.webp)
Un tempo, il modo in cui gli hacker si infiltravano in un'organizzazione era relativamente semplice. L'hacker individuava una vulnerabilità, come un dispositivo non aggiornato o un account compromesso, si introduceva nel sistema, crittografava i file o rubava i dati, lasciando poi all'organizzazione il compito di ripulire il pasticcio e trovare modi migliori per rafforzare le proprie difese.
Oggi le organizzazioni sono una combinazione di superfici di attacco che, sulla carta, sembrano più difficili da navigare per un aggressore. Tuttavia, man mano che le organizzazioni diventano più intelligenti, lo diventano anche gli aggressori. Ora gli attacchi non sono più così lineari: gli aggressori possono trovare una vulnerabilità, rimanere inattivi, passare da una superficie di attacco all'altra, rimanere nuovamente inattivi e poi lanciare un attacco in piena regola contro l'azienda. E a volte è troppo tardi e le organizzazioni devono sborsare milioni di dollari per riprendersi e porre rimedio.
Per quanto possa sembrare futile, ciò non significa che non possiamo stare al passo con l'attuale curva di rilevamento delle minacce. Ecco cinque modi in cui i migliori SOC riescono a stare un passo avanti agli aggressori.
1. Investi nella tua tecnologia
L'unica tecnologia che consentirà alle organizzazioni di stare un passo avanti agli aggressori è l'intelligenza artificiale. Non stiamo parlando dei modelli linguistici di grandi dimensioni (LLM) che si limitano ad aiutare gli analisti a formulare domande per le loro indagini. Non stiamo parlando di approcci basati sull'intelligenza artificiale/apprendimento automatico che si limitano a rilevare anomalie e richiedono una manutenzione umana costante.
Stiamo parlando di utilizzare l'intelligenza artificiale per creare un segnale di attacco che metta in evidenza le minacce più critiche e urgenti specifiche per ogni singolo ambiente cliente, fornendo al contempo una descrizione completa dell'attacco. In Vectra AI, chiamiamo questa intelligenza artificiale il nostro "Attack Signal Intelligence".
Da oltre un decennio, Vectra ricerca, sviluppa, sperimenta e brevetta soluzioni di sicurezza basate sull'intelligenza artificiale, con l'obiettivo di fornire il miglior sistema di rilevamento degli attacchi al mondo. Attack Signal Intelligence nostra Attack Signal Intelligence oltre le firme e le anomalie per comprendere il comportamento degli aggressori e individuare le loro TTP (tecniche, tattiche e procedure) lungo l'intera catena di attacco informatico dopo la compromissione. Analizza i comportamenti degli aggressori e i modelli di traffico specifici dell'ambiente del cliente per ridurre il rumore degli avvisi e far emergere solo gli eventi rilevanti e realmente positivi. Forti del contesto che circonda la narrazione completa di un attacco, gli analisti della sicurezza dedicano il loro tempo e il loro talento a ciò che sanno fare meglio: individuare, indagare e impedire che gli attacchi si trasformino in violazioni.
Per ulteriori informazioni Attack Signal Intelligence Vectra AI, leggi il nostro white paper.
2. Adottare una strategia XDR
Disporre di una strategia di rilevamento e risposta estesa (XDR) è fondamentale per combattere i moderni attacchi ibridi che interessano più superfici di attacco. Con una strategia XDR, potrai ottenere:
- Copertura: copertura integrata di rilevamento delle minacce di alta qualità su tutta la superficie di attacco ibrida: reti, IoT/OT, cloud pubblici, identità, applicazioni SaaS, endpoint ed e-mail. I difensori devono avere la certezza di disporre della visibilità necessaria.
- Chiarezza: segnale integrato che correla i rilevamenti per dare priorità agli attacchi reali in tempo reale. I difensori devono sapere su cosa concentrarsi prima di tutto, da dove iniziare il loro lavoro.
- Controllo: azioni di indagine e risposta integrate, automatizzate e gestite che consentono ai team SOC di muoversi alla stessa velocità e con la stessa portata degli autori degli attacchi ibridi. I difensori devono possedere competenza e sicurezza per stare al passo con il volume e la velocità delle minacce.
Scopri come realizzare una strategia XDR pronta per gli attacchi ibridi con la Guida alla strategia XDR di Vectra.
3. Valutare regolarmente il rischio di esposizione
Garantire la sicurezza di un'organizzazione è un obiettivo mutevole, dato il contesto IT in continua evoluzione e trasformazione. Per stare al passo con un obiettivo mutevole è necessario valutare regolarmente la propria esposizione agli attacchi.
