Scoprite le lacune della vostra Microsoft Identity Security.
Prenotate oggi stesso un'analisi del gap di esposizione all'identità.
Vectra AI Giappone, ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
Argomento

Triade di visibilità del SOC

La triade della visibilità SOC, composta da Network Detection and Response (NDR), Endpoint Detection and Response (EDR) e Security Information and Event Management (SIEM), rappresenta un approccio strategico per ottenere una visibilità completa sul panorama digitale di un'organizzazione.
  • Le organizzazioni che integrano soluzioni NDR, EDR e SIEM hanno registrato una risposta più rapida del 50% agli incidenti informatici. (Fonte: Gartner)
  • L'80% delle violazioni riuscite coinvolge credenziali privilegiate, evidenziando la necessità di un monitoraggio completo di reti ed endpoint. (Fonte: Forrester)

Il vostro Security Operation Center vede gli attacchi in corso?

Come dimostrano i crimini informatici senza precedenti, le difese di sicurezza tradizionali hanno perso la loro efficacia. Le minacce sono furtive, agiscono per lunghi periodi di tempo, si nascondono nel traffico criptato o nei tunnel. Con queste minacce sempre più sofisticate, i team di sicurezza hanno bisogno di una rapida visibilità delle minacce nei loro ambienti.

Nel rapporto di ricerca Gartner "Applying Network-Centric Approaches for Threat Detection and Response" pubblicato il 18 marzo 2019 (ID: G00373460), Augusto Barros, Anton Chuvakin e Anna Belak hanno introdotto il concetto di SOC Visibility Triad.

In questa nota, Gartner consiglia:

"La crescente sofisticazione delle minacce impone alle organizzazioni di utilizzare più fonti di dati per il rilevamento e la risposta alle minacce. Le tecnologie basate sulla rete consentono ai professionisti tecnici di ottenere una rapida visibilità delle minacce in un intero ambiente senza l'uso di agenti".
La triade della visibilità del SOC secondo Gartner
Fonte: Gartner, Applying Network-Centric Approaches for Threat Detectionand Response, Augusto Barros et al., 18 marzo 2019, ID G0037346

Perché il vostro SOC ha bisogno della Triade della Visibilità

Secondo la ricerca, "i moderni strumenti per le operazioni di sicurezza possono essere rappresentati anche con un'analogia con la "triade nucleare", un concetto chiave della Guerra Fredda. La triade era composta da bombardieri strategici, missili balistici intercontinentali (ICBM) e sottomarini missilistici. Come mostra l'immagine qui sopra, un moderno SOC ha una propria triade nucleare di visibilità, nello specifico:

  1. Il SIEM/UEBA consente di raccogliere e analizzare i log generati dall'infrastruttura IT, dalle applicazioni e da altri strumenti di sicurezza.
  2. Endpoint Il rilevamento e la risposta forniscono la possibilità di catturare l'esecuzione, le connessioni locali, le modifiche al sistema, le attività di memoria e altre operazioni dagli endpoint.
  3. Il rilevamento e la risposta incentrati sulla rete (NTA, NFT e IDPS) sono forniti dagli strumenti che si concentrano sulla cattura e/o sull'analisi del traffico di rete, come quelli trattati in questa ricerca.

Questo triplice approccio offre ai SOC maggiori poteri di visibilità, rilevamento, risposta, indagine e bonifica delle minacce.

Il ruolo del rilevamento e della risposta in rete

I metadati di rete sono la fonte più autorevole per individuare le minacce. Solo il traffico sul filo rivela le minacce nascoste con assoluta fedeltà e indipendenza. Le fonti a bassa risoluzione, come i registri di analisi, mostrano solo ciò che si è visto, non i comportamenti fondamentali delle minacce che gli aggressori non possono evitare di spiare, diffondere e rubare.

Una soluzione NDR raccoglie e archivia i principali metadati di rete e li integra con l'apprendimento automatico e l'analisi avanzata per rilevare le attività sospette sulle reti aziendali. L'NDR costruisce modelli che riflettono il comportamento normale e li arricchisce con metadati storici e in tempo reale.

L'NDR fornisce una visione aerea delle interazioni tra tutti i dispositivi della rete. Gli attacchi in corso vengono rilevati, classificati per priorità e correlati ai dispositivi host compromessi.

L'NDR fornisce una visione a 360 gradi dell'intera azienda, dai carichi di lavoro dei data center pubblici cloud e privati ai dispositivi degli utenti e dell'Internet of Things.

> Per saperne di più sulla soluzione di rilevamento e risposta della rete di Vectra AI

Il ruolo del rilevamento e della risposta di endpoint

Endpoint Le compromissioni sono fin troppo comuni, a causa di malware, vulnerabilità non patchate o utenti disattenti. I dispositivi mobili possono essere facilmente compromessi su reti pubbliche e poi ricollegati alla rete aziendale, dove l'infezione si diffonde. I dispositivi IoT (Internet of Things) sono notoriamente poco sicuri.

Una soluzione EDR offre funzionalità più sofisticate rispetto agli antivirus tradizionali, con un tracciamento dettagliato delle attività dannose su un dispositivo endpoint o host. L'EDR fornisce una visione in tempo reale dei processi in esecuzione su un host o un dispositivo e delle loro interazioni.

