Por Marcelo Solari – Gerente Unidad de Negocios Kibernum
Para herramientas automatizadas como SIEM (Security Information and Event Management), para mejorar su postura de seguridad y reducir el tiempo de respuesta, estas tienen que ser inteligentes, accionables e integradas. Estas herramientas necesitan encontrar e indicarle lo que es más importante para que su equipo destine más tiempo en las cuestiones más críticas y menos a entender y lo que es importante y lo que no es. La última versión de McAfee Enterprise Security Manager (ESM), v9.5, aumenta las capacidades de su equipo con una mayor supervisión en tiempo real, análisis automatizado del historial, operaciones simplificadas, y una mayor integración con la inteligencia de amenazas.
McAfee ESM 9.5 se vuelve más inteligente mediante la mejora de sus capacidades de monitoreo en tiempo real con un tablero de instrumentos de gestión de amenazas que puede recibir y comprender información sobre las amenazas maliciosas emergentes y sospechosas reportadas a través de STIX / TAXII, McAfee Advanced Threat Defense, y otras URLs. En lugar de tener que recopilar esta información manualmente, ahora usted puede revisar más rápido y fácilmente y gestionar la inteligencia de la amenaza cibernética con un simple vistazo desde un panel de control centralizado. McAfee Advanced Threat Defense (ATD) con funciones avanzadas de investigación e indicadores potenciales de ataque o comprometidos. ESM ahora con comunicaciones integradas y automatizadas con ATD, recibe la notificación de archivos dañados, pidiendo detalles adicionales, e incluyendo la información necesaria para las listas de vigilancia y alertas.
McAfee simplifica la implementación y seguimiento del riesgo en curso con cientos de reglas e informes externos, así como paquetes de contenido predefinidos que incluyen visitas, informes, listas de vigilancia, claves variables, y las reglas de alarma para casos de uso específicos. Los primeros 12 paquetes de contenido incluyen el monitoreo de las amenazas internas, la pérdida de datos, contenido de correo electrónico, actividades sospechosas, actividad maliciosa, malware, reconocimiento, filtro de web y la autenticación de Microsoft Windows. Utilizando la tabla de risk advisor, ahora usted puede obtener información instantánea sobre una amenaza, su gravedad, y el riesgo que presenta a través de una escala de riesgos que unifica el estado de vulnerabilidad, la criticidad de los activos, y la protección de contramedidas disponibles para la amenaza. Esta evaluación ayuda a priorizar los esfuerzos de seguridad y parches de acuerdo con el valor de un activo.
Quizás lo más importante es la capacidad de actuar automáticamente en esta inteligencia, en el futuro y el pasado. Cuando se informa de una nueva amenaza relevante, usted la añade a su lista de vigilancia para capturar eventos futuros o en los flujos con el hash o la dirección de IP. Pero, ¿qué hacer si su compañía fue atacada antes de la publicación de la amenaza? La característica de McAfee Backtrace busca evidencias de que su organización ya haya sido atacada, el análisis de la información histórica para ver si todas las máquinas ya están afectadas. Backtrace analizará la notificación de amenaza y revisará a través de los eventos existentes para ver si alguno de los elementos, como el hash, el nombre del archivo, o la dirección IP, coincide con los detalles del evento. Si se encuentra una coincidencia, se puede generar una alarma, y llevar a cabo una serie de eventos automatizados para mitigar rápidamente y contener el ataque.
La actividad criminal sofisticada tendrá mayor oportunidad de ataque ante una seguridad fragmentada. McAfee ESM y soluciones Integrated Security Connected permiten la amplia recolección de datos y la automatización de las primeras acciones de respuesta, ayudando a responder a los ataques de forma más rápida y eficiente.