Misuraree migliorare il tempo totale di risposta è più facile a dirsi che a farsi. La realtà è che molte organizzazioni non conoscono il loro attuale stato di preparazione per essere in grado di rispondere a un incidente di cybersecurity in modo rapido ed efficace. E la maggior parte non sa quale sia il livello di consapevolezza del rischio e quale sia il livello di risposta adeguato. Come ho detto nel mio blog precedente, la classificazione del rischio determina il livello di maturità necessario per l'organizzazione.
Ma soprattutto, anche quando il rischio è noto, la mancanza di personale o l'inefficienza del personale non porterà a un programma efficace. Una grande percentuale del tempo di un analista di sicurezza viene impiegata per affrontare eventi inaspettati che un processo esistente non è in grado di gestire. Gli analisti della sicurezza svolgono un'enorme quantità di lavoro manuale e noioso per smistare gli avvisi, metterli in relazione e assegnare loro una priorità. Spesso passano ore a fare queste operazioni per poi scoprire che l'avviso non è effettivamente prioritario.
Inoltre, l'esecuzione di un lavoro manuale e noioso introduce errori umani. Le persone eccellono nel pensiero critico e nell'analisi, non nel lavoro manuale ripetitivo. Le organizzazioni non hanno altra scelta che assumere più personale, ridurre il carico di lavoro o entrambe le cose. Per ottenere i tempi di risposta desiderati per un elevato livello di consapevolezza delle minacce, è necessario comprendere a fondo quali attività automatizzare e, soprattutto, quando non automatizzare.
Un processo di risposta agli incidenti efficiente manterrà le persone nel giro senza dare loro tutte le chiavi delle macchine. L'obiettivo è invece quello di liberare il tempo dell'analista di sicurezza per concentrarsi su un lavoro di maggior valore che richiede un pensiero critico.
Il modello sopra riportato prevede tre fasi che mostrano come l'automazione possa essere applicata a un processo di rilevamento e risposta. Il modello si articola in questo modo:
- Visibilità, rilevamento e prioritizzazione degli indicatori di attacco provenienti da endpoint e reti.
- Analisi dei dati endpoint e della rete correlati ad altre fonti di dati chiave.
- Una risposta coordinata agli attacchi attraverso endpoint, reti, utenti e applicazioni.
Fase 1: visibilità, rilevamento e definizione delle priorità
La rete e i suoi endpoint forniscono visibilità e capacità di rilevamento. Si basano sui dati di visibilità e rilevamento per fornire la priorità iniziale di un incidente e gli avvisi immediati. L'automazione del processo di rilevamento e di triage in questa fase riduce il numero totale di eventi segnalati, raggruppando numerosi avvisi per creare un singolo incidente da indagare che descrive una catena di attività correlate, piuttosto che avvisi isolati che un analista della sicurezza deve mettere insieme. Gli asset e gli account centrali di un incidente vengono contestualizzati e classificati in base alla minaccia e alla certezza. Queste informazioni vengono poi trasmesse alla fase successiva.
Fase 2: correlazione e analisi
In questa fase, i dati della rete e degli endpoint vengono correlati con quelli dei sistemi di gestione degli utenti, delle vulnerabilità e delle applicazioni, nonché con altre informazioni sulla sicurezza, come i feed di intelligence sulle minacce. L'obiettivo è verificare ciò che è stato classificato come prioritario dai dati della rete e degli endpoint e prescrivere la risposta corretta in base alla gravità e alla priorità. Questa fase richiede un'analisi umana per prendere decisioni basate sul contesto ambientale e sul rischio aziendale. Gli avvisi altamente raffinati e verificati vengono passati alla fase 3.
