20/09/2018 Publicado por: Softeng

Windows defender advanced Threat Protection

En los últimos meses, hemos visto en los medios de comunicación cómo importantes empresas e instituciones han sufrido ataques informáticos que han dejado al descubierto millones de datos sensibles y colapsado sus redes corporativas. La prestigiosa escuela de negocios IESE, el PUERTO DE BARCELONA, el diario EL PAÍS o el BANCO DE ESPAÑA son solo algunos de los miles de casos de ciberataques en nuestro país. Según datos del INCIBE (Instituto Nacional de Ciberseguridad), en 2017 se registraron más de 120.000 incidentes en España, siendo esta cifra un 40% mayor que el año anterior y situando a España como el tercer país en sufrir más ciberataques.

En efecto, la seguridad es uno de los grandes retos a los que se enfrentan las empresas no obstante, la sofisticación de los ataques evoluciona a pasos agigantados alcanzando un nivel tan elevado que pueden pasar muchos meses hasta descubrir la intrusión en la red y por tanto provocando un gran impacto en la empresa.

Para hacer frente a este tipo de amenazas avanzadas, Microsoft nos ofrece Windows Defender Advanced Threat Protection, en adelante Windows Defender ATP. Se trata de una poderosa solución que combina la tecnología de Windows 10 y el servicio en la nube inteligente de Azure para ofrecer a las empresas protección preventiva, detección posterior a la infracción, investigación automatizada y respuesta frente amenazas avanzadas en sus redes.

Además, nos ayuda a cumplir el tercer requisito en el ámbito de la seguridad para cumplir con el GDPR (el primero es proteger los datos personales y el segundo poder demostrar a la agencia las medidas de proteccion implantadas). ¿Cuál es el tercero? Pues precisamente , poder detectar brechas de seguridad que afecten a datos personales , pudiendo de esta manera notificar a la Agencia de Protección de Datos dentro del plazo de las 72 horas que nos marca.

¿Cómo te ayuda exactamente a protegerte y cumplir a la vez con GDPR?

En líneas generales te ayuda a:

  • Detectar ataques avanzados y de día-cero (Ataque que aprovecha una vulnerabilidad desconocida), a partir del análisis del entorno, el comportamiento y el uso del aprendizaje automático, mostrándote información detallada del alcance de la brecha de seguridad a través de la consola central y ofreciéndote soluciones para mitigarla.
  • Obtener un a​nálisis en tiempo real de toda tu infraestructura de equipos a través de una consola central que muestra información del estado y la actividad de los equipos protegidos.
  • Te ofrece acceso instantáneo al análisis de 6 meses de información referente al comportamiento de la empresa para llevar a cabo un análisis forense, ofreciéndote un inventario de archivos, direcciones URL y conexiones en toda la red.
  • Ahorra tiempo a tu departamento IT gracias a la investigación automática de alertas.

¿Cómo trabaja?

La herramienta monitoriza continuamente la red en busca de actividad maliciosa o comportamientos anómalos a través de:

  • Sensores de conducta: Integrados en los dequipos y dispositivos, recopilan y procesan señales de comportamiento del sistema operativo (por ejemplo, comunicaciones de red, modificaciones de ficheros y procesos). Seguidamente esta información se envía a la consola de Seguridad en la nube para analizarlos e intercambiar señales con Microsoft Intelligent Security Graph.
  • Inteligencia de amenazas: Microsoft cuenta con un equipo de especialistas de seguridad a nivel mundial y una comunidad de cazadores ("hunters"), que se dedican exclusivamente a buscar y encontrar nuevas técnicas maliciosas, entrenando continuamente a ATP para ayudarlo a ser cada vez más efectivo.
  • Análisis de seguridad en la nube: Gracias al BigData y al aprendizaje automático, analiza la información recibida de los sensores y la contrasta con información histórica y anónima de millones de dispositivos repartidos por todo el mundo así como por la Inteligencia Artificial de amenazas incluida en el propio ATP, para detectar comportamientos anómalos, técnicas de los hackers y similitud con ataques conocidos.

Investigación y solución de amenazas automática

Windows defender advanced Threat Protection

Gracias al poder de la nube, el aprendizaje automático y los análisis de comportamiento, ATP de Windows Defender proporciona una protección inteligente capaz de hacer frente a las amenazas más sofisticadas y avanzadas. En cifras, ATP procesa 970 millones de eventos maliciosos al día a través del ecosistema empresarial y de consumo de Microsoft, lo que hace que su inteligencia sea más poderosa día a día. No obstante, detectar amenazas es sólo la mitad de la batalla, el 80% de las empresas reciben un gran volumen de alertas en sus sistemas, provocando que el departamento IT ocupe gran parte de sus recursos en tareas de investigación y remediación.

Para resolver este problema, Windows Defender ATP incluye una característica que queremos destacar llamada “investigación automática”: Esta prestación investiga automáticamente alertas y aplica inteligencia artificial para determinar si se trata realmente de una amenaza con el objetivo de poder decidir qué acciones tomar, también, de manera automática. Esta funcionalidad ahorra tiempo y esfuerzo a los departamentos de IT, permitiéndoles focalizarse en tareas más estratégicas para la empresa.

