Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso

Elimina le incognite, trasforma il SOC

10 luglio 2022
Mark Wojtasiak
Vicepresidente Ricerca e Strategia di Prodotto
Elimina le incognite, trasforma il SOC

Le grandi incognite per i team SOC

Nel mio ultimo blog ho presentato le 9 C del valore della sicurezza informatica. Il mio obiettivo era aiutare i team di sicurezza a stare al passo con le superfici di attacco e i metodi degli aggressori in continua evoluzione: noi fornitori, partner e, in effetti, tutti gli esseri umani dobbiamo lavorare insieme per far progredire la sicurezza. Un modo importante per farlo è eliminare le incognite...

  • delle superfici di attacco: estendere la sicurezza oltre la rete del data center e endpoint cloud pubblico, al SaaS e all'identità cloud.
  • dei metodi utilizzati dagli hacker moderni: possono facilmente aggirare gli strumenti di prevenzione sfruttando servizi autorizzati e API.
  • di tecnologie e strumenti isolati: rimuovere tutto ciò che non si integra o non automatizza per arricchire il contesto, i flussi di lavoro o la risposta.

Una recente ricerca condotta da Vectra ha rilevato che i team di sicurezza faticano a stare al passo con gli attacchi informatici. La mancanza di visibilità, l'incapacità di rilevare gli attacchi moderni e la scarsa integrazione sono state citate come le tre ragioni principali per cui gli strumenti di sicurezza non riescono a mantenere le promesse dal 79% dei responsabili delle decisioni in materia di sicurezza. Il motivo: le grandi incognite.

Il peso delle grandi incognite ricade interamente sulle spalle dei team dei centri operativi di sicurezza (SOC). L'83% dei team di sicurezza si sente in difficoltà di fronte alle minacce moderne. Gli strumenti tradizionali a loro disposizione non sono al passo con i tempi, come dimostra il fatto che il 72% dei team di sicurezza ritiene di poter essere compromesso senza saperlo. Visibilità, rilevamento delle minacce, integrazione: queste sono le promesse fatte dai fornitori di sicurezza, ma, secondo i team di sicurezza, molti non riescono a mantenerle.

Qui a Vectra, ci piace pensare in modo proattivo e scoprire il perché delle cose. Abbiamo scoperto che le sfide che i team SOC devono affrontare si possono riassumere in tre punti:

  • Copertura: la promessa di garantire la sicurezza delle applicazioni e dei dati ovunque si trovino.
  • Chiarezza: la promessa di individuare minacce dove altri non riescono a vederle e di fermarle.
  • Controllo: la promessa di integrare e automatizzare la difesa dagli attacchi dall'inizio alla fine, dall'alto verso il basso.

Copertura 

Non esistono più perimetri e la prevenzione non è più sufficiente. Oggi è fondamentale adottare una difesa approfondita, basata sul principio "fidati, ma verifica". Abbiamo tutti sentito questi luoghi comuni (anche io mi sono reso colpevole di averli usati in alcune occasioni). Ma se mettiamo da parte i luoghi comuni e le frasi ad effetto e pensiamo in modo lungimirante, la semplice verità è che le superfici di attacco si stanno espandendo.

Le reti dei data center e le superfici endpoint sono sempre state sotto attacco, ma ora abbiamo AWS, Microsoft Azure, Microsoft 365, GCP, centinaia di applicazioni SaaS e decine di prodotti di identità cloud. Abbiamo chiamate API da un servizio all'altro, che intrecciano tutto in una sinfonia perfetta. Per i team SOC, questo diventa la grande incognita; per un aggressore, è un sogno che diventa realtà. Due terzi di tutti gli attacchi sfruttano servizi e API autorizzati per ottenere l'accesso alle applicazioni e ai dati di un'organizzazione, dando loro chiaramente un vantaggio. Per eliminare le grandi incognite delle superfici di attacco, i team SOC hanno bisogno di una visibilità unificata delle attività di minaccia su tutte e cinque le superfici di attacco, dalle reti dei data center e dagli endpoint al cloud pubblico, al SaaS e all'identità. Hanno bisogno di copertura.

Chiarezza

Provo empatia per i leader, gli architetti e gli analisti SOC. Sono sotto pressione da tutte le parti e, data la carenza di analisti SOC, molti stanno lasciando il proprio lavoro alla ricerca di pascoli più verdi. Gli aggressori hanno preso il sopravvento. Modificare e mettere a punto gli strumenti non è ciò per cui i team SOC hanno firmato. Gli strumenti tradizionali basati su regole come SIEM e IDS sono impotenti di fronte agli attacchi moderni ad alta velocità. Quindi, pensiamo a monte? La risposta per trattenere e far crescere i talenti SOC e ribaltare la situazione a danno degli aggressori è eliminare l'incognita rappresentata dai metodi moderni degli aggressori. Si inizia con il ripensare il flusso di lavoro SOC. Oggi, "inseriamo tutto nel nostro SIEM" è qualcosa che sentiamo spesso dire, e lo capiamo. Il SIEM è un "pannello di controllo unico" (un altro cliché della sicurezza). Ma come può la sicurezza creare una regola per un metodo di attacco che non è stato identificato? Peggio ancora, una volta che un metodo di attacco diventa noto, modificare e ottimizzare costantemente le regole SIEM e le firme IDS è un metodo estenuante, inefficiente e inefficace per affrontare gli aggressori moderni.

