C'è un famoso enigma filosofico che riguarda l'osservazione e la percezione:
"Se un albero cade in una foresta e non c'è nessuno a sentirlo, fa rumore?".
La stessa domanda dovrebbe essere posta per la sicurezza del rilevamento.
"Se un rilevamento cattura un attaccante e non c'è nessuno a vederlo, è stato davvero rilevato?".
Noi di Vectra non crediamo che lo sia. Un rilevamento che non viene visto è altrettanto valido di un rilevamento inesistente.
Nel tentativo di far progredire la sicurezza, riteniamo che non sia sufficiente offrire una copertura all'avanguardia per il rilevamento delle minacce basata sull'intelligenza artificiale, ma che sia necessario fornire i rilevamenti in modo che il team di sicurezza sia in grado di vedere ciò che è più importante, in modo da poter agire immediatamente.
Adattamento ai flussi di lavoro
Un aspetto fondamentale per garantire la visibilità dei rilevamenti è l'integrazione nel modo di lavorare dei team operativi di sicurezza.
L'ultimo passo che Vectra ha compiuto in questo senso è una nuova versione della nostra integrazione con Splunk.
La vista aggiornata di Vectra è stata progettata per la nuova rete, dove le minacce possono essere rilevate nel data center, dai lavoratori remoti, nelle applicazioni SaaS o nel cloud pubblico. Vectra combina tutte queste diverse fonti di dati in un unico riquadro unificato, in cui sono elencate le principali minacce per l'organizzazione (per ogni fonte), in modo da sapere esattamente su cosa intervenire per primo, sia che si tratti di un host o di un account, sulla rete o nel cloud.
Indipendentemente dal numero di vettori di attacco di cui potreste essere preoccupati, Vectra vi mostrerà la priorità numero uno in base a ciò che secondo i nostri algoritmi richiede attenzione, su ogni superficie che stiamo monitorando.
Questa priorità non è a livello di rilevamento, ma a livello di entità, ovvero l'attore effettivo che Vectra ha individuato mentre svolgeva attività sospette. Potrebbe trattarsi di un host nel vostro data center, di un account di servizio in AWS o di un utente di Azure AD. Vectra è in grado di misurare la minaccia (quanto è grave l'attacco se è reale) e la certezza (quanto siamo sicuri che sia reale), per creare una visione a quadranti, da "Basso" a "Critico", e rappresenta questi dati nel prodotto stesso.
Questa vista a quadranti è supportata da un elenco delle principali minacce che richiedono attenzione, in modo che gli analisti sappiano esattamente cosa deve essere indagato.
"Assegnazione" dei tempi
Un team SOC è efficiente solo se i rilevamenti possono essere avvisati rapidamente e le comunicazioni tra i membri del team sono rapide e semplici. Per assicurarsi che nessun analista si occupi dello stesso problema, Vectra utilizza il suo potente "Assignments Workflow" per mostrare chi sta lavorando su quale entità. Chiunque utilizzi il "flusso di lavoro delle assegnazioni" sarà ora in grado di vedere chi sta lavorando sulle entità e se sta cercando il prossimo elemento su cui indagare, in modo da poter facilmente filtrare le entità non assegnate. Queste azioni non solo faranno risparmiare tempo agli altri colleghi che devono informarli su chi sta lavorando su un determinato incidente, ma forniranno anche un rapporto incredibilmente dettagliato sulle metriche operative.
Segnalazione in servizio
Chiunque gestisca sistemi per mestiere può affermare che non è sufficiente impostare un sistema funzionante e lasciarlo lì: è necessario monitorare questi sistemi su base continuativa, in modo da sapere se l'efficacia del sistema non è all'altezza. Il monitoraggio degli strumenti di terze parti può essere spesso laborioso e noioso, ma il report Operational Metrics di Vectra automatizza l'intero processo sfruttando l'Assignment Workflow di cui abbiamo parlato prima, che si integra direttamente nel flusso di lavoro esistente di Splunk [JK2]. Grazie a questo report, i manager hanno una visione chiara del numero di avvisi che il team SOC deve esaminare e del tempo che il team impiega in media a riconoscere e rispondere. Si tratta di uno strumento estremamente potente che mette dati chiari e concreti dietro la copertura della sicurezza.
Quando un albero cade in una foresta, prendetelo prima che colpisca qualcosa.
L'integrazione aggiornata di Splunk di Vectra semplifica il flusso di lavoro del SOC ed è parte integrante della nostra missione chiave di far progredire la sicurezza, in modo che quando l'albero cade nella foresta, il vostro team venga avvisato immediatamente, veda cosa sta accadendo e possa prenderlo prima che colpisca qualcosa.
Per ulteriori informazioni sull'integrazione di Vectra con Splunk, è possibile trovare tutti i dettagli nella scheda della soluzione.