Los empleados, contratistas, partners y usuarios privilegiados pueden todos convertirse en amenazas desde el interior. Son difíciles de detectar y tienen resultados devastadores si tienen éxito. La plataforma de ArcSight Intelligence fortalece los equipos de seguridad con visibilidad a lo largo de puestos finales, servidores, redes e incluso terabytes de datos de registro. ArcSight ofrece una imagen completa de las amenazas desde el interior, desde el back end hasta el puesto final.
Gracias al aprendizaje automático, ArcSight Intelligence crea una imagen holística de comportamientos normales. Cuando detecta anomalías o actividades de alto riesgo, conecta estos eventos a los usuarios implicados, aumenta su puntuación de riesgo (minimizando radicalmente las alertas de falsos positivos) y presenta el contexto del incidente en una interfaz clara, procesable e interactiva. ArcSight Intelligence detecta y hace surgir las amenazas internas al mismo tiempo que habilita a los equipos de seguridad para trabajar de forma más rápida y eficiente para mitigarlas.
Los ciberataques de hoy en día penetran de forma regular los perímetros más sofisticados y de mayor profundidad de defensa. Las empresas deben supervisar estas amenazas dentro de sus redes. Pero filtrar a través de ingentes cantidades de datos de eventos generalmente cosecha sobre todo falsos positivos. Construido en una plataforma auténtica de Big Data, ArcSight Intelligence ingiere y analiza cantidades masivas de datos para mostrar ataques rápidamente y con precisión.
ArcSight Intelligence detectará, conectará y visualizará una ruta de ataque: desde cuentas comprometidas a movimientos laterales, pasando por reconocimiento de datos, representación de datos y movimiento de datos para la filtración. Con este contexto, ArcSight Intelligence puede mostrar ataques con rapidez, tal y como se desarrollan. Un analista recibe de inmediato visualizaciones y flujos de trabajo para habilitar la validación, investigación y respuesta eficientes. Vea Intelligence en acción: solicite una demostración hoy mismo.
Muchos clientes implementan ArcSight Intelligence en un programa de seguridad centrado en los datos porque los análisis proporcionan puntuaciones de riesgo para los bienes digitales, incluyendo proyectos en repositorios, unidades compartidas, servidores, etc.
La plataforma aborda de forma única los problemas de visibilidad del back end al aplicar análisis de comportamiento a los registros de aplicación de repositorios IP, tales como la Gestión de Código Fuente (SCM). ArcSight Intelligence señala con precisión a las actividades de alto riesgo para que los analistas puedan parar los malos comportamientos antes de una vulneración.
Las soluciones de respuesta y detección del puesto final (EDR) proporcionan los datos más detallados y precisos para la detección de amenazas. Combinado con la capacidad de ArcSight Intelligence para analizar miles de millones de eventos de puesto final, los equipos de seguridad pueden detectar las señales de cuentas comprometidas, movimiento lateral, reconocimiento interno o filtración de datos, de forma rápida y efectiva. ArcSight Intelligence ilumina desde otro ángulo la información del usuario como la frecuencia de inicio de sesión anormal, la fecha u hora de trabajo, o equipos no usuales, añadiendo un valioso contexto para ayudar a detectar las amenazas difíciles de detectar.
Combine el análisis del comportamiento de ArcSight Intelligence con los datos dinámicos de los puestos finales de CrowdStrike para descubrir rápidamente amenazas difíciles de encontrar, como las que provienen de personas con información privilegiada o de ataques dirigidos. Esta solución permite a los centros de operaciones de seguridad responder de forma más ininterrumpida a las amenazas al destilar miles de millones de eventos de puesto final en una lista de pistas priorizadas, lo que reduce la fatiga de alerta y facilita centrarse en las amenazas que más importan.
Pese a que los hechos fundamentales en los centros de las operaciones de seguridad de hoy en día, los productos SIEM, DLP, IAM y NAC han creado brechas en la seguridad –demasiados falsos positivos y estructuras políticas terriblemente complicadas que reducen la capacidad de un centro de operaciones de seguridad para detectar, validar y responder con precisión a las amenazas. Los analistas pierden mucho tiempo intentando averiguar cuál es la amenaza de verdad. La plataforma de análisis avanzado de ArcSight Intelligence se creó para maximizar la efectividad de las herramientas de seguridad existentes y optimizar las operaciones de seguridad.