L'EDR cattura l'esecuzione, le attività di memoria, nonché i cambiamenti, le attività e le modifiche del sistema. Questa visibilità aiuta gli analisti della sicurezza a individuare modelli, comportamenti, indicatori di compromissione o altri indizi nascosti. Questi dati possono essere mappati rispetto ad altri feed di intelligence sulla sicurezza per rilevare le minacce che possono essere viste solo dall'interno dell'host.

> Integrazioni di Vectra AI con gli EDR

Il ruolo dei SIEM aziendali

Per decenni, i team di sicurezza si sono affidati ai SIEM come cruscotto per le attività di sicurezza nell'ambiente IT. I SIEM raccolgono informazioni sui log degli eventi da altri sistemi, forniscono analisi dei dati, correlazione degli eventi, aggregazione e reporting.

L'integrazione dei rilevamenti delle minacce da parte di EDR e NDR può rendere un SIEM uno strumento ancora più potente, consentendo agli analisti della sicurezza di bloccare gli attacchi più rapidamente. Quando si verifica un incidente, gli analisti possono identificare rapidamente i dispositivi host interessati. Possono indagare più facilmente per determinare la natura di un attacco e se è riuscito.

Un SIEM può anche comunicare con altri controlli di sicurezza della rete, come firewall o punti di applicazione NAC, per indirizzarli a bloccare le attività dannose. I feed di intelligence sulle minacce possono consentire ai SIEM di prevenire in modo proattivo anche gli attacchi.

> Integrazioni di Vectra AI con i SIEM

La triade della visibilità del SOC: un approccio integrato per individuare e bloccare i cyberattacchi

I team di sicurezza che implementano la triade NDR, EDR e SIEM sono in grado di rispondere a una gamma più ampia di domande quando rispondono a un incidente o vanno a caccia di minacce. Ad esempio, possono rispondere a:

  • Un'altra risorsa ha iniziato a comportarsi in modo strano dopo aver comunicato con la risorsa potenzialmente compromessa?
  • Quale servizio e quale protocollo sono stati utilizzati?
  • Quali altri beni o conti possono essere coinvolti?
  • Un'altra risorsa ha contattato lo stesso indirizzo IP di comando e controllo esterno?
  • L'account utente è stato utilizzato in modo imprevisto su altri dispositivi?

Insieme, consentono di ottenere risposte rapide e ben coordinate tra tutte le risorse, di migliorare l'efficienza delle operazioni di sicurezza e di ridurre i tempi di attesa che, in ultima analisi, determinano il rischio per l'azienda.

Stati nazionali e criminali stanno approfittando di un mondo digitale senza confini, ma adottando una triade nucleare di visibilità, un SOC può proteggere i dati sensibili e le operazioni vitali della propria organizzazione.

Contattateci oggi stesso per scoprire come possiamo aiutarvi a implementare una strategia SOC Visibility Triad efficace e a rafforzare la difesa informatica della vostra organizzazione.

Tutte le risorse sulla triade di visibilità del SOC

Infografica
Perché tanto clamore per un SIEM di nuova generazione?

Storicamente le soluzioni SIEM sono state il punto di riferimento per la difesa dagli attacchi di tipo D/DDoS (Detecting Denial of service). Tuttavia, gli attacchi ibridi sono oggi più sofisticati che mai e i SIEM non riescono a tenere il passo.

Scaricare
Per saperne di più
Libro bianco
Creazione dell'aggiornamento personalizzato del SOC

Aggiornate il vostro centro operativo di sicurezza con questo white paper sulla modernizzazione del SOC di Vectra AI, leader mondiale nel rilevamento e nella risposta alle minacce.

Scaricare PDF
Per saperne di più
Guida alle migliori pratiche
Triade di visibilità SOC - Il massimo della visibilità SOC

Come dimostrano i crimini informatici senza precedenti, le difese di sicurezza tradizionali hanno perso la loro efficacia. Le minacce sono furtive, agiscono per lunghi periodi di tempo, si nascondono nel traffico criptato o nei tunnel. Con queste minacce sempre più sofisticate, i team di sicurezza hanno bisogno di una rapida visibilità delle minacce nei loro ambienti.

Scaricare
Per saperne di più

DOMANDE FREQUENTI

Che cos'è la triade della visibilità del SOC?

Che ruolo svolge Endpoint Detection and Response (EDR)?

Perché l'integrazione di NDR, EDR e SIEM è importante per i SOC?

Quali sono le sfide che i SOC possono incontrare nell'adozione della Triade della Visibilità?

La triade di visibilità del SOC può aiutare nella gestione della conformità e del rischio?

In che modo il Network Detection and Response (NDR) contribuisce alla triade?

In che modo il Security Information and Event Management (SIEM) migliora le capacità del SOC?

Come possono i team di sicurezza implementare efficacemente la triade di visibilità del SOC?

In che modo la triade SOC Visibility migliora il rilevamento delle minacce e i tempi di risposta?

Quali sono le tendenze future che potrebbero influenzare l'evoluzione della triade della visibilità del SOC?