Candidatura

ENDPOINTS SEGUROS 24X7: Servicio Avanzado de Protección, Prevención, Detección y Respuesta Automatizada – Bloqueo tiempo real “NoT Known Is Bad” + Modelado de comportamiento + Threat Hunting

Ir a candidaturas XVII Convocatoria de Premios Transformación Digital

Madrid Digital ha potenciado su servicio de protección, prevención, detección y respuesta ante amenazas y ciberataques reduciendo la probabilidad de materialización de incidentes de seguridad, mediante la implementación de la solución tecnológica WatchGuard EPDR, monitorización continua 24x7x365 y Threat Hunting. Todo gestionado y supervisado desde una consola centralizada en nube SaaS, que proporciona visibilidad total, información de actividad y capacidad de actuación en tiempo real sobre los más de 100.000 puestos y 3.000 servidores gestionados. La solución incorpora información de contexto y análisis de comportamiento mediante aprendizaje automático e inteligencia artificial, para detectar y analizar amenazas avanzadas en fases iniciales, identificando TTP´s, reduciendo los tiempos de detección y automatizando la respuesta. La clave es evitar la materialización de incidentes de seguridad mediante la proactividad, la monitorización continua y la respuesta inteligente y ágil.

Antecedentes

Madrid Digital diseña, opera y mantiene multitud de servicios digitales, sistemas de información e infraestructuras TIC que utiliza la Administración de la Comunidad de Madrid para gestionar la información y datos de los ciudadanos y empresas de la región y de su propia gestión interna. La mayoría de estos servicios digitales deben estar disponibles 24x7 siendo muchos de ellos esenciales.

Los endpoint procesan la información de estos servicios y se convierten en elementos críticos a proteger: deben funcionar sin interrupciones y asegurar la confidencialidad e integridad de la información considerando los riesgos de la exposición a Internet, y el aumento y sofisticación de las ciberamenazas y ataques.

El proyecto acometido potencia las capacidades de protección, prevención, detección y respuesta del endpoint, bajo un enfoque de “confianza cero”, proactividad en la detección, análisis mejorado con modelado de comportamiento e información de amenazas mediante IA y respuesta ágil y eficaz

Retos

- Protección del endpoint 24x7x365 garantizando actualización continua ante nuevas amenazas y enfoque de “confianza cero”.

- Visibilidad centralizada en tiempo real de toda la actividad de cada endpoint para mejorar la detección.

- Poner en valor la detección proactiva de amenazas para prevenir incidentes, consiguiendo detectar e identificar amenazas de forma temprana, y responder de manera proactiva a éstas.

- Detectar y actuar de forma rápida e inmediata ante amenazas graves, gracias a la capacidad de bloqueo y aislamiento de endpoints desde la consola centralizada, minimizando el impacto de los ataques y evitando que progresen y lleguen a producir otros ataques laterales o APT´S.

- Complementar las capacidades del EPDR con servicios de Threat Hunting incorporando técnicas de comportamiento, aprendizaje y respuesta automática a actividades anómalas.

- Reducir el tiempo de respuesta a amenazas e incidentes gracias a la agilidad de los procesos de detección, investigación y respuesta.

Fases

Fase 1. Definición: definición y desarrollo de los objetivos, y parque de endpoints a proteger.

Fase 2. Estudio de mercado y soluciones: fase de evaluación de tecnologías y capacidades, estudio de viabilidad técnica y económica.

Fase 3. Adquisición de solución y servicios adicionales: plataforma ORION y servicios avanzados de Threat Hunting de Watchguard, con IA para correlación y priorización de amenazas avanzadas, completamente integrada con la solución EPDR de WatchGuard ya desplegada.

Fase 4. Diseño, Arquitectura y Pruebas: configuración de ORION en cloud e integración del 10% del parque de endpoints. Pruebas funcionales, de disponibilidad y rendimiento y diseño y puesta en marcha del servicio de Threat hunting.

Fase 5. Despliegue: integración en ORION del total de endpoints, y entrenamiento de la IA con los datos de actividad para análisis exhaustivo de infraestructuras y comportamiento de los puestos, creación de reglas avanzadas de caza de amenazas, y alertas generadas para toma de decisiones.

Nuevos Servicios

La incorporación a los servicios de protección EPDR ya desplegados, de capacidades avanzadas de protección, prevención, detección y respuesta, ORION, han permitido mejorar la detección temprana de amenazas, la investigación de actividades anómalas, y la respuesta automatizada, aprovechando las capacidades de modelado de comportamiento e información de amenazas mediante IA que ofrece la solución.

El servicio de Threat Hunting, facilitado por analistas expertos, añade la detección de nuevas amenazas que estén evadiendo la seguridad del EPDR. El análisis de métricas y la creación de reglas de comportamiento e indicadores de ataque (IoA) realizado en este servicio, proporcionan una defensa más eficiente y una detección de amenazas en fase temprana.

Las mejoras en la protección del endpoint, reducen la posibilidad de compromiso de los sistemas de información de la Comunidad de Madrid, y por tanto, los daños económicos y reputacionales provocados por un ciberataque.

Conclusiones

Madrid Digital, en su plan estratégico 22-26, tiene como objetivo hacer de la Comunidad de Madrid una Administración referente en la prestación de los servicios públicos digitales, más segura, confiable y resiliente, y para ello el eje 4 – Ciberseguridad y Seguridad de la Información de este plan se centra, entre otras líneas, en impulsar las actividades y proyectos orientados a mejorar la prevención y protección de los sistemas, para gestionar y mitigar el riesgo de manera eficiente.

El proyecto de “Endpoints seguros 24x7”, con una duración de 9 meses ejecutados durante el 2024, se enmarca dentro de esta línea de acción consiguiendo reforzar significativamente la ciberseguridad del endpoint, última frontera de protección frente a un ciberataque.