Nel rapporto di ricerca Gartner "Applying Network-Centric Approaches for Threat Detection and Response" pubblicato il 18 marzo 2019 (ID: G00373460), Augusto Barros, Anton Chuvakin e Anna Belak hanno introdotto il concetto di triade di visibilità dei centri operativi di sicurezza (SOC).
La ricerca fornisce il seguente grafico che mostra la "triade nucleare della visibilità", in particolare:
1. Gestione delle informazioni sugli eventi di sicurezza (SIEM) / Analisi del comportamento delle entità utente (UEBA)
La gestione delle informazioni sugli eventi di sicurezza (SIEM) / User entity behavior analytics (UEBA) consente di raccogliere e analizzare i log generati dall'infrastruttura IT, dalle applicazioni e da altri strumenti di sicurezza.
2. Rilevamento e risposta Endpoint (EDR)
L'EDR (Endpoint Detection and Response ) consente di acquisire l'esecuzione, le connessioni locali, le modifiche al sistema, le attività di memoria e altre operazioni dagli Endpoint .
3. Rilevamento e risposta incentrati sulla rete (NDR, NTA, NFT e IDPS).
Il rilevamento e la risposta incentrati sulla rete (NDR, NTA, NFT e IDPS) sono forniti dagli strumenti che si concentrano sulla cattura e/o sull'analisi del traffico di rete, come descritto in questa ricerca."
La ricerca prosegue affermando: "La triade SOC cerca di ridurre significativamente la possibilità che gli aggressori operino sulla vostra rete per un tempo sufficiente a raggiungere i loro obiettivi" .Nella ricerca, gli autori scrivono che "l'EDR fornisce un tracciamento dettagliato delle attività dannose su un endpoint. Gli aggressori, tuttavia, potrebbero essere in grado di nascondere i loro strumenti all'EDR. Ma la loro attività sarà visibile dagli strumenti di rete non appena interagiranno con qualsiasi altro sistema attraverso la rete".
La ricerca continua: "I log possono fornire la necessaria visibilità sui livelli superiori. Ad esempio, possono fornire visibilità su ciò che gli utenti fanno a livello di applicazione. L'EDR e i log possono anche attenuare i problemi legati alle connessioni di rete crittografate, causa comune di punti ciechi nelle tecnologie network-centriche".
I team operativi di sicurezza hanno posto a Vectra domande molto simili durante le loro attività di risposta o di ricerca delle minacce: Cosa faceva questo asset o account prima dell'allarme? Cosa ha fatto dopo l'allarme? Possiamo scoprire quando le cose hanno iniziato a peggiorare?
La cronologia delle minacce è generalmente disponibile in tre luoghi: rilevamento e risposta di rete (NDR), EDR e SIEM. L'EDR fornisce una visione dettagliata dei processi in esecuzione su un host e delle interazioni tra di essi. L'NDR fornisce una visione aerea delle interazioni tra tutti i dispositivi della rete, indipendentemente dal fatto che l'EDR sia in esecuzione o meno.
I team di sicurezza configurano i SIEM per raccogliere informazioni sui log degli eventi da altri sistemi. I team di sicurezza che implementano la triade NDR, EDR e SIEM sono in grado di rispondere a una gamma più ampia di domande quando rispondono a un incidente o vanno a caccia di minacce. Ad esempio, possono rispondere a:
- Un'altra risorsa ha iniziato a comportarsi in modo strano dopo aver comunicato con la risorsa potenzialmente compromessa?
- Quale servizio e quale protocollo sono stati utilizzati?
- Quali altri beni o conti possono essere coinvolti?
- Un'altra risorsa ha contattato lo stesso indirizzo IP di comando e controllo esterno?
- L'account utente è stato utilizzato in modo imprevisto su altri dispositivi?
Sebbene NDR e EDR possano fornire una prospettiva su questo aspetto, NDR è più critico perché fornisce una prospettiva laddove EDR non può farlo. Ad esempio, gli exploit che operano a livello del BIOS di un dispositivo possono eludere l'EDR. Esempi di questi exploit sono quelli che, secondo quanto riferito, sono stati rubati a Equation Group dal gruppo di hacker Shadow Brokers. Quando si chiede all'EDR di elencare i dispositivi con cui un host ha comunicato, può riferire i dispositivi B, C ed E. Nel frattempo, l'NDR riferirebbe che lo stesso host ha comunicato con i dispositivi A, B, C, E e F.
Questo approccio a un moderno centro operativo di sicurezza è anche il motivo per cui Vectra ha capacità di integrazione chiave con partner tecnologici leader del settore, tra cui CrowdStrike, Carbon Black e Splunk.
Per saperne di più, contattate Vectra per un colloquio di consulenza su queste integrazioni o programmate una richiesta di informazioni con gli autori della nota di ricerca di Gartner - Barros, Chuvakin e Belak - per approfondire il tema della visibilità della vostra infrastruttura.
Per ulteriori informazioni sulla triade SOC Visibility, consultate il solution brief "The ultimate in SOC visibility".