È importante essere consapevoli di tutte le potenzialità disponibili in Elastic Security, specialmente quando si utilizza una versione più datata. Può essere difficile trovare il tempo per esplorare ogni nuova versione, per scoprire le nuove funzionalità disponibili o per valutare modi per ottimizzare il budget al fine di acquisire tutti i log che potrebbero andare persi.
Elastic rilascia nuove versioni abbastanza rapidamente, spinte da nuove funzionalità, miglioramenti richiesti dagli utenti e, naturalmente, la correzione occasionale di bug. Può essere impegnativo pianificare gli aggiornamenti per ogni nuova versione, specialmente quando si tratta di una piattaforma SIEM che deve essere in esecuzione 24/7/365, senza dimenticare le implementazioni di Elastic Agent, la sicurezza degli endpoint con Defend e tutte le pipeline di registrazione e alert coinvolte.
In questo articolo, Elastic esamina le cinque principali ragioni per le quali vale la pena aggiornare Elastic Security e il valore che può derivare da questo sforzo. Alla fine dell’articolo, Elastic parla delle principali considerazioni per la pianificazione degli aggiornamenti al fine di ridurre al minimo i rischi e massimizzare il valore derivante dall'aggiornamento.
5. Risparmiare Denaro, Ampliare la Visibilità
Chi non vorrebbe essere più veloce, più efficiente o più ottimizzato? Ci sono stati centinaia di esempi di miglioramenti delle prestazioni e dell'efficienza nelle release di Elastic negli ultimi cinque anni. Il più importante, secondo Elastic, è il rilascio di snapshot ricercabili e del tier di storage “frozen” a partire da novembre 2020. Anche se attualmente la versione di Elastic è la 8.11 e questa funzionalità è in realtà presente nella versione 7.10, i vantaggi sono troppo grandi per non includerli qui.
In sintesi, il frozen tier fornisce uno storage basato su oggetti al 100% in tempo reale e ricercabile che riduce drasticamente i costi di archiviazione a lungo termine. Di quanto risparmio si parla? In Elastic Cloud, i nodi “frozen” sono circa 33 volte più convenienti dei tipici nodi di archiviazione a caldo, con prestazioni pari e spesso superiori ai livelli di archiviazione più veloci offerti da altri fornitori di SIEM.
4. Rispondere più Velocemente
Non si tratta sempre di rilevamento. Se si utilizza Elastic Security per il rilevamento e la risposta estesi (XDR), l'aggiunta di più azioni di risposta costituisce un altro valido motivo per effettuare l'aggiornamento. L'isolamento degli host compromessi, la sospensione dei processi sospetti, il download di file, l'upload di file e l'esecuzione di comandi in remoto sono tutte azioni disponibili nell’ultima console di risposta (8.11) per rendere la risposta alle minacce il più rapida, efficace e controllata possibile.
3. Cloud and Kubernetes Security Posture Management
Tenere il passo con tutte le impostazioni, le opzioni, le identità e i ruoli in un ambiente dinamico è una sfida. Elastic Security ha aggiunto Kubernetes (7.x) e Cloud Security Posture Management (CSPM) (AWS in 8.7 e GCP in 8.10, con Azure Beta in 8.11) per valutare regolarmente gli ambienti rispetto ai benchmark del Center for Internet Security (CIS). Elastic Security Posture Management è un ottimo modo per monitorare la configurazione di base della sicurezza in questi ambienti.
2. Indagini dinamiche
Spesso uno dei fattori più importanti per la riduzione di metriche come MTTD/R è la conoscenza organizzativa che gli analisti acquisiscono nel tempo.
Le indagini dinamiche consentono agli analisti esperti di configurare facilmente regole con tempistiche di indagine specifiche per l'organizzazione, per aiutare i nuovi assunti e le figure junior a raggiungere l'efficienza nel modo più rapido e semplice possibile.
1. Assistente IA per la Sicurezza
L'intelligenza artificiale generativa è ovunque! Ma non è una la cosiddetta “pallottola d'argento per abbattere i lupi mannari” della sicurezza con cui abbiamo a che fare ogni giorno. È eccezionalmente utile per svolgere rapidamente ogni tipo di operazione banale e ripetitiva, oltre che per raccogliere il contesto degli alert e delle minacce.
L'assistente IA di Elastic fornisce assistenza in molti modi. Ha iniziato fornendo suggerimenti per l'utilizzo di Elastic Security, scrivendo regole di rilevamento da query in linguaggio naturale e ottenendo suggerimenti per le impostazioni e le configurazioni. Gli analisti esperti possono usarlo per rafforzare le informazioni contestuali nei casi, mentre gli analisti alle prime armi lo usano per aiutare a valutare l'impatto o a correlare gli alert tra comportamenti complessi.
Questa funzione è stata introdotta nella versione 8.10 ed è probabilmente il motivo più potente per aggiornare la vostra soluzione Elastic Security.
In Conclusione
Sebbene i vantaggi elencati da Elastic siano solo la punta dell'iceberg, sappiamo tutti che lanciarsi nell'ultima e più importante release può essere un po' rischioso. Per quanto ci sforziamo di ridurre al minimo i bug con test QA approfonditi, è impossibile testare tutte le infinite permutazioni di cloud, container, sistemi operativi e combinazioni di software in uso oggi.
Ecco perciò quattro modi per ridurre il rischio di qualsiasi aggiornamento:
- Esaminare attentamente le note di rilascio della sicurezza di Elastic ad ogni nuova versione, prestando particolare attenzione a problemi noti e modifiche sostanziali. Si confrontano le nuove funzionalità e miglioramenti che potrebbero essere utili rispetto ai problemi noti, alle modifiche sostanziali e allo sforzo richiesto per l'aggiornamento.
- Se si dispone di un cluster dev, è possibile testare e verificare le nuove versioni con la frequenza necessaria per la propria organizzazione. È bene iniziare controllando i risultati dell'assistente di aggiornamento in Stack Management e assicurarsi che non ci siano problemi critici. Pianificare gli aggiornamenti tenendo conto dell'azienda, puntando a una release ogni 2-5 punti. L'eccezione a questo ciclo è rappresentata da una funzionalità specifica che riduce significativamente il rischio dell'organizzazione, ottimizza i costi o risolve un problema noto.
- Se non si dispone di un cluster di prova, è probabile che si voglia essere più prudenti nella pianificazione degli aggiornamenti. Il consiglio è quello di saltare qualsiasi nuovo aggiornamento importante (ad esempio, 8.0) almeno fino alla versione x.1 o x.2. In questo modo si dovrebbero ottenere le nuove funzionalità di interesse poco dopo il loro rilascio, con un rischio significativamente inferiore di impattare negativamente sulle operazioni di sicurezza. Per quanto riguarda le release intermedie, è utile valutare i vantaggi di una determinata release con l'impatto che le nuove funzionalità avranno sulle operazioni di sicurezza.
Se vuoi scoprire di più su Elastic invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita il nostro sito per avere maggiori informazioni, in alternativa compila il form sottostante con la tua domanda.