La triade della visibilità del team di sicurezza

Il vostro centro operativo di sicurezza è in grado di individuare gli attacchi in corso?

Come dimostrano i crimini informatici senza precedenti, le tradizionali difese di sicurezza hanno perso la loro efficacia. Le minacce sono furtive, agiscono per lunghi periodi di tempo, nascoste nel traffico crittografato o celate nei tunnel. Con minacce sempre più sofisticate, i team di sicurezza hanno bisogno di una rapida visibilità delle minacce nei loro ambienti.

Nel rapporto di ricerca Gartner"Applying Network-Centric Approaches for Threat Detection and Response" pubblicato il 18 marzo 2019 (ID: G00373460), Augusto Barros, Anton Chuvakin e Anna Belak hanno introdotto il concetto di SOC Visibility Triad.

In questa nota, Gartner consiglia:

"La crescente sofisticazione delle minacce richiede alle organizzazioni di utilizzare più fonti di dati per il rilevamento e la risposta alle minacce. Le tecnologie basate sulla rete consentono ai professionisti tecnici di ottenere una rapida visibilità delle minacce in un intero ambiente senza utilizzare agenti."

Perché il tuo SOC ha bisogno della Triade della Visibilità

Secondo la ricerca, "i moderni strumenti di sicurezza possono essere rappresentati con un'analogia alla 'triade nucleare', un concetto chiave della Guerra Fredda. La triade era composta da bombardieri strategici, missili balistici intercontinentali (ICBM) e sottomarini lanciamissili. Come mostrato nell'immagine sopra, un SOC moderno ha una propria triade nucleare di visibilità, in particolare:

1. SIEM/UEBA offre la possibilità di raccogliere e analizzare i log generati dall'infrastruttura IT, dalle applicazioni e da altri strumenti di sicurezza.
2. Endpoint e la rispostaEndpoint consentono di acquisire informazioni relative all'esecuzione, alle connessioni locali, alle modifiche di sistema, alle attività di memoria e ad altre operazioni dagli endpoint.
3. Il rilevamento e la risposta incentrati sulla rete ( NTA, NFT e IDPS) sono forniti dagli strumenti incentrati sull'acquisizione e/o l'analisi del traffico di rete, come illustrato nella presente ricerca.

Questo approccio su tre fronti offre ai SOC una maggiore visibilità delle minacce, capacità di rilevamento, risposta, indagine e risoluzione.

Il ruolo del rilevamento e della risposta di rete

I metadati di rete sono la fonte più autorevole per individuare le minacce. Solo il traffico sulla rete rivela le minacce nascoste con assoluta fedeltà e indipendenza. Le fonti a bassa risoluzione, come l'analisi dei log, mostrano solo ciò che è stato visto, non i comportamenti fondamentali delle minacce che gli aggressori semplicemente non possono evitare mentre spiano, diffondono e rubano.

Una soluzione NDR raccoglie e archivia i metadati chiave della rete e li integra con l'apprendimento automatico e analisi avanzate per rilevare attività sospette sulle reti aziendali. NDR crea modelli che riflettono il comportamento normale e li arricchisce con metadati sia in tempo reale che storici.

NDR fornisce una visione d'insieme delle interazioni tra tutti i dispositivi presenti nella rete. Gli attacchi in corso vengono rilevati, classificati in base alla priorità e correlati ai dispositivi host compromessi.

NDR offre una visione a 360 gradi dell'intera azienda, dai carichi di lavoro cloud pubblico cloud dei data center privati ai dispositivi degli utenti e dell'Internet delle cose.

> Maggiori informazioni sulla soluzione Network Detection and Response Vectra AI

Il ruolo del endpoint e della risposta endpoint

Endpoint sono fin troppo comuni, sia che derivino da malware, vulnerabilità non corrette o utenti distratti. I dispositivi mobili possono essere facilmente compromessi sulle reti pubbliche e poi ricollegati alla rete aziendale, dove l'infezione si diffonde. I dispositivi Internet of Things (IoT) sono notoriamente insicuri.

Una soluzione EDR offre funzionalità più sofisticate rispetto ai tradizionali antivirus, con un monitoraggio dettagliato delle attività dannose su un endpoint un dispositivo host. L'EDR fornisce una visione in tempo reale e a livello base dei processi in esecuzione su un host o un dispositivo e delle interazioni tra di essi.

L'EDR acquisisce le attività di esecuzione e di memoria, nonché le modifiche, le attività e le alterazioni del sistema. Questa visibilità aiuta gli analisti della sicurezza a individuare modelli, comportamenti, indicatori di compromissione o altri indizi nascosti. Questi dati possono essere mappati rispetto ad altri feed di intelligence di sicurezza per rilevare minacce che possono essere individuate solo dall'interno dell'host.

> Integrazioni Vectra AI con gli EDR

Il ruolo del SIEM aziendale

Per decenni, i team di sicurezza hanno fatto affidamento sui SIEM come dashboard per le attività di sicurezza nel loro ambiente IT. I SIEM raccolgono informazioni dai registri degli eventi di altri sistemi, forniscono analisi dei dati, correlazione degli eventi, aggregazione e reportistica.

L'integrazione dei rilevamenti delle minacce provenienti da EDR e NDR può rendere un SIEM uno strumento ancora più potente, consentendo agli analisti della sicurezza di bloccare gli attacchi più rapidamente. Quando si verifica un incidente, gli analisti possono identificare rapidamente i dispositivi host interessati. Possono indagare più facilmente per determinare la natura di un attacco e se ha avuto successo.

Un SIEM può anche comunicare con altri controlli di sicurezza della rete, come firewall o punti di applicazione NAC, per indirizzarli a bloccare attività dannose. I feed di intelligence sulle minacce possono consentire ai SIEM di prevenire in modo proattivo anche gli attacchi.

> Integrazioni Vectra AI con i SIEM

La triade della visibilità SOC: un approccio integrato per individuare e bloccare gli attacchi informatici

I team di sicurezza che implementano la triade NDR, EDR e SIEM sono in grado di rispondere a una gamma più ampia di domande quando reagiscono a un incidente o cercano minacce. Ad esempio, possono rispondere a domande quali:

• Un altro asset ha iniziato a comportarsi in modo strano dopo aver comunicato con l'asset potenzialmente compromesso?
• Quali servizi e protocolli sono stati utilizzati?
• Quali altri beni o conti potrebbero essere coinvolti?
• Qualche altro asset ha contattato lo stesso indirizzo IP di comando e controllo esterno?
• L'account utente è stato utilizzato in modo imprevisto su altri dispositivi?

Insieme, consentono di fornire risposte rapide e ben coordinate su tutte le risorse, migliorano l'efficienza delle operazioni di sicurezza e riducono i tempi di permanenza che, in ultima analisi, determinano il rischio per l'azienda.

Gli Stati nazionali e i criminali stanno approfittando di un mondo digitale senza confini, ma adottando una triade nucleare di visibilità, un SOC può proteggere i dati sensibili e le operazioni vitali della propria organizzazione.

Contattateci oggi stesso per scoprire come possiamo aiutarvi ad attuare un'efficace strategia SOC Visibility Triad e rafforzare la difesa informatica della vostra organizzazione.