[AGGIORNATO IL 30/11/23 - La Guida al mercato 2020 è stata deprecata e non è più disponibile per il download]
La tanto attesa Gartner Market Guide for Network Detection and Response (NDR) è stata pubblicata e, prima di immergervi nel documento e nella ridefinizione della categoria, riteniamo che dobbiate notare alcune cose di fondamentale importanza. Poiché il mercato spinge per allontanarsi dalla semplice analisi e per passare a una risposta concreta, la "R" di NDR deve essere riconosciuta per quello che è veramente: un'opportunità per la vostra organizzazione di avere una strategia chiaramente delineata per la risposta automatica e manuale. In precedenza, questa categoria era nota come Network Traffic Analysis (NTA), ma si è evoluta al di là di questa definizione ed è stata rinominata per riflettere più accuratamente le funzionalità di queste soluzioni.
All'interno di questa categoria ridefinita, il mercato riconosce ora l'utilizzo di risposte automatiche e manuali come elementi comuni delle soluzioni NDR, che includono qualsiasi cosa, dall'invio di comandi a un firewall in modo che interrompa il traffico sospetto, alla fornitura di funzionalità di threat hunting e incident response. Tuttavia, per armare i team di sicurezza contro gli attacchi futuri è fondamentale distinguere le soluzioni NDR vere e proprie da quelle che cercano semplicemente di ottenere il massimo con funzionalità aggiuntive.
La Market Guide di Gartner definisce un mercato e spiega cosa i clienti possono aspettarsi che faccia nel breve termine. Concentrandosi sui mercati iniziali e più caotici, una Market Guide non valuta o posiziona i fornitori all'interno del mercato, ma piuttosto delinea più comunemente gli attributi dei fornitori rappresentativi che stanno fornendo offerte nel mercato per fornire ulteriori informazioni sul mercato stesso.
Mi piace il termine "caotico". L'elenco dei fornitori che dichiarano di essere NDR è lungo e variegato; molti utilizzano la sicurezza "bolt-on" o "check-box" per affermare di essere NDR. Gartner è riuscita a restringere l'elenco a 18, ma alcuni di questi mi fanno grattare la testa; posso solo immaginare quanto fosse lungo l'elenco quando hanno iniziato, quindi tanto di cappello a Gartner perché sono sicuro che ridurre il mercato a 18 fornitori non è stata un'impresa facile.
Noi di Vectra sappiamo che la risposta è fondamentale per ridurre le violazioni, aumentare l'efficienza dei centri operativi di sicurezza (SOC), garantire la conformità e fornire sicurezza nel cloud... tuttavia la tecnologia e le procedure che sono alla base dell'applicazione della sicurezza si basano sulla qualità e sul volume delle anomalie di sicurezza rilevate da un'organizzazione. È quindi fondamentale evitare gli avvisi di falso positivo, che portano rapidamente all'affaticamento degli avvisi e a una riduzione dell'efficienza degli analisti, che si trovano a dover stabilire le priorità di risposta. Se le risposte automatiche non vengono eseguite correttamente, gli effetti di questi falsi positivi si aggravano, causando interruzioni e guasti.
Una volta che si dispone di segnalazioni di qualità e ad alta fedeltà, si è pronti per la risposta.
- Rispondete in base ai comportamenti, non ai volumi di anomalie: Saltate il rumore e i falsi positivi dei sistemi basati sulle anomalie. Ancorate la vostra risposta a un approccio che copre un numero di comportamenti di rete leader nel settore nel framework MITRE ATT&CK .
- Date priorità alla risposta in base ai privilegi e ai rischi: Pensate come un attaccante. Concentratevi sulle risorse di risposta che prenderanno di mira. Date priorità a quelli con livelli elevati di privilegio, rischio e probabilità di minaccia.
- Applicazione a livello di identità: Cosa c'è di più preciso dell'applicazione a livello di identità? Niente. Rimuovere immediatamente gli accessi dannosi alle risorse critiche per l'organizzazione.
Una delle funzionalità di risposta preferite è Vectra Account Lockdown. Consente l'applicazione immediata e personalizzabile degli account tramite l'integrazione con Active Directory. È possibile bloccare chirurgicamente l'accesso agli account ed evitare l'interruzione del servizio disabilitando gli account anziché la rete. Disabilitando l'account di un aggressore, è possibile limitarne la progressione lungo la catena di eliminazione.