Ciò comporta l'analisi degli elementi fondamentali, tra cui la revisione dei firewall perimetrali e dei gateway Internet, malware , la gestione delle patch, l'elenco delle autorizzazioni e il controllo dell'esecuzione, la configurazione sicura, le politiche relative alle password e il controllo dell'accesso degli utenti. È fondamentale integrare questi elementi fondamentali nel proprio programma di sicurezza e garantire aggiornamenti regolari.
Inoltre, esamina le aree di superficie a cui la tua organizzazione potrebbe essere potenzialmente esposta. In alcuni casi, esistono risorse per eseguire test di pressione e analizzare le lacune all'interno delle superfici di attacco.
Vectra AI un'analisi gratuita delle lacune nell'esposizione dell'identità. Clicca qui per iniziare.
Queste misure coprono il rischio di esposizione prima di una potenziale compromissione, ma cosa bisogna considerare dopo che un aggressore ha già compromesso un'identità e si è infiltrato nell'ambiente? Una volta che un aggressore è entrato nel sistema, il rilevamento e la risposta diventano più complessi. Un aggressore può intraprendere una serie di azioni per danneggiare l'azienda, come la compromissione di più account, l'escalation dei privilegi di identità e movimenti laterali elusivi, che possono portare a incidenti critici per l'azienda.
Cosa succede allora e cosa puoi fare per rispondere a questa sfida? La risposta sta nella tua tecnologia di rilevamento e risposta, che deve principalmente garantire che i segnali raccolti dalla tua tecnologia ti informino in modo intelligente di questi comportamenti sospetti prima ancora che si trasformino in un attacco vero e proprio. Ad esempio, Attack Signal Intelligence Vectra AI Attack Signal Intelligence correlare host ed entità su tutte le superfici di attacco con attribuzioni basate su AI e ML che colmano accuratamente le lacune informative che generano complessità post-compromissione. Ottenere un contesto ricco e accurato sul modo in cui si muove un aggressore vi consentirà di avere successo anche quando un aggressore riesce a superare le vostre difese.
4. Collaborare con esperti esterni
Sebbene investire in tecnologie di qualità possa ridurre significativamente il carico di lavoro del team SOC, talvolta ciò non è sufficiente per combattere gli attacchi moderni, specialmente negli ambienti ibridi odierni. Ecco perché consigliamo vivamente di combinare la tecnologia di intelligenza artificiale con l'intelligenza umana, in particolare quella di esperti di settore di terze parti, come ulteriore linea di difesa contro gli attacchi ibridi. Gli esperti di settore di terze parti possono fornire servizi gestiti di rilevamento e risposta, che offrono approfondimenti sul settore della sicurezza oltre ad essere esperti in materia della piattaforma e della tecnologia che state utilizzando. Esternalizzare alcune delle attività SOC ripetitive e banali ad esperti del settore è un ottimo investimento, soprattutto quando questi esperti conoscono bene la tecnologia e la piattaforma che utilizzate per il rilevamento e la risposta alle minacce.
Nel caso di Vectra MXDR, il nostro team di analisti è composto da esperti sia nel campo della sicurezza informatica che nella Vectra AI . Inoltre, Vectra MXDR è in grado di coprire tutte le superfici di attacco (SaaS, cloud, identità, rete ed endpoint nostre integrazioni con CrowdStrike, SentinelOne e Microsoft Defender a livello globale 24 ore su 24, 7 giorni su 7, 365 giorni all'anno. Vectra MXDR consente di alleggerire il carico di lavoro, liberando tempo e risorse da dedicare ad attività più importanti e di maggior valore.
5. Ottimizzare il talento e il budget
Parlando di liberare tempo e talento, l'ultimo modo in cui i migliori SOC riescono a stare al passo con gli attacchi odierni è ottimizzare le persone e le risorse all'interno dei loro team. Le persone danno il meglio di sé quando fanno ciò che amano: il vostro team SOC ama gestire gli avvisi, mettere a punto le regole e creare report per ore ogni giorno? Probabilmente no. Invece, il budget per la sicurezza che liberate utilizzando un servizio di rilevamento e risposta gestito può essere investito in iniziative o programmi di sicurezza su cui il vostro SOC vorrebbe lavorare: programmi di ricerca delle minacce, mentoring, ricerca, costruzione di relazioni commerciali e iniziative di alto livello destinate a talenti di alto livello.
Ecco perché affidare le attività ripetitive del SOC a un servizio MDR è fondamentale per un SOC moderno. Quando un altro team si occupa delle attività quotidiane che richiedono troppo tempo al team SOC, gli analisti hanno più tempo a disposizione per dedicarsi a progetti di alto valore, ottimizzando così il budget destinato al personale e alla sicurezza.
Come liberare più risorse SOC? Inizia da qui.