Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
Guida alle migliori pratiche

Triade della visibilità SOC - Il massimo in termini di visibilità SOC

Triade della visibilità SOC - Il massimo in termini di visibilità SOC
Seleziona la lingua per scaricare
Scarica
Accesso
Guida alle migliori pratiche
Grazie per aver scaricato!
Accedi alla tua offerta gratuita qui sotto.
Scarica
Scarica
Scarica in francese
Scarica in tedesco
Scarica in spagnolo
Scarica in giapponese
Scarica in italiano

Nel rapporto di ricerca Gartner "Applying Network-Centric Approaches for Threat Detection and Response" pubblicato il 18 marzo 2019 (ID: G00373460), Augusto Barros, Anton Chuvakin e Anna Belak hanno introdotto il concetto di SOC Visibility Triad. In questa nota, Gartner consiglia:

"La crescente sofisticazione delle minacce richiede alle organizzazioni di utilizzare più fonti di dati per il rilevamento e la risposta alle minacce. Le tecnologie basate sulla rete consentono ai professionisti tecnici di ottenere una rapida visibilità delle minacce in un intero ambiente senza utilizzare agenti".
Visibilità SOC Triad: applicazione di approcci incentrati sulla rete per il rilevamento e la risposta alle minacce
Figura 1. Triade di visibilità SOC
Fonte: Gartner, Applicazione di approcci incentrati sulla rete per il rilevamento e la risposta alle minacce, Augusto Barros et al., 18 marzo 2019, ID G0037346

Secondo la ricerca, "i moderni strumenti di sicurezza possono essere rappresentati con un'analogia alla 'triade nucleare', un concetto chiave della Guerra Fredda. La triade era composta da bombardieri strategici, missili balistici intercontinentali (ICBM) e sottomarini lanciamissili.

I 3 componenti della triade SOC

Come illustrato nella Figura 1, un SOC moderno dispone di una propria triade nucleare di visibilità, ovvero:

1. SIEM/UEBA offre la possibilità di raccogliere e analizzare i log generati dall'infrastruttura IT, dalle applicazioni e da altri strumenti di sicurezza.

2. Endpoint e la risposta Endpoint consentono di acquisire informazioni relative all'esecuzione, alle connessioni locali, alle modifiche di sistema, alle attività di memoria e ad altre operazioni dagli endpoint.

3. Il rilevamento e la risposta incentrati sulla rete (NTA, NFT e IDPS) sono forniti dagli strumenti incentrati sull'acquisizione e/o l'analisi del traffico di rete, come illustrato nella presente ricerca.

Questo approccio su tre fronti offre ai SOC una maggiore visibilità delle minacce, capacità di rilevamento, risposta, indagine e risoluzione.

Rilevamento e risposta di rete

I metadati di rete sono la fonte più autorevole per individuare le minacce. Solo il traffico sulla rete rivela le minacce nascoste con assoluta fedeltà e indipendenza. Le fonti a bassa risoluzione, come l'analisi dei log, mostrano solo ciò che è stato visto, non i comportamenti fondamentali delle minacce che gli aggressori semplicemente non possono evitare mentre spiano, diffondono e rubano.

Una soluzione NDR raccoglie e archivia i metadati chiave della rete e li integra con l'apprendimento automatico e analisi avanzate per rilevare attività sospette sulle reti aziendali. NDR crea modelli che riflettono il comportamento normale e li arricchisce con metadati sia in tempo reale che storici.

NDR fornisce una visione d'insieme delle interazioni tra tutti i dispositivi presenti nella rete. Gli attacchi in corso vengono rilevati, classificati in base alla priorità e correlati ai dispositivi host compromessi.

NDR offre una visione a 360 gradi dell'intera azienda, dai carichi di lavoro cloud pubblico cloud dei data center privati ai dispositivi degli utenti e dell'Internet delle cose.

Endpoint e risposta Endpoint

Endpoint sono fin troppo comuni, sia che derivino da malware, vulnerabilità non corrette o utenti distratti. I dispositivi mobili possono essere facilmente compromessi sulle reti pubbliche e poi ricollegati alla rete aziendale, dove l'infezione si diffonde. I dispositivi Internet of Things (IoT) sono notoriamente insicuri.

Una soluzione EDR offre funzionalità più sofisticate rispetto ai tradizionali antivirus, con un monitoraggio dettagliato delle attività dannose su un endpoint un dispositivo host. L'EDR fornisce una visione in tempo reale e a livello base dei processi in esecuzione su un host o un dispositivo e delle interazioni tra di essi.

L'EDR acquisisce le attività di esecuzione e di memoria, nonché le modifiche, le attività e le alterazioni del sistema. Questa visibilità aiuta gli analisti della sicurezza a individuare modelli, comportamenti, indicatori di compromissione o altri indizi nascosti. Questi dati possono essere mappati rispetto ad altri feed di intelligence di sicurezza per rilevare minacce che possono essere individuate solo dall'interno dell'host.

SIEM aziendale

Per decenni, i team di sicurezza hanno fatto affidamento sui SIEM come dashboard per le attività di sicurezza nel loro ambiente IT. I SIEM raccolgono informazioni dai registri degli eventi di altri sistemi, forniscono analisi dei dati, correlazione degli eventi, aggregazione e reportistica.

L'integrazione dei rilevamenti delle minacce provenienti da EDR e NDR può rendere un SIEM uno strumento ancora più potente, consentendo agli analisti della sicurezza di bloccare gli attacchi più rapidamente. Quando si verifica un incidente, gli analisti possono identificare rapidamente i dispositivi host interessati. Possono indagare più facilmente per determinare la natura di un attacco e se ha avuto successo.

Un SIEM può anche comunicare con altri controlli di sicurezza della rete, come firewall o punti di applicazione NAC, per indirizzarli a bloccare attività dannose. I feed di intelligence sulle minacce possono consentire ai SIEM di prevenire in modo proattivo anche gli attacchi.

Un approccio integrato per individuare e bloccare gli attacchi informatici

I team di sicurezza che implementano la triade NDR, EDR e SIEM sono in grado di rispondere a una gamma più ampia di domande quando reagiscono a un incidente o cercano minacce. Ad esempio, possono rispondere a domande quali:

  • Un altro asset ha iniziato a comportarsi in modo strano dopo aver comunicato con l'asset potenzialmente compromesso?
  • Quali servizi e protocolli sono stati utilizzati?
  • Quali altri beni o conti potrebbero essere coinvolti?
  • Qualche altro asset ha contattato lo stesso indirizzo IP di comando e controllo esterno?
  • L'account utente è stato utilizzato in modo imprevisto su altri dispositivi? Insieme, consentono di fornire risposte rapide e ben coordinate su tutte le risorse, migliorare l'efficienza delle operazioni di sicurezza e ridurre i tempi di permanenza che, in ultima analisi, determinano il rischio per l'azienda.

Secondo il World Economic Forum, entro il 2020 le perdite economiche dovute alla criminalità informatica raggiungeranno i 3.000 miliardi di dollari. Gli Stati nazionali e i criminali stanno approfittando di un mondo digitale senza confini, ma adottando una triade nucleare di visibilità, un SOC può proteggere i dati sensibili e le operazioni vitali della propria organizzazione.

Apprezzato da esperti e aziende in tutto il mondo

Domande frequenti