Características del portal de Windows Defender Atp

Windows Defender ATP ayuda al departamento de IT a administrar eficazmente la red de la empresa, ofreciéndole un portal de administración y gestión centralizado de todas las alertas y medidas de seguridad de los equipos, con funcionalidades que te permiten:

  • Windows defender advanced Threat ProtectionMoverte por los diferentes paneles de navegación para tener acceso a: Operaciones de seguridad, Puntuación de seguridad o el Panel de análisis de amenazas.
  • Gestionar las alertas de seguridad de toda la red.
  • Controlar y gestionar las investigaciones automáticas que se han llevado a cabo.
  • A través de una potente herramienta de búsqueda avanzada basada en consultas, podrás "cazar" e investigar proactivamente a través de los datos de tu empresa.
  • En el apartado de lista de máquinas podrás controlar los equipos incorporados a Windows Defender ATP obteniendo información detallada de riesgos y alertas.
  • Obtener una visión rápida del estado de servicio de la aplicación.
  • Actualizar tus opciones de configuración, permitiéndote personalizar directivas de retención, habilitar características avanzadas y crear informes de Power BI que te permitirán analizar de forma interactiva máquinas, alertas y estado de la investigaciones.

Paneles de navegación

Panel de operaciones de seguridad

Este panel proporciona una instantánea de la red mostrando una vista detallada sobre las diversas alertas de seguridad en equipos y usuarios. A través de este panel puedes explorar, investigar y determinar rápidamente dónde y cuándo se han producido actividades sospechosas y poder comprender con facilidad el contexto en el que surgieron. 

Windows defender advanced Threat Protection

El panel tiene ventanas interactivas que proporcionan indicaciones sobre el estado de mantenimiento general de la organización, como alertas activas, máquinas y usuarios en riesgo, investigaciones automáticas activas y un panel de actividades sospechosas que muestra los eventos de auditoría en función de las detecciones de varios componentes de seguridad.

La herramienta ofrece también la posibilidad de simular ataques para que puedas comprobar su nivel de efectividad antes de seguir incorporando equipos a Windows Defender Atp.

Panel de puntuación de seguridad

Microsoft incorpora en Windows Defender ATP un panel en el que es posible ver los ordenadores que requieren atención, acciones recomendadas y puntuación de seguridad en caso de activar cada punto. No obstante, es denso, en inglés, a menudo complicado y no siempre se explica qué hacer exactamente para activar cada una de las recomendaciones. Para solucionar este problema, Softeng pone a disposición de nuestros clientes, dentro de nuestro portal, la posibilidad de disfrutar de un panel con el nivel de seguridad total de la empresa, integrado, personalizado y claro, obteniendo recomendaciones concretas de acciones a realizar  dentro del ámbito de Microsoft 365 y Azure, pudiendo activarlas paso a paso con el objetivo de reducir aún más las superficie de ataque. Y además, en tu idioma.

Windows defender advanced Threat Protection

Windows defender advanced Threat Protection

 

Panel de análisis de amenazas

Las amenazas emergen cada vez con más frecuencia y a través de este panel, podrás evaluar rápidamente tu posición de seguridad, incluyendo el impacto y resistencia de tu empresa en el contexto de amenazas específicas. Asimismo, podrás evaluar y controlar la exposición de riesgo a Spectre y Meltdown continuamente, dos de las principales vulnerabilidades de los chips de los procesadores a través de las que los atacantes pueden acceder a tu equipo.

El panel ofrece un conjunto de informes interactivos publicados por el equipo de investigación de Windows Defender ATP en el momento en el que una nueva amenaza y ataque se identifica. Desde la sección de recomendaciones de mitigación podrás ejecutar acciones específicas para mejorar la visibilidad de la amenaza y aumentar la resistencia de tu empresa. 

Windows defender advanced Threat Protection

Además de las funcionalidades que hemos comentado en el artículo, queremos destacar las siguientes:

Aislamiento

La velocidad de respuesta y el aislamiento son la clave para el éxito de prevención de ataques de seguridad. Por tanto, ccuando la herramienta detecta que un equipo está comprometido, suspende automáticamente la cuenta del usuario y aísla el dispositivo infectado para impedir el acceso a la red, reduciendo drásticamente la superficie del ataque.

Detonación

Puedes enviar archivos sospechosos para una inspección profunda y análisis completo en cuestión de minutos, en un entorno aislado de la red y bloquear los archivos en caso de ser maliciosos.

Acceso condicional basado en el riesgo del equipo

Windows Defender ATP puede controlar el acceso a la información sensible basándose en el nivel de riesgo del propio equipo. De este modo, garantiza que solo los usuarios autenticados que utilicen un dispositivo registrado en la empresa podrán acceder a los datos de la compañía en Office 365 y además, que sólo se pueda acceder si el equipo está en buen estado (sin virus, troyanos, etc). Por tanto, si se detecta una amenaza en un dispositivo, la posibilidad de acceso a la información sensible por parte del dispositivo afectado se bloquea de manera instantanea mientras la amenaza siga activa.

¿En qué suites se incluye Windows Defender ATP?

Actualmente este producto no puede adquirirse de manera independiente y es necesario optar por cualquiera de estas dos suites:

  • Windows Enterprise E5 (incluye todas las capacidades de seguridad de la versión E3 + Windows Defender ATP)
  • Microsoft 365 E5 (incluye Windows 10 Enterprise E5, Office 365 E5 y EMS E5)

Como conclusión, podemos afirmar que Windows defender ATP cubre el ciclo de vida de las amenazas de principio a fin, desde la detección hasta la investigación y respuesta de manera automática, llevando a tu empresa a un nivel de protección máximo, y ayudando así a poder cumplir con el GDPR.

Desde Softeng, estamos comprometidos en dar soluciones a nuestros clientes y ofrecerles nuestra experiencia en esta área, así que te animamos a que sigas nuestro blog en el que continuaremos informando sobre las herramientas y soluciones de seguridad que podemos ofrecerte. 

¿Quieres saber más sobre Windows 10 Enterprise E5 o Microsoft 365? Contacta con nosotros!

¡Sí, quiero saber más!

 

 

<< volver al blog
FacebookTwitterLinkedInWhatsapp
Enviando...

¿Quieres recibir los artículos en tu correo?


Suscripciones al Blog Rss del Blog