Fase 3: coordinamento e risposta
In questa fase, l'automazione del playbook riceve la risposta prioritaria. Ciò include gli avvisi di endpoint e di rete generati dagli strumenti di rilevamento e risposta della rete (NDR) e di rilevamento e risposta endpoint (EDR) in base alle rispettive capacità analitiche. I playbook di automazione e orchestrazione sfruttano i dati forniti dalla correlazione e dall'analisi. Questi playbook coordinano una risposta all'attacco attraverso endpoint, reti, utenti e sistemi di gestione delle applicazioni. Le risposte vengono eseguite alla velocità della macchina per mitigare la diffusione dell'attacco e possono includere punti di decisione umani per limitare il livello di automazione a livelli appropriati per la situazione.
L'elevato grado di integrazione e interoperabilità tra queste piattaforme consente alle organizzazioni di implementare il rilevamento e la risposta in una configurazione molto pratica e gestibile. Questo riduce al minimo il numero di strumenti e applicazioni di sicurezza necessari per affrontare l'intero ciclo di rilevamento, decisione e risposta. Questa implementazione offre inoltre un livello di maturità superiore a quello raggiunto dalla maggior parte delle organizzazioni.
L'approccio non funziona solo in teoria. Funziona nel mondo reale con l'NDR. Possiamo esaminare le metriche delle organizzazioni esistenti che hanno implementato la Cognito Platform di Vectra per vedere la riduzione media del carico di lavoro per il rilevamento, il triaging e la prioritizzazione degli eventi da parte di un analista di sicurezza di livello 1.
Per ogni 10.000 dispositivi e carichi di lavoro monitorati in un mese, il conteggio medio dei picchi di gravità degli host ha segnalato 27 rilevamenti critici e 57 ad alto rischio. Questi dispositivi e carichi di lavoro rappresentano la minaccia maggiore per un'organizzazione e richiedono l'attenzione immediata di un analista di sicurezza. In un periodo di 30 giorni, ciò equivale a circa un rilevamento critico e due ad alto rischio al giorno che richiedono un'attenzione immediata. Anche se possono verificarsi altri eventi, pochi sono di effettivo interesse e dovrebbero essere segnalati agli analisti senior o alle unità aziendali per un'indagine più approfondita.
Gli algoritmi di apprendimento automatico basati sul comportamento sono incredibilmente utili per eseguire lavori ripetitivi a velocità superiori a quelle che gli esseri umani possono raggiungere 24 ore su 24 e senza errori. L'apprendimento automatico fornisce intuizioni profonde e un contesto dettagliato sugli attacchi informatici in corso, che consentono agli analisti della sicurezza di svolgere il pensiero critico per verificare e rispondere rapidamente a un incidente. Ciò si ottiene utilizzando un segnale ad alta fedeltà che filtra il rumore che porta a falsi positivi.
In questo modo si riducono le lacune di competenze e le barriere all'ingresso nelle operazioni di sicurezza come analista junior, mentre si libera il tempo degli analisti senior altamente qualificati per concentrarsi sulla ricerca delle minacce e sul ruolo di consulenti sui rischi per le unità aziendali.
I risultati
Ecco tre punti chiave da ricordare.
Il tempo è la metrica più importante per rilevare e rispondere agli attacchi prima che si verifichino danni.
Per fermare gli attacchi persistenti e mirati è necessario individuare e rispondere rapidamente.
Una maggiore consapevolezza delle minacce e un'agilità di risposta sono i risultati di un processo di risposta agli incidenti maturo.
La comprensione dei rischi in relazione agli adeguati livelli di consapevolezza delle minacce e di agilità di risposta è fondamentale.
L'apprendimento automatico funziona meglio se applicato a compiti specifici.
È adatto per automatizzare compiti noiosi e ripetitivi, lasciando alle persone il pensiero critico e l'analisi complessa.
Se avete bisogno di migliorare le vostre operazioni di sicurezza e di potenziare le vostre capacità di risposta agli incidenti, scoprite i servizi di consulenza di Vectra per una gamma di offerte personalizzate in base alle esigenze specifiche della vostra organizzazione.