L'applicazione di approcci tradizionali ai metodi di attacco moderni crea latenza nel flusso di lavoro SOC e nel processo di risposta agli incidenti. L'ultima cosa di cui abbiamo bisogno quando si tratta di rilevare e rispondere agli attacchi moderni è la latenza. Perché dare più tempo agli aggressori? No, il miglior rimedio alla latenza è il contesto, che deriva dalla copertura. Senza una copertura completa, i team SOC sono sempre privi di contesto. Inserire più dati in un SIEM non equivale a copertura. Modificare e mettere a punto costantemente la tecnologia non fornisce contesto. Per eliminare le incognite relative ai metodi degli aggressori è necessario rimuovere la latenza dal flusso di lavoro SOC. A tal fine, i team SOC hanno bisogno di una tecnologia che acquisisca, analizzi e integri il contesto da tutte e cinque le superfici di attacco con rapidità e su larga scala. Dotarsi di un contesto ricco sui metodi degli aggressori riduce drasticamente la latenza nei flussi di lavoro SOC. Elimina la selezione degli avvisi, integra e automatizza i processi di prioritizzazione, indagine e risposta, nonché i playbook. I team SOC possono quindi operare con ciò di cui hanno veramente bisogno per eliminare le incognite relative ai metodi degli aggressori: maggiore chiarezza.

Controllo

Quando una superficie di attacco in continua espansione incontra metodi di attacco in continua evoluzione, insieme a una carenza di personale e competenze, non c'è da stupirsi che l'83% dei team di sicurezza si senta in inferiorità numerica e il 72% pensi di poter essere compromesso senza saperlo realmente. Nonostante i crescenti investimenti in tecnologia e strumenti, i team SOC faticano ancora a realizzare il valore dei loro investimenti, soprattutto perché i loro strumenti spesso non funzionano insieme come promesso. Quando la tecnologia e gli strumenti diventano isolati, il SOC ne risente. Quando i team SOC passano da uno strumento all'altro per identificare e combattere gli attacchi moderni, danno di fatto il vantaggio agli aggressori. I team SOC hanno bisogno di tecnologia e strumenti integrati e devono lavorare insieme per anticipare gli attacchi. Devono riprendere il controllo.

Tutti insieme adesso

Grazie alla copertura completa della superficie di attacco, i team di sicurezza ottengono il contesto necessario per ottenere chiarezza e, di conseguenza, controllo. La copertura fornisce dati telemetrici raccolti su tutte e cinque le superfici di attacco: reti (NDR), endpoint (EDR), cloud pubblico cloud AWS, Microsoft Azure, GCP, ecc.), SaaS (Microsoft 365) e identità (Microsoft Azure AD). La chiarezza deriva dall'analisi di tali dati telemetrici e dalla segnalazione delle minacce realmente rilevanti. Il vero controllo si ottiene quando tutto è stato integrato e tutto funziona insieme per automatizzare l'arricchimento del contesto, il flusso di lavoro e la risposta. Il risultato: eliminare le incognite e creare un SOC più efficace, efficiente e resiliente.

Eliminare l'ignoto con la piattaforma Vectra basata sull'intelligenza artificiale per la sicurezza

Vectra è leader nel rilevamento e nella risposta alle minacce basati sull'intelligenza artificiale. Solo Vectra ottimizza l'intelligenza artificiale per la sicurezza per aiutare i responsabili SOC, gli architetti e gli analisti a eliminare l'ignoto. Creiamo il segnale che rileva gli attacchi in luoghi che altri non sono in grado di vedere.

  • Con Vectra, hai una copertura completa. Ottieni visibilità sugli attacchi con informazioni contestuali su tutte e cinque le superfici di attacco: cloud pubblico, SaaS, identità, rete ed endpoint.
  • Con Vectra, avrai chiarezza. Riduci gli avvisi inutili di oltre l'80% individuando i metodi utilizzati dagli hacker e dando priorità alle minacce più rilevanti per l'azienda.
  • Con Vectra, hai tutto sotto controllo. Integra il tuo stack esistente per contesto, flusso di lavoro e controlli per bloccare le minacce con meno lavoro, meno strumenti e in meno tempo.

Per ulteriori informazioni sulla piattaforma Vectra, visita la nostra pagina dedicata alla piattaforma.

Domande frequenti