La vostra rete non è finita, con un inizio o una fine ben definiti. La vostra rete è in continua espansione e si connette a dispositivi IoT (Internet of Things), applicazioni e infrastrutture cloud , reti di tecnologia operativa (OT), partner e fornitori. Il cambiamento e la crescita costanti sono necessari per fornire nuovi servizi e prodotti e mantenere la produttività dei dipendenti.
Molte organizzazioni stanno esplorando l'IoT. Le motivazioni aziendali includono la possibilità di rendere più accessibile l'analisi dei dati, di prendere decisioni più informate, di scoprire nuove opportunità di business, di creare un luogo di lavoro più sicuro e produttivo e di monitorare e ottimizzare i processi o i comportamenti.
L'IoT è una nuova fonte di rischio
Il controllo del rischio e dell'esposizione sui dispositivi IoT con sistemi operativi incorporati crea nuove sfide. La sicurezza e il patching tradizionali endpoint sono spesso impossibili attraverso le normali procedure operative e i dispositivi IoT hanno spesso una superficie di attacco aperta. Gli strumenti di sicurezza che si concentrano sul codice maligno o sulla difesa perimetrale forniscono una visibilità limitata una volta che l'attaccante si è infiltrato con successo nell'ambiente. Gli analisti della sicurezza sono ciechi quando si tratta di dispositivi IoT compromessi.
Una triade potente
Ma c'è un modo migliore per ottenere una visibilità completa sulle minacce: La triade di visibilità dei centri operativi di sicurezza (SOC), recentemente introdotta da Gartner.
La triade di visibilità SOC è composta da rilevamento e risposta di rete (NDR), rilevamento e risposta endpoint (EDR) e gestione degli eventi di sicurezza (SIEM) o rilevamento basato sui log. Una combinazione unica e potente, che offre la migliore copertura di tutti i vettori di minacce attraverso i carichi di lavoro cloud , le infrastrutture aziendali e i dispositivi utente e IoT. Con questa combinazione, l'analisi delle minacce non dipende dalle firme o dalle liste di reputazione/blacklist. Il rilevamento si concentra invece sui comportamenti degli aggressori e sui modelli dannosi provenienti dall'interno della rete, sia che l'aggressore interno sia un dipendente disonesto o un estraneo.
L'EDR fornisce una chiara visibilità sull'attività a livello di host, ma richiede una visibilità estesa per gli host che non possono installare agenti, come gli IoT o gli host che supportano un'installazione selettiva di agenti. Gli strumenti SIEM e quelli basati sui log sono ottimi per la business intelligence, il reporting e la correlazione tra le fonti di dati, ma richiedono informazioni aggiuntive per i casi d'uso di movimento laterale, rilevamento della rete e risposta. Con l'NDR, la rete fornisce visibilità a livello di difesa su tutti i dispositivi IP che agiscono in modo sospetto. Questo livello di difesa aiuta a rilevare le vere minacce sconosciute nell'ambiente IT, concentrandosi sull'agenda dell'attaccante e sulle azioni che l'attaccante deve eseguire per avere successo.
Rilevamento e risposta di rete guidati dall'intelligenza artificiale
La piattaforma Cognito di Vectra è un elemento chiave della triade di visibilità del SOC. Gli analisti della sicurezza utilizzano Vectra per la ricerca delle minacce e per eseguire indagini conclusive sugli incidenti. Cognito, basato sull'intelligenza artificiale, rileva le minacce attive in tempo reale in tutta l'azienda, dai carichi di lavoro cloud e del data center ai dispositivi degli utenti e dell'IoT. Vectra analizza il traffico cloud e della rete, arricchisce i metadati con informazioni sulla sicurezza e stabilisce la priorità delle minacce a più alto rischio in tempo reale.
Per ulteriori informazioni sulla triade SOC Visibility, consultate il nostro brief sulla soluzione o contattateci per programmare una demo.