¿Qué es CrowdStrike Counter Adversary Operations (CAO)?

Definición de CrowdStrike Counter Adversary Operations

Creado en el verano de 2023, CrowdStrike Counter Adversary Operations (CAO) unió a dos equipos: el equipo de CrowdStrike Intelligence y el equipo de Threat Hunting de CrowdStrike ^®Falcon OverWatch^®. Este equipo, que es el primero de su clase, se formó con el objetivo de desarticular a los adversarios actuales y, en última instancia, incrementar el coste de sus negocios.

CrowdStrike Counter Adversary Operations ofrece cuatro módulos: Falcon Adversary OverWatch, Inteligencia sobre el adversario de CrowdStrike Falcon^®, Inteligencia sobre el adversario premium de ^{CrowdStrike Falcon®} y CrowdStrike Falcon^® Counter Adversary Operations Elite.

¿Para qué necesitan los equipos de seguridad la inteligencia sobre amenazas y el Threat Hunting? ¿Por qué no es suficiente con la inteligencia sobre amenazas tradicional?

Los adversarios actuales son cada vez más rápidos y escurridizos, y sus motivos y tácticas cambian rápidamente. La combinación de la inteligencia sobre amenazas y el Threat Hunting es esencial para detectar, interrumpir y detener al adversario.

La inteligencia sobre amenazas les proporciona a los equipos de seguridad la información más reciente sobre los adversarios para que puedan ajustar las protecciones de forma proactiva. Lamentablemente, muchos equipos de seguridad están desbordados con alertas de amenazas y siguen siendo lentos a la hora de traducir la inteligencia sobre amenazas al contexto adecuado para su detección, investigación y respuesta. Este retraso innecesario le brinda al adversario la oportunidad de evadir las detecciones e infiltrarse en la red.

Threat Hunting cubre esta carencia al buscar de forma proactiva ciberamenazas que acechan en una red sin ser detectadas. El Cyber Threat Hunting requiere una telemetría potente para encontrar ciberdelincuentes en tu entorno que hayan eludido tus defensas de seguridad iniciales. El adversario solo necesita unos minutos para moverse lateralmente dentro de una red⁽¹⁾, por lo que el Threat Hunting es un componente esencial de cualquier estrategia de defensa.

Muchas organizaciones no cuentan con los recursos ni las habilidades necesarias para realizar Threat Hunting, lo que le da al adversario la oportunidad de infiltrarse, moverse lateralmente y vulnerar datos confidenciales sin obstáculo alguno.

^{(1) El Informe Global sobre Amenazas 2024 de CrowdStrike registró el tiempo de propagación de ciberdelincuencia más rápido en 2 min y 7 segundos}

¿Qué necesitan los equipos para solucionar estas ineficiencias de la inteligencia sobre amenazas y el Threat Hunting?

Para evitar estas ineficiencias, las organizaciones de seguridad necesitan disponer de inteligencia en tiempo real sobre las herramientas, técnicas y técnicas de ataque del adversario y aplicar inmediatamente esa información a su entorno y herramientas. Una supervisión continua y estricta de la información global sobre el adversario, perfeccionada con la actividad de amenazas del Threat Hunt local, brinda al defensor visibilidad sobre las actividades adversas relacionadas con su entorno. Este conocimiento perfeccionado es más relevante y les permite a los equipos de seguridad detectar, investigar e interrumpir mejor las amenazas antes y durante un ataque.

Beneficios de unificar los conocimientos de la inteligencia sobre amenazas y el Threat Hunting

La combinación de inteligencia sobre amenazas y Threat Hunting permite a los equipos de seguridad tener visibilidad total sobre la actividad de ataque tanto dentro como fuera de su red. Eso les permite agilizar el proceso de detección e implementar contramedidas con mayor rapidez, lo que mejora su posición de seguridad.

La información sobre amenazas globales (extraída de ataques del mundo real) permite a los equipos de seguridad conocer lo que les puede suceder y les ayuda a predecir ataques de adversarios. Los conocimientos derivados del Threat Hunt local complementan esta visibilidad global con información sobre lo que les está sucediendo en este momento.

Esta combinación de inteligencia sobre amenazas global y conocimientos del Threat Hunting local beneficia a muchos equipos de la organización de seguridad. Analicémoslo en más detalle.

