La solución Cytomic Orion integra OSquery como herramienta de investigación y extiende sus capacidades de detección por comportamiento siguiendo MITRE ATT&CK en Linux.

Cytomic,  líder en prevención, detección y respuesta en ciberseguridad en el endpoint, anuncia hoy el lanzamiento de una nueva versión de Cytomic Orion que amplía sus capacidades con OSQuery,  herramienta clave en las investigaciones. La nueva versión permite a las organizaciones consultar en tiempo real  numerosas entidades, atributos y estados del sistema de todos los endpoint protegidos. También extiende la cobertura del Framework de MITRE ATT&CK, aportando nueva inteligencia de amenazas basada en el comportamiento del endpoint y servidor en Linux.

Estas nuevas capacidades aumentan las ya existentes en la plataforma Cytomic, la cual ya permite tomar acciones de remediación en tiempo real desde la nube, además de simplificar la detección e investigación de incidentes de seguridad en una o múltiples organizaciones. Y  todo desde un único agente desplegado.

Mientras que con Cytomic Orion los equipos de seguridad pueden realizar detecciones basadas en comportamientos, investigaciones en profundidad, acciones de remediación remota desde la nube y acelerar la actividad de threat hunting en el data lake con la telemetría del endpoint de 365 días; con Cytomic Covalent los clientes y MSSPs disponen de  un stack de seguridad cloud nativa, consolidada y completa, que une la administración de seguridad y las operaciones de ciberseguridad en una única solución gestionada desde la nube.

OSQuery acelera los procesos de investigación y hunting de amenazas_

Según Maria Campos, VP de Cytomic: “Las plataformas de seguridad actuales carecen de la capacidad de hacer consultas en tiempo real en toda el parque de endpoints. En la última versión de Cytomic Orion, y aprovechando las capacidades de OSQuery, herramienta de código abierto utilizada por cientos de grandes empresas, estamos llenando este vacío.”

Desde hoy, Cytomic pone a disposición de nuestros clientes y partners la plataforma de seguridad más completa, que combina operaciones avanzadas de prevención con capacidades únicas de detección, investigación y respuesta en ciberseguridad.

La capacidad de OSQuery permite a los threat hunters y al equipo de respuesta a incidentes (IR) acceder de forma remota, desde una única consola cloud, a datos clave para la investigación y análisis forenses que normalmente requerirían esfuerzos adicionales“, explica Iratxe Vazquez, Product Manager de Cytomic Orion. “La integración de OSQuery permite a los equipos operativos de ciberseguridad acelerar la investigación y la respuesta, descubriendo rápidamente a threat actors, obteniendo respuestas inmediatas a preguntas claves en todo el parque y determinan la causa raíz del incidente“.

Framework de MITRE ATT&CK para Linux_

Además del incremento de capacidades con la integración de  OSQuery, la nueva versión de Cytomic Orion añade nuevas fuentes de inteligencia de amenazas del framework de MITRE ATT&CK que mejoran la detección de threat actors mediante el análisis, en tiempo real, del comportamiento de endpoints y servidores Linux.

La inteligencia de amenazas de Cytomic Orion combina la potencia de 365 días de telemetría de los endpoints, enriquecida y sin filtrar, con una sólida colección de técnicas usadas por los adversarios, y simplifica la detección y hunting de amenazas.

Los nuevos indicios de amenazas detectados gracias a esta inteligencia se asignan directamente a las diversas técnicas de ataque descritas por el framework de MITRE ATT&CK para Linux.

Esta inteligencia de amenazas para Linux, amplía la inteligencia de amenazas ya existente y en continua evolución, basada en el análisis por comportamiento en Windows. Ambas, la de Linux y la de Windows, mapeadas al framework de MITRE ATT&CK.

cytomic-mittre

Figura 1. Implementación del Framework de MITRE ATT&CK en julio de 2020. El equipo de ciberseguridad Cytomic, trabaja continuamente para ampliar la Plataforma con nuevas fuentes de inteligencia de amenazas, incluida la basada en el comportamiento en cualquier sistema compatibles.

Al extender las fuentes de inteligencia de amenazas siguiendo el framework de MITRE ATT&CK, las organizaciones tienen además de una visibilidad sin filtrar de toda la actividad en los endpoints, una vista de la actividad maliciosa, a través de la lente del ciclo de vida y técnicas de ataque observados por MITRE. Creemos que esto se traduce en una comprensión más completa de los ciberincidentes y permite a los profesionales de seguridad ampliar rápidamente sus capacidades de threat hunting.” señala Iratxe Vázquez.

Sobre la versión 2.08 de Cytomic Orion_

La versión 2.08 de Cytomic Orion, disponible para clientes y partners para clientes y socios desde el 8 de julio de 2020, incluye mejoras de usabilidad en la gestión de investigaciones, así como mejoras en la API de Cytomic Orion para una mejor integración en las herramientas y plataformas de proveedores de SOC, MSSP y MDR.