Sebbene gran parte delle discussioni sulle misure di difesa contro le minacce moderne si concentrino sul rilevamento e sul blocco dell’intrusione iniziale, occorre un approccio più completo. Le aziende devono non solo rilevare l’intrusione iniziale, ma anche concentrarsi sul riconoscimento di ciò che interessa l’attaccante, sulle anomalie che indicano che gli intrusi sono già presenti nella rete e che possono consentono agli analisti della sicurezza di individuare i segni di attacchi specifici in base alle attività di “threat intelligence”.
Come i proverbiali ciechi che descrivono le singole parti dell’elefante senza comprenderne l’insieme, i team di sicurezza rischiano di essere consapevoli solo degli elementi di un attacco che i loro strumenti sono in grado di “vedere”.
Un decennio fa, la correlazione in tempo reale tramite la tecnologia SIEM (Security Information and Event Management) era di per sé sufficiente a rilevare le minacce, ma il volume dei dati è cresciuto enormemente, permettendo agli aggressori di celarsi facimente al suo interno.
Sebbene l’intelligenza artificiale e il machine learning possano contribuire a evidenziare le attività anomale, tale automazione non è, però, in grado di stabilire se il comportamento anomalo sia legittimo o no. Ciò che manca è il contesto della situazione.
La combinazione di questi due approcci e il loro utilizzo congiunto è ciò che consente di ottenere in modo rapido informazioni utili e contestualizzate per risolvere il vero problema: Un sistema capace di mettere insieme diversi set di dati può migliorare la possibilità di rilevare e affrontare tempestivamente un attacco. Questo approccio stratificato all’analisi della sicurezza si traduce in una migliore copertura della superficie di attacco di un’azienda e in un rilevamento precoce delle minacce, prima che possano causare danni rilevanti.
Puntare su un’analisi stratificata
Le analisi stratificate fungono da moltiplicatore di forze per il team SOC, che può così concentrarsi su ciò che conta davvero per aumentare la resilienza informatica dell’organizzazione. La chiave per individuare precocemente e in modo automatizzato le minacce è, infatti, quella di scoprire i segnali di attacco dall’analisi di un ampio numero di componenti della catena di sicurezza evitando di affidarsi a un’unica fonte di informazioni.
Effettuare la ricerca delle minacce basandosi su un’analisi stratificata è ciò che consente di correlare in tempo reale tra loro eventi di sicurezza che, singolarmente potrebbero apparire insignificanti o marginali ma, se contestualizzate nel loro insieme, potrebbero rivelare un attacco in corso.
Elemento fondamentale di questo processo è l’analisi del comportamento di utenti e asset aziendali (UEBA – User and Entity Behaviour Analytics) che permette di distinguere tra le attività che possono essere considerate normali e quelle che si discostano dalla routine quotidiana rappresentando della anomalie.
All’attività UEBA va, poi, affiancata quella di “threat hunting” che fornisce ai team di sicurezza gli strumenti per sfruttare gli attuali indicatori di compromissione e poter riesaminare criticamente i dati storici.
Il report di OpenText “360° Analytics for a Resilient SOC” mette in evidenza i punti chiave necessari per abilitare un’analisi a 360 gradi, capace di rendere un SOC resiliente.
- analisi stratificata: combina correlazione, analisi comportamentale e caccia alle minacce per fornire un rilevamento completo delle minacce in tutta la catena di attacco al fine di consentire un rilevamento delle minacce più rapido e affidabile.
- motori di correlazione in tempo reale: presenti nelle soluzioni SIEM come ArcSight ESM automatizzano il rilevamento di eventi collegati e migliorano le possibilità di individuare minacce sconosciute. Questo fornisce agli analisti della sicurezza una contestualizzazione delle informazioni riguardo le potenziali minacce.
- analisi comportamentale: alimentata da machine learning come in ArcSight Intelligence, può rilevare anomalie e minacce centrate sulle persone basandosi sui normali modelli di comportamento degli utenti abilitando un rilevamento rapido prima che possano verificarsi danni.
- analisi dei big data: unita alle capacità di ricerca, come in ArcSight Recon, supporta la ricerca delle minacce per scoprirle proattivamente utilizzando strumenti avanzati di intelligence. In questo riduce il tempo di esposizione e la superficie di attacco.
L’analisi stratificata di ArcSight
L’analisi stratificata funge da moltiplicatore di forza per i team SOC, riducendo il tempo per rilevare e rispondere alle minacce e rendendo le organizzazioni più resilienti contro gli attacchi.
La famiglia di soluzioni OpenText Cybersecurity ArcSight mette a disposizione gli strumenti per effettuare un’analisi di sicurezza coerente e stratificata.
ArcSight ESM e la soluzione che recepisce ogni informazione sulle minacce note integrandola con il motore di correlazione in tempo reale. ArcSight Intelligence consente di analizzare il comportamento degli utenti e dei dispositivi per individuare minacce sconosciute o emergenti, individuando le attività anomale. ArcSight Recon offre agli analisti uno strumento per esaminare in modo proattivo le prove delle minacce.
ArcSight ESM, ArcSight Intelligence e ArcSight Recon sono strettamente integrati per consentire a ciascun prodotto e alle sue analisi di essere utilizzati per fornire contesto agli altri livelli di analisi.