelles opportunités stimulantes qui les aideront à développer leurs compétences. Chez OpenText, nous avons un faible taux de rotation de 1% au sein de notre équipe MDR. En tant qu'équipe, nous n'examinons que les alertes tangibles, contrairement aux autres équipes qui passent des jours à exécuter des requêtes, à examiner les faux positifs et à les éliminer. Notre équipe est activement impliquée dans la chasse aux menaces et dans des activités de développement de compétences précieuses. Nous avons également l'avantage de travailler avec certains des meilleurs du secteur et d'apprendre les uns des autres. L'équipe est motivée chaque jour pour être à la recherche des derniers malwares. Ce type de travail est beaucoup plus gratifiant que de passer chaque jour à regarder un tableau de bord et à effacer les alertes au fur et à mesure qu'elles arrivent. Au lieu de cela, OpenText MDR automatise les activités d'analyste SOC de niveau 1 et recherche les menaces exploitables. Chaque jour, nous nous réveillons excités à l'idée de découvrir de nouvelles méthodes d'attaque. Nous essayons toujours de garder une longueur d'avance sur les criminels et d'atténuer les risques pour nos clients.

Q. Comment les organisations peuvent-elles améliorer leur réponse après une violation ?

FF : Une fois qu'une organisation sait qu'elle a été violée, son plan de réponse est essentiel pour minimiser les dommages. OpenText MDR fournit des services de réponse aux incidents et peut effectuer l'enquête complète au niveau médico-légal. Cela fait partie de nos mandats de réponse aux incidents médico-légaux numériques. C'est l'un de nos différenciateurs des autres fournisseurs de MDR, nous pouvons vous aider à comprendre clairement comment ils ont été infectés et à enquêter sur l'incident. Les équipes MDR devraient être en mesure de répondre à des questions importantes, notamment où les attaquants se sont déplacés dernièrement, quelles techniques de persistance sont utilisées et les données ont-elles été exfiltrées ? OpenText MDR fournit une image complète de ce qui s'est passé, et l'équipe sécurise le réseau, puis prend les mesures nécessaires pour remettre les clients dans un état de fonctionnement le plus rapidement possible. Nous excellons dans la gestion de l'ensemble du cycle de vie de l'enquête et l'avantage pour les clients réside dans l'expertise et les technologies disponibles en interne. De nombreuses équipes MDR entreront et demanderont aux clients de réimager les boîtes et de faire une solution rapide. Ils ne résolvent pas la vulnérabilité ou le trou dans leur réseau qui laisse entrer les acteurs de la menace. Les attaquants reviennent immédiatement et ils sont piratés en six mois. Il s'agit d'un cycle sans fin d'un correctif rapide, d'un piratage, d'un autre correctif rapide et d'un nouveau piratage. L'intérêt d'utiliser OpenText MDR pour aider à nettoyer votre environnement est qu'il améliore immédiatement la cyber-résilience et réduit le risque d'une attaque répétée. Lorsque les attaquants reviennent, ils essaient souvent de nouvelles techniques pour entrer à nouveau dans un environnement, et OpenText MDR peut empêcher cette activité de manière préventive. S'ils utilisent Cassia RMM comme l'un de leurs outils, OpenText MDR peut effectuer une chasse aux menaces pour analyser de manière proactive leur environnement et balayer l'ensemble du réseau à la recherche de tout signe de comportement anormal ou de malware malveillant dans leur environnement qui ne s'exécute pas activement.

KG : La Cybersecurity and Infrastructure Security Agency (CISA) recommande de rechercher des menaces après compromis. Je recommande également fortement aux organisations de faire une chasse aux menaces au moins une ou deux fois par an et suite à une violation. Les chasses aux menaces fournissent une validation tierce critique, que les outils et les flux de processus qui sont en place fonctionnent correctement et avec précision. Lorsqu'il s'agit d'une infection dormante, les organisations doivent être en mesure de la trouver et de la trouver rapidement. Effectuer une chasse aux menaces parallèlement à des tests d'intrusion réguliers fait partie d'un bon programme de cyber-hygiène et constitue l'un des meilleurs moyens de détecter les menaces inconnues dans votre environnement.

Pour plus d'informations sur la façon dont MDR peut détecter et répondre aux menaces en quelques minutes, visitez le site Détection et réponse gérées par OpenText.