La nueva versión de Cytomic Orion, que será lanzada en los próximos días, amplía sus capacidades con OSQuery,  herramienta clave en las investigaciones que permite a las organizaciones consultar en tiempo real  numerosas entidades, atributos y estados del sistema de todos los endpoints protegidos.

Estas nuevas capacidades aumentan las ya existentes en la plataforma Cytomic, la cual permite ya tomar acciones de remediación en tiempo real desde la nube, además de simplificar la detección e investigación de incidentes de seguridad en una o múltiples organizaciones y todo desde un único agente desplegado.

OSQuery acelera los procesos de investigación y hunting de amenazas_

Las plataformas de seguridad actuales carecen de la capacidad de hacer consultas en tiempo real en todo el parque de endpoints. Con la última versión de Cytomic Orion, y aprovechando las capacidades de OSQuery, herramienta de código abierto utilizada por cientos de grandes empresas, desde Cytomic buscamos llenar  ese vacío.

La integración de OSQuery en Cytomic Orion proporciona acceso a más de 85 tablas (Windows) para ayudar a los analistas a descubrir situaciones anómalas, analizar indicios y poder responder a incidentes con una facilidad sin precedentes.

Cada OSQuery se puede iniciar en un subconjunto de endpoints o de forma masiva en todos los endpoints de la organización, o incluso en  de varios clientes, lo que permite a los MSSP detectar rápidamente threat actors en todos sus clientes de una sola vez.

Nuevos casos de uso habilitados por OSQuery en Cytomic Orion_

Los analistas de seguridad necesitan respuestas inmediatas a preguntas críticas en todo su parque de endpoints durante la investigación de un ataque. El número de nuevos casos de uso que la integración de OSQuery en Cytomic Orion habilita, es interminable. Por ejemplo, nos permite:

  • Inspeccionar los endpoint en tiempo real. Además de la telemetría, que proporciona una visibilidad de la actividad en tiempo real, los analistas pueden necesitar inspeccionar atributos, estados o condiciones específicas en los endpoint, por ejemplo:
    • Si durante una investigación el equipo de seguridad determina que se han robado ciertas credenciales, pueden consultar todos los endpoint para ver si se han utilizado en los intentos de inicio de sesión y dónde. Estas credenciales están actualmente en uso.
    • En una respuesta a incidentes, cuando el analista sospecha que un proceso malintencionado se está ejecutando en uno o varios endpoint, puede iniciar una consulta por nombre del proceso o incluso por un nombre de archivo.
  • Verificar el cumplimiento de políticas de seguridad: los analistas pueden usar Cytomic Orion para determinar si todas las máquinas están en el nivel correcto de parches. Además, los equipos pueden usar OSQuery para realizar informes operativos sobre niveles de actualizaciones, privilegios de usuario, estado de cifrado de disco, entre muchas otras posibilidades.

La siguiente consulta se puede utilizar para buscar dispositivos que carecen de una actualización para una vulnerabilidad específica (CVE):

  • Descubrir situaciones anómalas como las siguientes:
    • Es común que el malware permanezca a la escucha en un puerto específico para dar acceso directo al comando y control del adversario (C&C). Los analistas pueden encontrar nuevos procesos escuchando en un puerto específico ejecutando esta consulta:

Y comparar los resultados a lo que se considera normal en la organización. Esta información proporciona, al equipo de seguridad, información clave para iniciar una investigación que esclarezca la naturaleza de ese proceso.

Los atacantes a menudo dejan un proceso malicioso en ejecución, pero eliminan el archivo original en el disco. Esta consulta devuelve cualquier proceso cuyo archivo original se ha quitado o modificado (lo que podría ser un indicador de un proceso sospechoso):

  • La presencia de programas instalados en ubicaciones de Windows no estándar (fuera de C:/Archivos de programa) puede ser un indicio de anomalía que requiera un análisis. Esta consulta nos da esta información inmediatamente:

Corregir ataques en tiempo real: Una vez identificado un ataque, Cytomic Orion permite a los administradores abrir una sesión, en cuestión de segundos, para terminar procesos, eliminar archivos o ejecutar un proceso en segundo plano y corregir la amenaza en tiempo real, independientemente de dónde se encuentren los endpoints comprometidos. La gran ventaja aquí es la reducción  en gran medida cualquier tiempo de inactividad en el negocio, resultado del ataque.