• Los informes técnicos detallados sobre los ataques más recientes brindan a los ingenieros de seguridad el contexto necesario para implementar directivas exhaustivas de detección y prevención.
• Los datos clave sobre los comportamientos más recientes de los adversarios descubiertos les brindan a los Threat Hunters nuevas pistas sobre qué buscar, dando lugar a búsquedas más rápidas y eficaces.
• El contexto de amenazas en tiempo real ayuda a los analistas del SOC a priorizar las alertas y acelerar las investigaciones y, por ende, a mitigar los riesgos de manera más rápida y eficiente.
• Proporcionar atribución y perfiles detallados de los atacantes les permite a los responsables de responder ante los incidentes eliminar eficazmente las actividades maliciosas, ya que les ayuda a identificar todos los comportamientos y las vulnerabilidades que se están aprovechando.
• Los responsables de la planificación y la toma de decisiones en materia de seguridad obtienen información estratégica fiable sobre amenazas y tendencias, así como informes específicos del sector. Gracias a esta información, pueden valorar su posición de riesgo y diseñar estrategias de seguridad, lo que se traduce en un mejor retorno de la inversión.

¿Qué problemas de seguridad aborda Counter Adversary Operations?

Actualmente, los adversarios son más rápidos y sofisticados que nunca, y los defensores no pueden seguirles el ritmo, lo que los hace vulnerables a las brechas. Sin las protecciones adecuadas, la marca, la reputación y la situación financiera de los defensores puede verse dañada. Hay varios motivos que explican estos riesgos de amenaza:

1. Las herramientas de seguridad no son infalibles: A los ciberdelincuentes les gusta esconderse en los ángulos muertos entre las diferentes herramientas. Los equipos de seguridad buscan reforzar las soluciones de seguridad con Threat Hunting en los endpoints, las identidades, la nube y el mundo criminal clandestino para mantenerse al día acerca de las amenazas sofisticadas.
2. Los equipos de seguridad están desperdiciando recursos: A pesar de las grandes inversiones en herramientas tradicionales, como las soluciones tradicionales de gestión de eventos e información de seguridad (SIEM), a los equipos de seguridad les cuesta generar el valor deseado. Los analistas e ingenieros de seguridad pierden el tiempo como consecuencia de una mala orientación durante el proceso de detección y un alto nivel de falsos positivos.
3. Los equipos de seguridad cualificados son caros: Los equipos de ciberseguridad avanzados son caros y pocas organizaciones pueden permitirse contar con un equipo específico de inteligencia sobre amenazas o Threat Hunting. Además, muchas organizaciones que sí pueden permitirse disponer de equipos de ciberseguridad avanzados no son capaces de adaptarse a las amenazas cambiantes y se quedan estancadas con inteligencia poco relevante u obsoleta.

¿Qué necesitan las organizaciones para resolver estos problemas?

Para detectar e identificar mejor los incidentes de seguridad existentes, los equipos de seguridad necesitan contar con soluciones inteligencia sobre amenazas fiables y exhaustivas que proporcionen contexto en tiempo real para reducir la superficie de ataque, mejorar las defensas, guiar a los Threat Hunters y a los ingenieros de detección, y afianzar su posición de liderazgo.

Los analistas deben poder acceder a este contexto de manera sencilla en los flujos de trabajo diarios para acelerar los procesos de identificación de amenazas y toma de decisiones. La automatización de este proceso es fundamental para reducir el tiempo entre la detección, la investigación y la respuesta a los incidentes y la implementación instantánea de contramedidas.

Las organizaciones pequeñas que carecen de recursos necesitan una solución rentable. Deben adquirir las habilidades y la visibilidad necesarias para protegerse contra los ataques modernos, ya que confiar únicamente en los controles de seguridad individuales las hace vulnerables.

Ventajas que ofrece CrowdStrike CAO

CrowdStrike Counter Adversary Operations les permite a los equipos de seguridad defenderse contra adversarios porque brinda una combinación de inteligencia artificial y profesionales humanos expertos, automatización y conocimientos sobre amenazas de primer nivel.

• Los expertos en amenazas de CrowdStrike Counter Adversary Operations se encargan de buscar adversarios por ti mediante la IA e inteligencia innovadora que permite rastrear cada uno de sus movimientos en los endpoints, la nube y los datos de identidad en tiempo real. CrowdStrike CAO aplica estos descubrimientos a tu entorno y, a través de las alertas en tiempo real, garantiza que estés informado en todo momento de cualquier amenaza.
• CrowdStrike CAO ayuda a los equipos de seguridad a acelerar el proceso de investigación y a reducir el tiempo de respuesta para que puedan centrarse en detener la amenaza antes de que se produzca la brecha.
• CrowdStrike Counter Adversary Operations ofrece datos clave fiables y líderes en el sector para reforzar las defensas, detener los ataques e incrementar los costes para el adversario.

¿Cómo se ofrecen estas funciones?