ArcSight Intelligence correlaciona los datos recopilados de herramientas de seguridad existentes, tales como la gestión de acceso e identidades, el acceso remoto, el proxy web y los sistemas de repositorio de código fuente, para proporcionar una vista de amplitud empresarial de las cuentas de usuarios y servicios, autenticación y acceso al sistema y los niveles de aplicación. La plataforma también presta conocimientos en el acceso y el movimiento de datos de alto riesgo, alimentando automáticamente los datos contextuales de vuelta hasta su SIEM o herramienta de respuesta ante incidentes. Y puede realizar llamadas API para activar los controles de TI en autenticación, DLP o sistemas NAC.
A causa del phishing, el malware o una vulneración de la seguridad informática puede encontrarse con cuentas comprometidas. Los atacantes roban credenciales de empleados y clientes para su lucro financiero, o para acceder a datos sensibles en otras aplicaciones y redes. Impulsado por un avanzado aprendizaje automático, la plataforma de ArcSight Intelligence utiliza cientos de algoritmos centrados en la detección de cuentas comprometidas entre cuentas de servicio y usuario. ArcSight Intelligence puede correlacionar indicadores de puestos finales, directorios, ACL y registros de aplicaciones de múltiples colaboraciones de código múltiple y programas de software de control de versión. Esto cubre todos los tipos de ataques centrados en cuentas.
La expansiva visibilidad de ArcSight Intelligence fortalece los equipos de seguridad para detectar compromisos en cuentas, conectando tales ataques a los IOC relacionados. En otras palabras, no solamente muestra de forma rápida y precisa las amenazas, sino que va un paso más allá para proporcionar la información contextual subyacente de un ataque antes de que alcance a su objetivo.
ArcSight Intelligence mostrará un ataque antes de que alcance a su objetivo. Pero eso es solo el principio. Después ayudará a los analistas de seguridad para validar ese ataque, integrarlo con el proceso de respuesta ante incidentes del negocio y proporcionar la información del incidente a los equipos en toda su organización. La interfaz de usuario proporciona una imagen tridimensional de un ataque, lo que resulta crítico para entender cómo pararlo. Las vistas de riesgos de entidades proporcionan a los analistas visualizaciones de la línea temporal del ataque, la tendencia al riesgo y nuevas anomalías a medida que un ataque se desarrolla. La vista de la línea temporal también incluye alertas de otros productos de seguridad e información de la inteligencia frente a amenazas relacionada con un ataque. Esto optimiza el proceso de validación y respuesta.
Los investigadores y los buscadores de amenazas tienen un acceso con un solo clic a información profunda a nivel de evento para un incidente. Además, la API RESTful y la integración nativa con varios otros componentes de ArcSight optimizan el proceso de respuesta e investigación, dando a los equipos de seguridad las herramientas que necesitan para parar un ataque antes de que los datos queden comprometidos.
Los incidentes de alta visibilidad relacionados con las amenazas internas nos han recordado lo ciegos que estamos frente las acciones de las cuentas con privilegios. Si el empleado es la amenaza, o si sus credenciales han quedado comprometidas, el acceso a este tipo de cuenta puede llevar a una significativa pérdida.
Para cada cuenta privilegiada, ArcSight Intelligence factoriza comportamientos como el tiempo, la autenticación, el acceso, el uso de la aplicación y el movimiento de los datos para delimitar numerosos comportamientos. Cuando una cuenta se desvía de sus límites, el análisis de ArcSight Intelligence visualiza la actividad de usuarios con privilegios, eliminando los falsos positivos a través de puntuaciones de riesgo, y luego alertando a la seguridad para que actúe.
¿Qué casos de uso son los que más le preocupan de su negocio? Programe una demostración con uno de sus profesionales de seguridad para aprender cómo ArcSight Intelligence puede darle las herramientas para potenciar su SOC.