.webp)
Un tempo il modo in cui gli aggressori si infiltravano in un'organizzazione era relativamente semplice. L'attaccante trovava una vulnerabilità, come un dispositivo non patchato o un account compromesso, si intrufolava nel sistema, criptava i file o rubava i dati e lasciava all'organizzazione il compito di ripulire il tutto e di trovare modi migliori per costruire le proprie difese.
Oggi le organizzazioni sono una combinazione di superfici di attacco che, sulla carta, sembrano più difficili da attraversare per un aggressore. Tuttavia, man mano che le organizzazioni diventano più intelligenti, lo sono anche gli aggressori. Ora gli attacchi non sono più così lineari: gli aggressori possono trovare una vulnerabilità, rimanere inattivi, passare da una superficie di attacco a un'altra, rimanere di nuovo inattivi e poi sferrare un attacco in piena regola contro l'azienda. A volte è troppo tardi e le aziende devono sborsare milioni di dollari per recuperare e rimediare.
Per quanto possa sembrare futile, ciò non significa che non si possa stare al passo con la curva di rilevamento delle minacce di oggi. Ecco cinque modi in cui i migliori SOC sono in grado di anticipare gli aggressori.
1. Investite nella vostra tecnologia
L'unica tecnologia che permetterà alle organizzazioni di stare davanti agli aggressori è l'intelligenza artificiale. Non stiamo parlando di LLM (modelli linguistici di grandi dimensioni) che si limitano a supportare gli analisti nella creazione di query per le loro indagini. Non stiamo parlando di approcci AI/ML che rilevano solo le anomalie e richiedono una costante manutenzione umana.
Stiamo parlando dell'utilizzo dell'IA per costruire un segnale di attacco che faccia emergere le minacce più critiche e urgenti specifiche per ogni singolo ambiente del cliente, fornendo al contempo la narrazione completa dell'attacco. Noi di Vectra AI chiamiamo questa intelligenza artificiale la nostra "intelligenza del segnale di attacco".Attack Signal Intelligence."
Per oltre un decennio, Vectra ha svolto attività di ricerca, sviluppo, pionierismo e brevetto di IA per la sicurezza, con l'obiettivo di fornire il miglior segnale di attacco del pianeta. La nostra Attack Signal Intelligence va oltre le firme e le anomalie per comprendere il comportamento dell'aggressore e individuarne le TTP lungo l'intera catena di distruzione informatica dopo la compromissione. Analizza i comportamenti degli aggressori e i modelli di traffico unici dell'ambiente del cliente per ridurre il rumore degli avvisi e far emergere solo gli eventi positivi rilevanti. Armati di un contesto che descrive la storia completa di un attacco, gli analisti della sicurezza possono dedicare il loro tempo e il loro talento a ciò che sanno fare meglio, ovvero cercare, indagare e impedire che gli attacchi si trasformino in violazioni.
Per maggiori informazioni sull'Attack Signal Intelligence di Vectra AI, leggete il nostro whitepaper.
2. Adottare una strategia XDR
Una strategia di rilevamento e risposta estesa (XDR) è fondamentale per combattere i moderni attacchi ibridi che si estendono su più superfici di attacco. Con una strategia XDR, sarete in grado di ottenere:
- Copertura: Copertura integrata di alta qualità per il rilevamento delle minacce sull'intera superficie di attacco ibrida: reti, IoT/OT, cloud pubblici, identità, applicazioni SaaS, endpoint ed e-mail. I difensori devono avere la certezza di avere la visibilità necessaria.
- Chiarezza: Segnale integrato che correla i rilevamenti per dare priorità agli attacchi reali in tempo reale. I difensori devono sapere su cosa concentrarsi per primo, da dove iniziare il loro lavoro.
- Controllo: Azioni di indagine e risposta integrate, automatizzate e gestite che consentono ai team SOC di muoversi alla velocità e alla scala degli aggressori ibridi. I difensori hanno bisogno di competenza e fiducia per stare al passo con il volume e la velocità delle minacce.
Scoprite come realizzare una strategia XDR pronta per gli attacchi ibridi con la Guida alla strategia XDR di Vectra.
3. Valutare regolarmente il rischio di esposizione
La sicurezza di un'organizzazione è un obiettivo mobile, dato che l'ambiente IT è in costante evoluzione. Per tenere il passo con un obiettivo in movimento è necessario valutare regolarmente la propria esposizione agli attacchi.