CrowdStrike ofrece cuatro módulos que combinan Threat Hunters de élite de CrowdStrike y la inteligencia sobre amenazas líder del sector: una combinación pionera con un poder inigualable para perseguir y detener a los adversarios. Estas funciones están diseñadas para detectar ciberdelincuentes, acelerar el proceso de investigación, reducir el tiempo de respuesta y fortalecer las defensas:

• CrowdStrike Falcon Adversary OverWatch: Los expertos en Threat Hunting utilizan la IA para ofrecer protección constante en los endpoints, identidades y cargas de trabajo en la nube. Asimismo, la inteligencia sobre amenazas integrada expone las tácticas, las vulnerabilidades y las credenciales robadas del adversario.
• Inteligencia sobre el adversario de CrowdStrike Falcon: La automatización integral de las soluciones de inteligencia reduce el tiempo de respuesta en todo el modelo de capas de seguridad y permite a los equipos de seguridad enviar al instante amenazas potenciales a un entorno aislado basado en IA, extraer indicadores de compromiso e implementar contramedidas, todo ello mientras monitorizan continuamente el fraude y protegen tu marca, a tus empleados y tus datos confidenciales.
• Inteligencia sobre el adversario premium de CrowdStrike Falcon: Proporciona informes de inteligencia de primer nivel, análisis técnicos, Threat Hunting y detección de bibliotecas que permiten a las organizaciones reducir el tiempo y los costes necesarios para identificar sofisticados adversarios patrocinados por Estados, ciberdelincuentes y hacktivistas, y defenderse de ellos.
• CrowdStrike Falcon® Counter Adversary Operations Elite: El primer y único servicio de primer nivel del sector creado para detener a adversarios sofisticados de forma rápida combinando inteligencia líder del sector y Threat Hunting. Los analistas de CrowdStrike Counter Adversary Operations harán uso de herramientas avanzadas de investigación y Threat Hunting para identificar a los adversarios en todo el entorno informático del cliente y más allá, y detenerlos.

Resultados comerciales y de seguridad que ofrece CrowdStrike Counter Adversary Operations

CrowdStrike Counter Adversary Operations ofrece múltiples resultados comerciales y de seguridad como, por ejemplo, la reducción del tiempo de investigación, la carga de trabajo y los gastos de personal. Asimismo, permite a las organizaciones mejorar su posición de seguridad.

A continuación, se muestran diferentes datos proporcionados por clientes que muestran cómo haber implementado uno de los módulos de CrowdStrike Counter Adversary Operations ha aportado valor a su empresa:

• Un 95 % de ahorro en costes de contratación de personal para la realización del Threat Hunting(1)
• Una reducción del 97 % en el tiempo dedicado a investigar a los adversarios y las amenazas emergentes(1)
• Una reducción del 85 % del tiempo dedicado a la búsqueda de nuevas alertas(1)
• Un aumento del 80 % en la posición de seguridad(1)

^{(1) Evaluaciones de valor comercial (BVA) de CrowdStrike. Las cifras de las BVA de CrowdStrike corresponden a estimaciones previstas del beneficio medio, basadas en métricas proporcionadas por clientes durante las iniciativas preventa que comparan el valor que aporta CrowdStrike con la solución actual del cliente. El valor real obtenido dependerá del despliegue del módulo y el entorno concreto del cliente.}

¿Quién se puede beneficiar de Counter Adversary Operations?

La cartera de CrowdStrike Counter Adversary Operations se ha diseñado para organizaciones de cualquier tamaño, sector y región, proporcionando módulos accesibles que combinan inteligencia y Threat Hunting para plantar cara a los adversarios y detener las brechas.

En el caso de las pequeñas y medianas empresas (PYME), Falcon Adversary OverWatch ayuda a las organizaciones a estar protegidas en todo momento mediante endpoints y cargas de trabajo en la nube que, de lo contrario, resultarían demasiado caras.

CrowdStrike Falcon Adversary OverWatch

Las empresas con un SOC pueden optimizar la eficacia del modelo de capas de seguridad de toda su organización mediante la orquestación de inteligencia automática, el enriquecimiento del contexto y herramientas de investigación basadas en IA con la inteligencia sobre el adversario de CrowdStrike Falcon.

Inteligencia sobre el adversario de CrowdStrike Falcon

En el caso de las organizaciones con un alto nivel de madurez y equipos específicos de Threat Hunting y detección, la inteligencia sobre el adversario premium de Falcon permite a los equipos de seguridad mejorar los controles de ciberseguridad y definir su estrategia para detener las brechas de forma más eficaz.

Inteligencia sobre el adversario premium de CrowdStrike Falcon