Le minacce interne sono le più difficili da individuare e bloccare proattivamente. Per fornire una straordinaria capacità di prevenzione l’associazione abitativa Bernicia Homes ha combinato due soluzioni leader di mercato per fornire una straordinaria capacità di rilevare le minacce: CrowdStrike Falcon mette a disposizione una imponente ricchezza di dati che ArcSight Intelligence utilizza per individuare le anomalie.
L’esperienza di Bernicia Homes che gestisce 60mila di clienti
Bernicia Homes fornisce case e servizi di qualità alle persone nel nord-est dell’Inghilterra da oltre 50 anni, essendosi guadagnata la reputazione di una delle principali associazioni abitative del Paese. Le associazioni edilizie sono proprietari senza scopo di lucro che forniscono case e assistenza a circa sei milioni di persone in tutta l’Inghilterra.
Bernicia si trova a dover gestire dati sensibili di oltre 60.000 clienti rendendo la sicurezza informatica una priorità per l’azienda.
«La sicurezza informatica è al primo posto nel nostro profilo di rischio – spiega Adam Watson, responsabile della sicurezza e dell’infrastruttura di Bernicia – a dimostrazione di quanto siamo consapevoli, a tutti i livelli dell’organizzazione, del potenziale danno reputazionale che può derivare da una violazione della sicurezza di qualsiasi tipo. Per questo motivo abbiamo implementato una serie di misure di sicurezza informatica ma negli ultimi anni gli attacchi sono diventati molto più sofisticati. Abbiamo quindi ritenuto di dover adottare un approccio proattivo indirizzato ad aumentare la visibilità del nostro ambiente in modo da poter rilevare i movimenti laterali e i potenziali comportamenti sospetti».
Bernicia ha effettuato un’analisi di mercato valutando sei potenziali soluzioni, tra cui ArcSight Intelligence. La soluzione di OpenText Cybersecurity fornisce un rilevamento avanzato delle minacce, supportato da una sofisticata tecnologia di machine learning non supervisionato. ArcSight Intelligence crea profili di rischio per ogni utente, macchina, URL ed entità, imparando a riconoscere i comportamenti normali specifici di ogni organizzazione. In tal modo, riesce a sintetizzare le informazioni legate a miliardi di eventi di sicurezza in pochi indizi molto affidabili, da sottoporre a ulteriori indagini.
ArcSight Intelligence fornisce indicazioni mirate sulle minacce
Bernicia gestisce un’infrastruttura desktop virtuale (VDI) in un ambiente cloud privato e ha apprezzato particolarmente il fatto che ArcSight Intelligence offra un’integrazione diretta con CrowdStrike.
«La nostra piattaforma CrowdStrike Falcon fornisce un’ampia gamma di dati sulla sicurezza, che ArcSight Intelligence riutilizza per individuare anomalie specifiche che altrimenti passerebbero inosservate – spiega il responsabile della sicurezza di Bernicia -. Non abbiamo dovuto preoccuparci di distribuire altri agenti sugli endpoint, in quanto i dati di CrowdStrike erano già presenti nel cloud, ottenendo una distribuzione “zero-footprint” che ha semplicemente richiesto di impostare l’integrazione con ArcSight Intelligence all’interno dello store di CrowdStrike».
Durante un proof of concept durato 45 giorni, ArcSight Intelligence ha analizzato oltre 100 milioni di eventi di sicurezza provenienti da centinaia di endpoint.
La gestione di questi dati ha rappresentato l’aspetto distintivo di ArcSight Intelligence rispetto alla concorrenza come precisato da Adam Watson
«ArcSight Intelligence ci ha fornito un’interfaccia user-friendly che rende facile trovare le informazioni di cui abbiamo bisogno. Siamo un piccolo team e il servizio di threat hunting per la cybersecurity che completa ArcSight Intelligence è stato prezioso per noi. Riceviamo un report esecutivo con un numero selezionato di potenziali comportamenti anomali che riusciamo a gestire. I dati sono presentati in modo visuale ed è estremamente facile individuare trend in uno specifico periodo di tempo. Dopo un’indagine più approfondita, fortunatamente non abbiamo trovato nulla di grave e certamente nulla di dannoso, ma ArcSight Intelligence ha evidenziato comportamenti interessanti in alcune delle nostre applicazioni che ci hanno fornito informazioni preziose. Avere una visione approfondita di come il nostro personale utilizza l’ambiente ci dà l’opportunità di individuare comportamenti anomali e, auspicabilmente, di fermare una minaccia sul nascere».
La caccia alle minacce riduce lo stress da allerta
Dopo il successo della proof of value, il team di Bernicia è passato in produzione con ArcSight Intelligence. Adam e il suo team sono stati messi in contatto col team di cybersecurity threat hunting per concordare la modalità operativa da adottare. Un “touchpoint” settimanale discute i risultati di alto livello, mentre è stato impostato un flusso di lavoro per gestire gli avvisi critici che devono essere attivati immediatamente da Bernicia.
ArcSight Intelligence rileva, collega i punti e visualizza il percorso di un attacco. Grazie a questo contesto, ArcSight Intelligence è in grado di evidenziare gli attacchi nel momento in cui si verificano. In questo caso, Bernicia viene immediatamente avvisata potendo visualizzare gli incidenti e i flussi di lavoro al fine di consentire una convalida e abilitare azioni di indagine e di risposta.
«Oggi il rischio che l’account di un utente venga compromesso espone le aziende a rischi potenziali con un elevato impatto di tipo finanziario e operativo – spiega Pierpaolo Alì, Director Southern Europe di OpenText Cybersecurity -. La combinazione tra la tecnologia avanzata di machine learning non supervisionato di ArcSight Intelligence unitamente alla capacità di fornire dati sulla sicurezza affidabili della piattaforma Falcon di CrowdStrike realizzano una sinergia vincente che permette di identificare proattivamente ogni tipo di minaccia, incluse quelle provenienti dall’interno. Questa capacità di threat hunting si avvale di analisi e correlazioni estremamente sofisticate che non sono presenti nei tradizionali strumenti di cybersecurity, consentendo alle aziende di concentrare le proprie risorse sugli eventi davvero importanti e riducendo lo stress da allerta».