A tal fine, è necessario esaminare gli elementi di base, tra cui la revisione dei firewall e dei gateway Internet, la protezione malware , la gestione delle patch, il controllo dell'elenco dei permessi e dell'esecuzione, la configurazione sicura, i criteri per le password e il controllo dell'accesso degli utenti. L'integrazione di questi elementi di base nel vostro programma di sicurezza è fondamentale, così come il mantenimento di aggiornamenti regolari.
Inoltre, è necessario esaminare le aree di superficie a cui la vostra organizzazione può essere potenzialmente esposta. In alcuni casi, esistono risorse per effettuare test di pressione e analizzare le lacune all'interno delle superfici di attacco.
Vectra AI offre un'analisi gratuita dei gap di esposizione all'identità. Cliccate qui per iniziare.
Queste misure coprono il rischio di esposizione prima di una potenziale compromissione, ma cosa si deve considerare dopo che un aggressore ha già compromesso un'identità e si è infiltrato nell'ambiente? Una volta che un aggressore è entrato nel vostro sistema, si presentano maggiori complessità di rilevamento e risposta. Un aggressore può intraprendere una pletora di azioni per danneggiare l'azienda, come la compromissione di più account, l'escalation dei privilegi dell'identità e il movimento laterale elusivo, tutte azioni che possono portare a un incidente critico per l'azienda.
Cosa succede e cosa potete fare per rispondere a questa sfida? La risposta sta nella vostra tecnologia di rilevamento e risposta, soprattutto assicurando che i segnali raccolti dalla vostra tecnologia vi informino in modo intelligente di questi comportamenti sospetti prima ancora che diventino un attacco vero e proprio. Ad esempio, l'Attack Signal Intelligence di Vectra AIè in grado di correlare host ed entità attraverso le superfici di attacco con un'attribuzione basata su AI e ML che colma accuratamente le lacune informative che producono complessità post-compromissione. Ottenere un contesto ricco e accurato sul modo in cui si muove un attaccante vi permetterà di avere successo anche quando un attaccante riesce a superare le vostre difese.
4. Collaborare con esperti di terze parti
Sebbene l'investimento in una tecnologia di qualità possa ridurre significativamente il carico di lavoro del team SOC, a volte non è sufficiente per combattere gli attacchi moderni, soprattutto negli ambienti ibridi di oggi. Per questo motivo consigliamo vivamente di combinare la tecnologia dell'intelligenza artificiale con l'intelligenza umana, in particolare con esperti di settore di terze parti, come ulteriore linea di difesa contro gli aggressori ibridi. Gli esperti di settore di terze parti possono essere forniti con servizi di rilevamento e risposta gestiti, che forniscono approfondimenti sul settore della sicurezza e sono esperti della piattaforma e della tecnologia in uso. L'esternalizzazione di alcune attività SOC ripetitive e banali a esperti del settore è un ottimo investimento da fare, soprattutto quando questi esperti conoscono bene la tecnologia e la piattaforma che utilizzate per il rilevamento e la risposta alle minacce.
Nel caso di Vectra MXDR, il nostro team di analisti è esperto sia nel settore della cybersecurity sia nella Vectra AI Platform. Inoltre, Vectra MXDR è in grado di coprire tutte le superfici di attacco: SaaS, cloud, identità, rete ed endpoint grazie alle nostre integrazioni con CrowdStrike, SentinelOne e Microsoft Defender a livello globale 24x7x365. Vectra MXDR può scaricare ore di lavoro, liberando tempo e talento per le attività più critiche e ad alto valore.
5. Ottimizzare i talenti e il budget
A proposito di liberare tempo e talenti, l'ultimo modo in cui i migliori SOC si mantengono all'avanguardia rispetto agli aggressori di oggi è l'ottimizzazione delle persone e delle risorse all'interno dei loro team. Le persone danno il meglio facendo ciò che amano: il vostro team SOC ama gestire gli avvisi, mettere a punto le regole e creare report per ore al giorno? Probabilmente no. Invece, il budget per la sicurezza che si libera utilizzando un servizio di rilevamento e risposta gestito può essere investito in iniziative o programmi di sicurezza su cui il vostro SOC vorrebbe lavorare: programmi di caccia alle minacce, tutoraggio, ricerca, creazione di relazioni commerciali e in generale iniziative di alto livello destinate a talenti di alto livello.
Ecco perché l'esternalizzazione delle attività ripetitive del SOC a un servizio MDR è fondamentale per un SOC moderno. Quando un altro team si occupa delle attività quotidiane a cui il team SOC dedica troppo tempo, gli analisti hanno più tempo per dedicarsi a progetti di alto valore, ottimizzando così i talenti e il budget per la sicurezza.
Come liberare più risorse SOC? Iniziate da qui.