Questa è la seconda puntata della nostra serie sul lockdown, in cui discutiamo dei metodi che potete utilizzare per contenere efficacemente gli eventi di sicurezza e di come Vectra può aiutarvi. Date un'occhiata al primo pezzo che spiega perché la velocità e la precisione sono fondamentali quando si rilevano e si rimediano le violazioni.
Necessità di velocità
Come già detto nel nostro precedente articolo sul blocco di Vectra, la velocità è un ingrediente fondamentale per il successo del contenimento. Quando si è costretti a passare a un'altra piattaforma per trovare l'host, l'account o il criterio da applicare, si perde tempo prezioso che potrebbe non essere disponibile quando gli attacchi sono in corso.
In questa parte, analizzeremo in dettaglio come Vectra consente ai team di sicurezza di contenere automaticamente gli eventi direttamente dalla piattaforma Vectra, dove gli analisti possono facilmente vedere e gestire le impostazioni di contenimento da un unico pannello di vetro. E come esempio, mostreremo come è possibile ottenere questo risultato con due dei nostri partner di integrazione del nostro ricco ecosistema di partner nativi: Microsoft e Amazon Web Services (AWS).
Blocco del difensore
Vectra si integra strettamente con Microsoft Defender for Endpoint, una famosa soluzione di rilevamento e risposta endpoint (EDR). Grazie a questa integrazione, possiamo sfruttare la funzionalità "Isolate Device" di Defender for Endpoint. In questo modo gli analisti possono usufruire di tutte le funzionalità di isolamento di Defender senza dover passare da Vectra.
Vectra Lockdown for Endpoint consente agli analisti di isolare gli host manualmente o automaticamente e, come nel blog precedente in cui abbiamo parlato di Lockdown dell'account, Lockdown for Hosts ha opzioni granulari. La prima è la valutazione della durata del blocco, che può essere compresa tra 1 e 24 ore. È inoltre possibile selezionare i punteggi minimi di minaccia e certezza per l'host, nonché un privilegio minimo osservato dell'host. Una volta configurate queste soglie, Vectra conterrà automaticamente un host se il comportamento osservato corrisponde ai criteri.
Blocco per AWS
Alcuni clienti richiedono di espandere il set di funzionalità della Cognito Platform per coprire i carichi di lavoro cloud , e fortunatamente la nostra ricca API consente un'integrazione rapida e semplice. Sul nostro Github, troverete un esempio di integrazione con AWS.
Senza ripetere quanto riportato nel README, possiamo sfruttare l'hub di sicurezza AWS per creare eventi che vengono attivati da CloudWatch lanciando una funzione AWS Lambda, come l'arresto o l'isolamento di un carico di lavoro in AWS. Il flusso è completamente automatizzato e non richiede l'intervento manuale dell'operatore. Poiché l'integrazione utilizza le nostre API native, potrebbe anche essere facilmente convertita per cercare un tag specifico su un host e consentire l'esecuzione di azioni da parte di un componente middleware come una security orchestration automation and response (SOAR).
Il punto è che non siamo limitati a ciò che è già integrato nella piattaforma e che esistono già molte integrazioni personalizzate di successo.
In caso di dubbio, fate un sopralluogo
La piattaforma Vectra Cognito è potente e flessibile, e consente di configurare l'architettura di contenimento in base alle esigenze della propria organizzazione. Quando si mette in pratica Vectra, la seguente lista di controllo può essere utile da considerare al momento dell'implementazione:
- Che tipo di incidenti di sicurezza volete contenere? Attaccante attivo? Ransomware? Infiltrazione di dati?
- Quali host non volete mai contenere? Active directory? Server di posta? Server di produzione?
- La vostra soluzione endpoint supporta il contenimento? Se sì, quali versioni del sistema operativo sono supportate?
- Per gli host senza agente, come si desidera gestire questi host?
- Vogliamo includere il contenimento dei conti? In caso affermativo, quali tipi di conti rientrano nell'ambito di applicazione e quali no?
- Chi ha l'autorità ultima di approvare il contenimento? Le parti interessate devono essere informate?
Rispondendo a queste domande, l'organizzazione avrà un quadro chiaro di ciò che rientra nell'ambito di applicazione e di ciò che è fuori dall'ambito di applicazione del contenimento. Una volta stabiliti gli standard, è possibile delineare un diagramma di flusso con le fasi che gli analisti possono seguire.
Per aiutarvi a sfruttare al meglio le funzionalità della piattaforma Cognito, il team di servizi professionali di Vectra può aiutarvi. Sidekick Services è un'offerta in cui i nostri esperti possono lavorare a fianco del vostro team per sviluppare e integrare le funzionalità di lockdown secondo il vostro playbook.
È frequente che le organizzazioni si buttino nella bonifica prima che sia stata completata un'indagine completa. Con Lockdown si guadagna tempo, si conservano le prove e si analizza l'incidente prima di procedere alla riparazione.
Ma ricordate che, per quanto utile, il contenimento è una soluzione a breve termine di rapida attuazione che non sostituisce adeguatamente pratiche operative di sicurezza solide e sane. Il blocco dell'host e il blocco dell'account non sono concepiti come soluzioni permanenti, ma piuttosto come soluzioni temporanee da utilizzare mentre è in corso un'indagine.
Per saperne di più su Vectra Cognito, non esitate a contattarci o a programmare una demo.