Nel rapporto di ricerca di Gartner intitolato “Applying Network-Centric Approaches for Threat Detection and Response” (Applicazione di approcci incentrati sulla rete per il rilevamento e la risposta alle minacce), pubblicato il 18 marzo 2019 (ID: G00373460), Augusto Barros, Anton Chuvakin e Anna Belak hanno introdotto il concetto di “triade di visibilità del SOC”. In questa nota, Gartner consiglia:
«La crescente complessità delle minacce impone alle organizzazioni di avvalersi di più fonti di dati per il rilevamento e la risposta alle minacce. Le tecnologie basate sulla rete consentono ai professionisti del settore di ottenere una rapida visibilità delle minacce nell'intero ambiente senza ricorrere ad agenti.»
Figura 1. La triade della visibilità SOC Fonte: Gartner, "Applying Network-Centric Approaches for Threat Detection and Response", Augusto Barros et al., 18 marzo 2019, ID G0037346
Secondo la ricerca, «gli attuali strumenti per le operazioni di sicurezza possono essere descritti anche ricorrendo all’analogia con la “triade nucleare”, un concetto chiave della Guerra Fredda. La triade era costituita da bombardieri strategici, missili balistici intercontinentali (ICBM) e sottomarini lanciamissili.
I 3 elementi della triade SOC
Come illustrato nella Figura 1, un moderno SOC presenta una propria triade fondamentale di visibilità, ovvero:
1. Il sistema SIEM/UEBA consente di raccogliere e analizzare i log generati dall'infrastruttura IT, dalle applicazioni e da altri strumenti di sicurezza.
2. La soluzione Endpoint e risposta Endpoint consente di monitorare l'esecuzione dei processi, le connessioni locali, le modifiche al sistema, l'attività della memoria e altre operazioni sugli endpoint.
3. Il rilevamento e la risposta incentrati sulla rete (NTA, NFT e IDPS) sono garantiti dagli strumenti dedicati all'acquisizione e/o all'analisi del traffico di rete, come illustrato nella presente ricerca.
Questo approccio su tre fronti offre ai SOC una maggiore visibilità sulle minacce, nonché maggiori capacità di rilevamento, risposta, indagine e risoluzione.
Rilevamento e risposta alle minacce di rete
I metadati di rete rappresentano la fonte più attendibile per individuare le minacce. Solo il traffico effettivo sulla rete rivela le minacce nascoste con assoluta accuratezza e indipendenza. Le fonti a bassa risoluzione, come l'analisi dei log, mostrano solo ciò che è già visibile, non i comportamenti fondamentali delle minacce che gli aggressori non possono evitare mentre spiano, diffondono e rubano.
Una soluzione NDR raccoglie e archivia i metadati di rete fondamentali, integrandoli con tecniche di apprendimento automatico e analisi avanzate per individuare attività sospette sulle reti aziendali. L'NDR crea modelli che rispecchiano il comportamento normale e li arricchisce con metadati sia in tempo reale che storici.
NDR offre una visione d'insieme delle interazioni tra tutti i dispositivi presenti sulla rete. Gli attacchi in corso vengono rilevati, classificati in base alla priorità e correlati ai dispositivi host compromessi.
NDR offre una visione a 360 gradi a livello aziendale, dai carichi di lavoro cloud pubblico cloud nei data center privati fino agli utenti e ai dispositivi dell'Internet delle cose.
Endpoint e risposta Endpoint
Endpoint sono fin troppo comuni, che siano causate da malware, vulnerabilità non corrette o utenti distratti. I dispositivi mobili possono essere facilmente compromessi sulle reti pubbliche e poi ricollegati alla rete aziendale, dove l'infezione si diffonde. I dispositivi dell'Internet delle cose (IoT) sono notoriamente poco sicuri.
Una soluzione EDR offre funzionalità più avanzate rispetto ai tradizionali antivirus, consentendo un monitoraggio dettagliato delle attività dannose su un endpoint un dispositivo host. L'EDR fornisce una visione in tempo reale e a livello di base dei processi in esecuzione su un host o un dispositivo e delle interazioni tra di essi.
L'EDR rileva le attività di esecuzione e di memoria, nonché le modifiche, le operazioni e gli interventi a livello di sistema. Questa visibilità aiuta gli analisti della sicurezza a individuare modelli, comportamenti, indicatori di compromissione o altri indizi nascosti. Tali dati possono essere incrociati con altri flussi di informazioni di sicurezza per individuare minacce che possono essere rilevate solo dall'interno dell'host.
SIEM aziendale
Da decenni, i team di sicurezza si affidano ai sistemi SIEM come pannello di controllo delle attività di sicurezza nell'intero ambiente IT. I sistemi SIEM raccolgono le informazioni dei registri di eventi da altri sistemi e forniscono analisi dei dati, correlazione degli eventi, aggregazione e reportistica.
L'integrazione dei rilevamenti delle minacce provenienti da EDR e NDR può rendere un SIEM uno strumento ancora più potente, consentendo agli analisti della sicurezza di bloccare gli attacchi più rapidamente. Quando si verifica un incidente, gli analisti possono identificare rapidamente i dispositivi host interessati. Possono inoltre condurre indagini con maggiore facilità per determinare la natura di un attacco e stabilire se abbia avuto successo.
Un SIEM può inoltre comunicare con altri dispositivi di sicurezza di rete, come i firewall o i punti di applicazione NAC, per indurli a bloccare le attività dannose. I feed di intelligence sulle minacce consentono inoltre ai SIEM di prevenire gli attacchi in modo proattivo.
Un approccio integrato per individuare e bloccare gli attacchi informatici
I team di sicurezza che implementano la triade composta da NDR, EDR e SIEM sono in grado di fornire risposte a una gamma più ampia di domande quando devono gestire un incidente o individuare minacce. Ad esempio, possono rispondere a:
Qualche altro dispositivo ha iniziato a comportarsi in modo anomalo dopo aver interagito con il dispositivo potenzialmente compromesso?
Quali servizi e protocolli sono stati utilizzati?
Quali altri beni o conti potrebbero essere coinvolti?
Qualche altro dispositivo ha contattato lo stesso indirizzo IP esterno di comando e controllo?
L'account utente è stato utilizzato in modo anomalo su altri dispositivi? Questi elementi, combinati tra loro, consentono di fornire risposte rapide e ben coordinate su tutte le risorse, migliorano l'efficienza delle operazioni di sicurezza e riducono i tempi di permanenza che, in ultima analisi, comportano un rischio per l'azienda.
Secondo il Forum economico mondiale, si prevede che entro il 2020 le perdite economiche causate dalla criminalità informatica raggiungeranno i 3.000 miliardi di dollari. Gli Stati e i criminali stanno approfittando di un mondo digitale senza confini, ma adottando una "triade nucleare" basata sulla visibilità, un SOC può proteggere i dati sensibili e le operazioni vitali della propria organizzazione.
