Obtener los beneficios del efecto de red de CrowdStrike requiere manejar grandes cantidades de datos, volúmenes y volúmenes.
De hecho, CrowdStrike almacena más de 15 petabytes de datos en la nube que utiliza para tomar decisiones sobre más de 1 billón de eventos de seguridad al día. En el panorama de amenazas actual, detener las infracciones y detectar ataques requiere recopilar la mayor cantidad posible de datos sobre las tácticas y herramientas de los atacantes y correlacionarlos y analizarlos para identificar los indicadores de ataque (IOA). Pero esa información debe organizarse.
Sin estructura, conectar los puntos entre los eventos de seguridad puede ser un proceso manual y engorroso. Para resolver este problema, la plataforma CrowdStrike Falcon® combina personas, procesos y tecnología que funcionan como uno solo: el poder del big data basado en la nube, la inteligencia artificial y el aprendizaje automático, enriquecido por la experiencia humana, para evitar que las amenazas se conviertan en infracciones.
Análisis de seguridad transformacional impulsado por la nube
Diseñamos e implementamos CrowdStrike Threat Graph ™ para almacenar, consultar y analizar eventos de seguridad relevantes. Threat Graph es una base de datos de gráficos escalable masivamente basada en la nube que permite a CrowdStrike visualizar y evaluar montañas de datos de eventos generados por los miles de puntos finales y cargas de trabajo en la nube protegidos por nuestra plataforma Falcon. Es a través de Threat Graph que Falcon obtiene su capacidad para identificar y detener los ataques en curso.
Los agentes de Falcon alimentan la telemetría de todas estas fuentes a Threat Graph, que la combina con la inteligencia de amenazas del equipo de Threat Intelligence de CrowdStrike y varios terceros. Dado que está en la nube, Threat Graph puede escalar para cumplir con los requisitos de los volúmenes de datos masivos con los que trata, lo que le permite procesar miles de millones de eventos cada día.
Ver es creer
La fuerza de este enfoque es la capacidad de ver lo que está ocurriendo y mapear las dependencias entre eventos. Los usuarios pueden ver y rastrear la ejecución del proceso en cualquier dispositivo, contenedor o carga de trabajo en su entorno. Este nivel de visibilidad permite a los equipos de seguridad identificar cualquier actividad sospechosa o anómala en el contexto completo de la máquina afectada.
Threat Graph utiliza ese conocimiento integral de la actividad para visualizar datos de eventos y permitir a los analistas encontrar inconsistencias e identificar posibles amenazas de seguridad en segundos. También puede proporcionar una ventana al pasado. Dado que el estado de cada punto final, carga de trabajo, contenedor y entorno se mantiene a lo largo del tiempo, la base de datos se puede aprovechar para rastrear eventos históricos. Por ejemplo, supongamos que hoy se descubre un ataque. En ese caso, sus raíces se pueden rastrear hacia atrás en el tiempo, lo que permite a los analistas realizar un análisis forense en profundidad de la situación independientemente de cuándo ocurrió el evento de seguridad. De esta manera, Threat Graph proporciona visibilidad de eventos pasados y en tiempo real.
Tan pronto como se escriben los datos en la base de datos, comienza el análisis automatizado. Se ejecutan varios métodos y algoritmos de detección simultáneamente con los datos, lo que proporciona resultados más rápidos. Estas detecciones adoptan muchas formas, desde el análisis de comportamiento y estático hasta la coincidencia de firmas con algoritmos de aprendizaje automático. Las capacidades de aprendizaje automático son vitales para identificar IoA. Estos indicadores se pueden considerar como las acciones que un actor de amenazas debe tomar para tener éxito. Cada nuevo IOA descubierto conduce a que se agreguen nuevas detecciones al proceso de análisis y aumenta la capacidad de Threat Graph para detectar rápida y automáticamente ataques similares. Para determinar qué es un IOA, Threat Graph aprovecha la información sobre el contexto, las relaciones y la secuencia de eventos de un posible ataque.
Los algoritmos de aprendizaje automático permiten que CrowdStrike examine no solo las características de un archivo, sino también su comportamiento y la secuencia de ejecución del código en el entorno del cliente. Con el modelo de datos gráficos, estos algoritmos pueden ayudar a descubrir relaciones entre eventos que no están directamente vinculados, pero que pueden representar evidencia de un ataque cuando se toman en conjunto.
El toque humano
Respaldar estas capacidades técnicas es el servicio de búsqueda de amenazas administrado de CrowdStrike.. A medida que el equipo de CrowdStrike cataloga indicadores de compromiso (IOC) e indicadores de ataques (IOA), cada uno de ellos se convierte en un nuevo disparador de amenazas que los cazadores de amenazas pueden utilizar para descubrir posibles ataques. Un disparador señala a los analistas a un sistema o área específica de la red para una mayor investigación cuando hay signos de actividad sospechosa. Threat Graph automatiza el descubrimiento de desencadenantes, lo que reduce la cantidad de tiempo que tomarían los equipos de seguridad internos para tomar determinaciones similares. Una vez que estos factores desencadenantes se presentan al equipo de caza administrado, pueden volver al Gráfico de amenazas para una mayor investigación. A diferencia de las bases de datos tradicionales, que son principalmente efectivas para responder preguntas predeterminadas en una escala de big data, las bases de datos de gráficos pueden manejar consultas ad hoc fácilmente para que las amenazas se puedan encontrar de manera más eficiente y rápida.
Antes de la creación de Threat Graph, un analista tendría que recopilar la telemetría del punto final, la carga de trabajo y el contenedor, agregar información de las fuentes de inteligencia de amenazas, escribir sus propias reglas de correlación y luego examinar los datos para determinar cómo los eventos podrían estar relacionados. Reemplazar ese lento y tedioso proceso con el análisis automatizado habilitado por Threat Graph permite a las organizaciones beneficiarse de un enfoque más sólido e inteligente de la ciberdefensa.
Obtenga más información sobre cómo puede beneficiarse de los análisis basados en la nube de CrowdStrike Security Cloud : obtenga el libro electrónico CrowdStrike Security Cloud ahora.
Comments