[AGGIORNATO IL 30/11/23 - La Guida al mercato 2020 è stata dismessa e non è più disponibile per il download]
La tanto attesa Guida al mercato Gartner per il rilevamento e la risposta di rete (NDR) è stata pubblicata e ci sono alcuni aspetti di fondamentale importanza che riteniamo dovreste tenere in considerazione prima di approfondire il documento e la categoria ridefinita. Poiché il mercato spinge ad abbandonare la semplice analisi a favore di una risposta concreta, la "R" in NDR deve essere riconosciuta per quello che è realmente: un'opportunità per la vostra organizzazione di disporre di una strategia chiaramente definita per la risposta automatica e manuale. In precedenza, questa categoria era nota come Network Traffic Analysis (NTA), ma si è evoluta oltre questa definizione ed è stata rinominata per riflettere in modo più accurato la funzionalità di queste soluzioni.
All'interno di questa categoria ridefinita, il mercato riconosce ora l'utilizzo di risposte automatiche e manuali come elementi comuni delle soluzioni NDR, che includono qualsiasi cosa, dall'invio di comandi a un firewall affinché blocchi il traffico sospetto, alla fornitura di funzionalità di ricerca delle minacce e risposta agli incidenti. Tuttavia, individuare le vere soluzioni NDR da quelle che cercano semplicemente di soddisfare i requisiti minimi con funzionalità aggiuntive è fondamentale per armare i vostri team di sicurezza contro attacchi futuri.
La Guida al mercato di Gartner definisce un mercato e spiega cosa possono aspettarsi i clienti nel breve termine. Concentrandosi sui mercati nascenti e più caotici, una Guida al mercato non valuta né posiziona i fornitori all'interno del mercato, ma piuttosto delinea le caratteristiche dei fornitori rappresentativi che offrono prodotti e servizi sul mercato, al fine di fornire ulteriori informazioni sul mercato stesso.
Adoro il termine "caotico". L'elenco dei fornitori che dichiarano di essere NDR è lungo e variegato; molti utilizzano soluzioni di sicurezza aggiuntive o check-box per affermare di essere NDR. Gartner è riuscita a restringere l'elenco a 18 nomi, ma anche alcuni di questi mi lasciano perplesso; posso solo immaginare quanto fosse lungo l'elenco all'inizio, quindi tanto di cappello a Gartner perché sono certo che restringere il mercato a 18 fornitori non sia stata un'impresa facile.
Noi di Vectra sappiamo bene che la risposta è fondamentale per ridurre le violazioni, aumentare l'efficienza dei centri operativi di sicurezza (SOC), garantire la conformità e fornire sicurezza nel cloud cloudla tecnologia e le procedure che sono alla base dell'applicazione della sicurezza si basano sulla qualità e sul volume delle anomalie di sicurezza rilevate da un'organizzazione. È quindi fondamentale evitare i falsi positivi, che portano rapidamente a una saturazione degli avvisi e a un calo di efficienza degli analisti, che si trovano a dover lottare per stabilire le priorità di risposta. Se le risposte automatizzate non vengono eseguite correttamente, gli effetti di questi falsi positivi vengono esacerbati, causando interruzioni e guasti.
Una volta ottenuti avvisi di qualità e alta fedeltà, sei pronto per rispondere.
- Rispondete in base ai comportamenti, non al volume delle anomalie: ignorate il rumore e i falsi positivi dei sistemi basati sulle anomalie. Ancorate la vostra risposta a un approccio che copra un numero leader nel settore dei comportamenti di rete nel MITRE ATT&CK .
- Dare priorità alla risposta in base ai privilegi e al rischio: ragionare come un aggressore. Concentrarsi sulle risorse di risposta che potrebbero essere prese di mira. Dare priorità a quelle con livelli elevati di privilegio, rischio e probabilità di minaccia.
- Applicazione a livello di identità: cosa c'è di più preciso dell'applicazione a livello di identità? Niente. Rimuovi immediatamente gli accessi dannosi alle risorse critiche per la tua organizzazione.
Una delle funzionalità più apprezzate è il blocco dell'account Vectra. Consente l'applicazione immediata e personalizzabile delle regole relative agli account tramite l'integrazione con Active Directory. È possibile bloccare in modo mirato l'accesso agli account ed evitare interruzioni del servizio disabilitando gli account anziché la rete. Disabilitando l'account di un aggressore, è possibile limitarne la progressione lungo la catena di attacco.