ThreatQuotient ha anunciado ThreatQ TDR Orchestrator, una nueva función de automatización basada en datos para una detección y respuesta ante amenazas más eficiente y eficaz. Esta función permite a los usuarios controlar qué acciones deben realizarse, cuándo y por qué mediante el uso de datos.
“El enfoque de la industria de la seguridad hacia la automatización ha pasado por alto las necesidades tan diferentes de los casos de uso de detección y respuesta”, afirma Eutimio Fernández, director de ThreatQuotient España. “El enfoque de ThreatQ TDR Orchestrator son los datos, no el proceso. En la detección y la respuesta, lo que se aprende al realizar una acción es mucho más importante que la propia acción. ThreatQuotient ha aprovechado la oportunidad para definir y proporcionar la automatización de una manera que reduce la complejidad para los equipos de seguridad”.
Con la escasez de personal de seguridad, la automatización se ha convertido en una estrategia clave para descargar las tareas repetitivas y capacitar a los humanos para llevar a cabo tareas de operaciones de seguridad avanzadas de forma más eficiente. Hasta la fecha, la automatización se ha considerado como la definición de un proceso y los pasos necesarios para completarlo. Este enfoque ignora el hecho de que la automatización es mucho más que la simple ejecución del proceso. Hay tres etapas importantes de la automatización que hay que definir y abordar:
1. Iniciación – Definir qué acciones deben realizarse y cuándo deben producirse.
2. Ejecución – Llevar a cabo el curso de acción o el proceso definido hasta su finalización
3. Aprendizaje – Registrar lo aprendido para analizarlo y mejorar la respuesta futura
ThreatQ TDR Orchestrator pone la “inteligencia” en la plataforma y no en los playbooks individuales mediante el uso de Smart Collections y playbooks basados en datos. La aplicación de Smart Collections y playbooks basados en datos permite una configuración y un mantenimiento más sencillos, y proporciona un resultado de automatización más eficiente. Este enfoque aborda además las tres etapas de la automatización -Iniciar, Ejecutar y Aprender- de manera fácil y eficiente al permitir a los usuarios sanear y priorizar los datos por adelantado, automatizar solo cuando sea relevante y simplificar las acciones realizadas. Puede utilizarse para complementar otras capacidades de playbook a través de los socios del ecosistema del proveedor o los usuarios pueden definir los playbooks basados en datos dentro de la plataforma ThreatQ. Para mejorar la “inteligencia” de la plataforma, también capturará lo aprendido para mejorar el análisis de datos, lo que a su vez mejora la fase de iniciación de la automatización.
Los casos de uso de ThreatQ TDR Orchestrator incluyen, entre otros, la automatización de lo siguiente:
•Cazar amenazas clave a medida que se conoce una nueva inteligencia y registrar los resultados
•Desplegar contenidos de bloqueo y detección en los dispositivos EDR (Endpoint Detection and Response) y de red
•Enriquecer la inteligencia de amenazas que cumple con criterios complejos, incluyendo las relaciones
•Asignar a un usuario la tarea de parchear una vulnerabilidad de alta prioridad que se está utilizando en campañas relevantes