Triade di visibilità del team di sicurezza

Il vostro Security Operation Center vede gli attacchi in corso?

Come dimostrano i crimini informatici senza precedenti, le difese di sicurezza tradizionali hanno perso la loro efficacia. Le minacce sono furtive, agiscono per lunghi periodi di tempo, si nascondono nel traffico criptato o nei tunnel. Con queste minacce sempre più sofisticate, i team di sicurezza hanno bisogno di una rapida visibilità delle minacce nei loro ambienti.

Nel rapporto di ricerca Gartner "Applying Network-Centric Approaches for Threat Detection and Response" pubblicato il 18 marzo 2019 (ID: G00373460), Augusto Barros, Anton Chuvakin e Anna Belak hanno introdotto il concetto di SOC Visibility Triad.

In questa nota, Gartner consiglia:

"La crescente sofisticazione delle minacce impone alle organizzazioni di utilizzare più fonti di dati per il rilevamento e la risposta alle minacce. Le tecnologie basate sulla rete consentono ai professionisti tecnici di ottenere una rapida visibilità delle minacce in un intero ambiente senza ricorrere agli agenti".

Perché il vostro SOC ha bisogno della Triade della Visibilità

Secondo la ricerca, "i moderni strumenti per le operazioni di sicurezza possono essere rappresentati anche con un'analogia con la "triade nucleare", un concetto chiave della Guerra Fredda. La triade era composta da bombardieri strategici, missili balistici intercontinentali (ICBM) e sottomarini missilistici. Come mostra l'immagine qui sopra, un moderno SOC ha una propria triade nucleare di visibilità, nello specifico:

1. Il SIEM/UEBA consente di raccogliere e analizzare i log generati dall'infrastruttura IT, dalle applicazioni e da altri strumenti di sicurezza.
2. Il rilevamento e la rispostaEndpoint offrono la possibilità di catturare l'esecuzione, le connessioni locali, le modifiche al sistema, le attività di memoria e altre operazioni dagli endpoint.
3. Il rilevamento e la risposta incentrati sulla rete (NTA, NFT e IDPS) sono forniti dagli strumenti che si concentrano sulla cattura e/o sull'analisi del traffico di rete, come quelli trattati in questa ricerca.

Questo triplice approccio offre ai SOC maggiori poteri di visibilità, rilevamento, risposta, indagine e bonifica delle minacce.

Il ruolo del rilevamento e della risposta in rete

I metadati di rete sono la fonte più autorevole per individuare le minacce. Solo il traffico sul filo rivela le minacce nascoste con assoluta fedeltà e indipendenza. Le fonti a bassa risoluzione, come i registri di analisi, mostrano solo ciò che si è visto, non i comportamenti fondamentali delle minacce che gli aggressori non possono evitare di spiare, diffondere e rubare.

Una soluzione NDR raccoglie e archivia i principali metadati di rete e li integra con l'apprendimento automatico e l'analisi avanzata per rilevare le attività sospette sulle reti aziendali. L'NDR costruisce modelli che riflettono il comportamento normale e li arricchisce con metadati storici e in tempo reale.

L'NDR fornisce una visione aerea delle interazioni tra tutti i dispositivi della rete. Gli attacchi in corso vengono rilevati, classificati per priorità e correlati ai dispositivi host compromessi.

L'NDR fornisce una visione a 360 gradi dell'intera azienda, dai carichi di lavoro cloud pubblico e del data center privato ai dispositivi degli utenti e dell'Internet of Things.

> Per saperne di più sulla soluzione di rilevamento e risposta di rete di Vectra AI

Il ruolo del rilevamento e della risposta endpoint

Le compromissioni Endpoint sono fin troppo comuni, a causa di malware, vulnerabilità non patchate o utenti disattenti. I dispositivi mobili possono essere facilmente compromessi su reti pubbliche e poi ricollegati alla rete aziendale, dove l'infezione si diffonde. I dispositivi IoT (Internet of Things) sono notoriamente poco sicuri.

Una soluzione EDR offre funzionalità più sofisticate rispetto agli antivirus tradizionali, con un tracciamento dettagliato delle attività dannose su un endpoint o un dispositivo host. L'EDR fornisce una visione in tempo reale dei processi in esecuzione su un host o un dispositivo e delle loro interazioni.

L'EDR cattura l'esecuzione, le attività di memoria, nonché i cambiamenti, le attività e le modifiche del sistema. Questa visibilità aiuta gli analisti della sicurezza a individuare modelli, comportamenti, indicatori di compromissione o altri indizi nascosti. Questi dati possono essere mappati rispetto ad altri feed di intelligence sulla sicurezza per rilevare le minacce che possono essere viste solo dall'interno dell'host.

> Le integrazioni di Vectra AI con gli EDR

Il ruolo dei SIEM aziendali

Per decenni, i team di sicurezza si sono affidati ai SIEM come cruscotto per le attività di sicurezza nell'ambiente IT. I SIEM raccolgono informazioni sui log degli eventi da altri sistemi, forniscono analisi dei dati, correlazione degli eventi, aggregazione e reporting.

L'integrazione dei rilevamenti delle minacce da parte di EDR e NDR può rendere un SIEM uno strumento ancora più potente, consentendo agli analisti della sicurezza di bloccare gli attacchi più rapidamente. Quando si verifica un incidente, gli analisti possono identificare rapidamente i dispositivi host interessati. Possono indagare più facilmente per determinare la natura di un attacco e se è riuscito.

Un SIEM può anche comunicare con altri controlli di sicurezza della rete, come firewall o punti di applicazione NAC, per indirizzarli a bloccare le attività dannose. I feed di intelligence sulle minacce possono consentire ai SIEM di prevenire in modo proattivo anche gli attacchi.

> Integrazioni di Vectra AI con i SIEM

La triade della visibilità del SOC: un approccio integrato per individuare e bloccare i cyberattacchi

I team di sicurezza che implementano la triade NDR, EDR e SIEM sono in grado di rispondere a una gamma più ampia di domande quando rispondono a un incidente o vanno a caccia di minacce. Ad esempio, possono rispondere a:

• Un'altra risorsa ha iniziato a comportarsi in modo strano dopo aver comunicato con la risorsa potenzialmente compromessa?
• Quale servizio e quale protocollo sono stati utilizzati?
• Quali altri beni o conti possono essere coinvolti?
• Un'altra risorsa ha contattato lo stesso indirizzo IP di comando e controllo esterno?
• L'account utente è stato utilizzato in modo imprevisto su altri dispositivi?

Insieme, consentono di ottenere risposte rapide e ben coordinate tra tutte le risorse, di migliorare l'efficienza delle operazioni di sicurezza e di ridurre i tempi di attesa che, in ultima analisi, determinano il rischio per l'azienda.

Stati nazionali e criminali stanno approfittando di un mondo digitale senza confini, ma adottando una triade nucleare di visibilità, un SOC può proteggere i dati sensibili e le operazioni vitali della propria organizzazione.

Contattateci oggi stesso per scoprire come possiamo aiutarvi a implementare una strategia SOC Visibility Triad efficace e a rafforzare la difesa informatica della vostra organizzazione.