.
Un vecchio adagio ci insegna che prevenire è meglio che curare. Il tema della prevenzione è un argomento chiave nel campo della sicurezza informatica, dove essere preparati agli incidenti significa spesso risolvere le problematiche in tempi brevi e in modo efficace. Le soluzioni Incident Detection e Incident Response di CryptoNet Labs permettono di identificare rapidamente problemi e anomalie, e di intervenire in modo tempestivo in caso di malfunzionamenti o cyberattacchi.
Uno dei messaggi che la comunità di esperti Cybersecurity sempre più cerca di veicolare riguarda la preparazione e la gestione degli incidenti.
Oggi infatti non dobbiamo più domandarci se la nostra azienda subirà un attacco informatico, ma quando questo avverà.
Il motivo è semplice: qualsiasi addetto ai lavori nel campo della sicurezza in generale, e di quella IT in particolare, sa perfettamente che una prevenzione che copra il 100% dei casi è utopia. Implementare soluzioni di Incident Detection diventa indispensabile per questo tipo di prevenzione.
In questo contesto inoltre molte organizzazioni hanno già in campo diversi strumenti, e quindi numerose fonti di informazione, utili a individuare eventi di sicurezza IT rilevanti: log di sistemi operativi, di server o di applicazioni critiche, spesso centralizzati in soluzioni SIEM, segnalazioni da apparati di difesa perimetrale, da prodotti antimalware e molto altro ancora.
Si avrebbe già quanto necessario per attuare un processo di Incident Detection & Response e migliorare la sicurezza in rete, ma questo è reso inefficace da alcuni ostacoli: innanzitutto le risorse ridotte a disposizione, intese in termini di tempo e competenze, poi la presenza di numerose interfacce da consultare. Ogni soluzione infatti rappresenta un “silos” di informazioni isolato che comporta un elevato numero di allarmi da indagare e prioritizzare.
Come funzionano le soluzioni di Incident Detection
Per questo CryptoNet Labs supporta i propri clienti in questo scenario tramite la piattaforma InsightIDR del proprio partner Rapid7, che offre funzionalità di security anomaly detection, network alarm monitoring e in generale capacitàsoluzioni di Incident Detection, opzionalmente anche in modalità gestita.
InsightIDR ha la finalità di individuare un attacco in corso il prima possibile, sia esso automatizzato o mirato, aggregando in un unico portale di consultazione gli eventi accaduti nelle diverse fasi della kill chain e producendo un ridotto insieme di alert significativi di alta qualità.
Questo è possibile perché Rapid7, mette in campo una strategia di analisi delle minacce strutturata su più punti. Grazie al coordinamento del progetto Metasploit, al proprio SOC e al proprio team di R&D, ed effettuando quotidianamente attività di penetration testing,
possiede conoscenze di prima mano sugli attacchi e sulle modalità di operare dei malintenzionati.
Quest’ultima tecnica prende il nome di Attacker Behaviour Analytics. Tutte le conoscenze raccolte dai diversi canali è riversata in InsightIDR, insieme a numerosi feed di threat intelligence costantemente selezionati.
Come avviene l’implementazione delle soluzioni di Incident Detection
La piattaforma, completamente cloud-based, raccoglie eventi da un ampio spettro di fonti e ne incrementa il contenuto informativo tramite opportune integrazioni.
Non si tratta di un semplice SIEM (sebbene ne siano implementate le principali funzionalità): oltre ai log provenienti da sistemi operativi, firewall, anti-malware, VPN, mail server, proxy, ecc. InsightIDR lavora con propri agent sulle postazioni utente per osservare le operazioni che avvengono e implementare la User Behaviour Analytics.
L’integrazione con Active Directory e DHCP, per esempio, consente di arricchire ogni evento attribuendolo all’utente che lo ha scatenato: questo è uno dei pilastri per le capacità di visibility e monitoring della soluzione.
A questo si aggiunge la possibilità di agire con strumenti di Deception
opportune honeypot o honey-file possono essere distribuiti sulla rete aziendale per ingannare i “curiosi” (insider o malware) e intercettare così i primi indizi di un movimento laterale, prontamente riportati alla piattaforma.
Le integrazioni consentono inoltre di andare a indirizzare anche la fase di Incident Response, scatenando gli opportuni meccanismi di intervento automatico oppure azionati manualmente con la supervisione di un analista.
La scelta progettuale di Rapid7 di lavorare in cloud consente di evitare i grattacapi tipici dei prodotti di analisi e gestione tradizionali on-premises, per esempio le richieste in termini di capacità di calcolo e storage, garantendo al tempo stesso adeguati standard di sicurezza e compliance.
Gli specialisti di CryptoNet Labs sfruttano InsightIDR come layer tecnologico su cui erogare, tramite le proprie competenze ed esperienze, servizi gestiti di rilevamento, analisi ed escalation di incidenti, in coordinamento e a supporto del personale IT del cliente.
Chi ne può beneficiare
Qualsiasi azienda o organizzazione interessata a monitorare lo stato della propria rete, delle proprie postazioni e server in modo costante e affidabile, per identificare e gestire incidenti di Cybersecurity, nonché per evidenziare la compliance con le best practices relative.