Una delle principali sfide di un buon programma di risposta agli incidenti consiste nel bilanciare la necessità di visibilità, rilevamento e risposta con i costi e la complessità della costruzione e del mantenimento di uno stack di sicurezza utilizzabile ed efficace.
Storicamente, la gestione delle informazioni e degli eventi di sicurezza (SIEM) è stata al centro di molte operazioni di sicurezza per coprire un'ampia serie di casi d'uso, tra cui il rilevamento delle minacce, il reporting sulla conformità, la centralizzazione degli avvisi e la fornitura di processi e flussi di lavoro per gli analisti. Per alcune organizzazioni, un SIEM è ideale come punto centrale di tutto ciò che riguarda il rilevamento delle minacce e i log. Per altre, la capacità di gestire un SIEM efficace è determinata dalla capacità di trattenere i talenti. Ci sono aziende che devono far fronte alla mancanza di personale qualificato per i ruoli del Blue Team.
Purtroppo, un SIEM introduce generalmente ulteriori livelli di sovraccarico e non tutti i flussi di lavoro di indagine o di risposta agli incidenti devono essere presenti in un SIEM. Diventa fondamentale sapere quali eventi forniscono il più alto rapporto segnale/rumore per il rilevamento delle minacce. A cosa serve un SIEM in un ambiente con risorse limitate?
Per rispondere a questa domanda, dobbiamo iniziare a definire le esigenze di rilevamento delle minacce e di risposta agli incidenti:
- Visibilità sulle risorse dell'organizzazione, ovunque esse risiedano. Ciò potrebbe includere i carichi di lavoro del data center e del cloud , i computer portatili di proprietà dell'azienda, nonché i dispositivi BYOD e IoT.
- Correlazione degli eventi di sicurezza e capacità di identificare le relazioni tra carichi di lavoro e dispositivi.
- Contesto di ciò che è accaduto associato a una risposta perseguibile.
- Processi e flussi di lavoro ripetibili che consentono agli analisti alle prime armi di scalare rapidamente le competenze in materia di sicurezza e agli analisti senior di eseguire indagini rapide e risolutive.
- Rilevamento delle minacce e indagini che possono iniziare da qualsiasi punto.
Sebbene ritenga che la rete sia il modo più semplice per ottenere la più ampia visibilità e sia un ottimo punto di partenza per sapere dove andare a caccia, altre fonti di dati possono arricchire il contesto.
Il rilevamento delle minacce necessita di un contesto di rete e di endpoint , oltre che di registri. Ciascuna di queste fonti di dati deve essere supportata da strumenti specializzati costruiti appositamente per la visibilità, il rilevamento e la risposta nei rispettivi tipi di dati, costruiti da zero per lavorare insieme.
Esiste un nuovo tipo di architettura di sicurezza senza SIEM che consente alle aziende di sfruttare persone intelligenti con esperienza informatica generale per diventare la prossima generazione di analisti di sicurezza. Queste piattaforme specializzate di rilevamento e risposta forniscono processi ripetibili e di facile comprensione che costituiscono gli elementi costitutivi di un'indagine efficace, indipendentemente dal tipo di minaccia che si sta affrontando.
I tre componenti chiave di questa architettura dinamica consistono in (1) rilevamento e risposta della rete e degli endpoint (NDR e EDR) combinati con (2) automazione e orchestrazione della sicurezza per riunire (3) la gestione dei casi di risposta agli incidenti. Le indagini possono iniziare ovunque - rete, endpoint o automazione e orchestrazione della sicurezza - perché i componenti chiave dell'architettura comunicano tra loro. L'arricchimento supplementare dei casi e l'applicazione delle risposte sono spesso forniti dagli strumenti di sicurezza perimetrale già in uso.
Questa architettura è spesso utilizzata negli ambienti dei clienti con l'integrazione tra Vectra, CrowdStrike, Demisto e Palo Alto Networks. Ad esempio, l'integrazione tramite l'orchestrazione consente di intraprendere azioni informate basate sul tagging di Cognito, che attiva gli eventi e l'automazione in Demisto, e fornisce preziose informazioni che consentono ai team di sicurezza di creare team blu molto efficaci.
Con una fonte di dati migliore, come gli NDR di Vectra e gli EDR di CrowdStrike, gli analisti della sicurezza possono eliminare i costi e la complessità dei SIEM, pur godendo dei vantaggi di una risposta più rapida agli incidenti. La piattaforma Vectra Cognito è stata creata appositamente per integrarsi con la protezione endpoint , l'orchestrazione, il firewall, il cloud e la sicurezza dei data center virtualizzati, per supportare i flussi di lavoro esistenti per la risposta agli incidenti in modo complementare alla vostra organizzazione.
Queste integrazioni includono VMware, Microsoft Azure, Amazon Web Services, CrowdStrike, Carbon Black, Demisto, Splunk, Juniper, Palo Alto Networks e altri ancora. Ciò consente agli analisti della sicurezza di passare facilmente da una piattaforma all'altra o da uno strumento all'altro, fornendo al contempo un contesto ricco di informazioni sui dispositivi host compromessi e sugli incidenti legati alle minacce.
E se non potete separarvi dal vostro SIEM perché lo percepite come il centro del vostro universo investigativo sulle minacce, Cognito funziona bene anche in questo caso(QRadar, ArcSight e Splunk).