Sono stato uno dei primi sostenitori dell'approccio Gartner che prevede la combinazione di rilevamento e risposta endpoint (EDR), rilevamento e risposta della rete (NDR) e gestione delle informazioni e degli eventi di sicurezza (SIEM) per ottenere la triade della visibilità SOC. Ma la strada accidentata verso la visibilità dei centri operativi di sicurezza (SOC) è stata irta di sfide quando si è trattato di implementare strumenti di rilevamento degli aggressori.
Un'osservazione sulla triade della visibilità SOC è stata che i SIEM tradizionali potrebbero non essere in grado di gestire l'elevato volume di eventi, alcuni tipi di dati e una serie di altre sfide. È un aspetto che ho osservato molte volte lavorando con le aziende. I team di sicurezza faticano a creare casi d'uso dei SIEM o a mantenerli, anche quando funzionano perfettamente con set di dati di dimensioni gestibili.
Le risorse tecniche e umane necessarie per selezionare, costruire e mantenere complessi casi d'uso SIEM sono immense. I costi operativi sono significativi ben prima di considerare le risorse necessarie per eseguire operazioni di sicurezza con un SIEM.
Saint Gobain, un cliente di Vectra, ha affrontato questi problemi alcuni anni fa ed è giunta alla seguente conclusione:
- Automatizzare i rilevamenti degli aggressori utilizzando NDR e EDR. Fate riferimento al MITRE ATT&CK per garantire una copertura completa delle minacce in grado di adattarsi alla crescita degli indirizzi IP.
- Considerate la possibilità di creare modelli di rilevamento delle minacce personalizzati, basati su casi d'uso specifici e rilevanti per le vostre aziende. Un approccio unico a NDR, EDR e SIEM non funziona.
- Per i rilevamenti SIEM, create i casi d'uso rilevanti per la vostra azienda e non coperti da altri fornitori di sicurezza. Ciò garantisce la coerenza della qualità dei rilevamenti nel tempo.
In termini di priorità degli investimenti nei SOC, ho visto emergere una chiara tendenza: Le persone che pensavano al SIEM sono passate a un approccio EDR-first. Tuttavia, l'EDR non potrà mai coprire tutti i dispositivi o i carichi di lavoro di un'azienda e la sua posizione di distribuzione fornisce solo una visione locale di file e processi. È necessario un approccio diverso ma complementare.
Questa esigenza sta determinando la rapida adozione dell'NDR. L'NDR aggiunge un valore incommensurabile alle operazioni di sicurezza, fornendo una visibilità completa all'interno delle reti, dai flussi di lavoro cloud e del data center ai dispositivi degli utenti e dell'IoT, e portando chiarezza ai flussi di lavoro EDR e SIEM.
L'approccio agentless dell'NDR fornisce una visione dall'alto e si concentra sulle interazioni tra diversi host e account. Ciò avviene in reti cloud, data center, IoT e aziendali, dove l'NDR identifica i comportamenti immutabili degli aggressori nascosti.
Questa visibilità pervasiva, insieme al livello di automazione e alla significativa riduzione del carico di lavoro che l'NDR apporta al SOC, spiega chiaramente perché i team di sicurezza più lungimiranti stiano adottando un approccio NDR-first:
- L'integrazione tra più fornitori è indispensabile per garantire la coerenza e la facilità delle indagini.
- Ottenere un maggiore contesto di rilevamento espone l'intera portata di un attacco e consente azioni di risposta più rapide e informate.
I team di sicurezza stanno ora cambiando le loro risposte alla domanda su come dare priorità e bilanciare gli investimenti nel rilevamento:
- EDR: più preciso ma con una copertura minore (probabilmente fino al 40% delle macchine avrà mai un agente; è molto meno se si considerano IoT e OT).
- NDR: maggiore copertura, ma nessuna visione a livello di macchina delle attività dannose.
Per saperne di più, date un'occhiata alla triade di visibilità del SOC e a come vi permette di passare dalla prevenzione al rilevamento.