Nell'ambito della sicurezza informatica, diminuire il tempo di rilevamento di una minaccia è fondamentale; tuttavia, ciò non si traduce in una riduzione dei cicli di remediation una volta identificata la minaccia.
Spesso è presente una disconnessione tra il tempo in cui il team IT rileva la minaccia e la rapidità con cui è in grado di eliminarla. Poiché i team IT hanno il compito di “fare di più con meno”, la domanda che ci dobbiamo porre è: in che modo possono ottimizzare gli strumenti esistenti per soddisfare sia gli obiettivi di sicurezza che quelli operativi?
La risposta è allineare le priorità alla piattaforma di protezione degli endpoint (EPP). L'utilizzo della soluzione adeguata per la protezione e risposta degli endpoint (EDR) estende la visibilità nell'ambiente in modo da:
- Ridurre ulteriormente il tempo per il rilevamento e la mitigazione;
- Migliorare l'efficienza e l'efficacia dei SecOps;
- Avere una sicurezza proattiva che gestisce le minacce a più alto rischio.
Contenere una violazione in meno di 30 giorni potrebbe far risparmiare milioni. Anche per una grande impresa, è una cifra considerevole.
Integrated Manager Detection and Response (MDR)
Con soluzioni MDR, è sufficiente che una minaccia si presenti una volta nel proprio ambiente e dal quel momento è bloccata ovunque.
Ciò consente di risparmiare un'enorme quantità di tempo, abbreviando i tempi di mitigazione e riducendo i costi.
La soluzione EDR si integra con i vari componenti MDR sul back-end, mentre l’integrazione con le informazioni di sicurezza e la gestione degli eventi (SIEM – Security Information and Event Management) fornisce un’interfaccia utente (UI – User Interface) per il front-end.
L'isolamento degli endpoint consente di bloccare rapidamente l'attività di rete in entrata e in uscita, eliminando il rischio che un'infezione si diffonda attraverso la rete. Durante l'isolamento, che può essere attivato manualmente o automaticamente, è possibile avere una visibilità completa dell'endpoint attraverso il cloud.
Una volta mitigata la minaccia, possiamo abilitare rapidamente l'endpoint per riconnetterlo alla rete.
Perché Ridurre i Tempi di Rilevamento è Fondamentale per Ridurre i Costi
Più lungo è il tempo per il rilevamento, maggiore è la probabilità che si verifichino dei danni all’interno della rete.
Secondo il CISO Benchmark Report, il 41% delle organizzazioni riceve più di 10.000 avvisi di sicurezza ogni giorno, senza però avere informazioni su ciò che sta accadendo all’interno del proprio ambiente.
Per questo motivo, è necessario automatizzare e integrare tecnologie che offrano economie di scala.
Una soluzione EDR consente ai CISO di eseguire una ricerca approfondita delle informazioni che altri strumenti raccolgono nell’ambiente.
Ciò consente loro di confermare se i dati sono direttamente correlati all'attacco. Queste informazioni migliorano la definizione dell'ambito e riducono significativamente i tempi di rilevamento.
La soluzione EDR consente inoltre di eseguire ricerche avanzate, pianificate o su richiesta, di qualsiasi dato nell'intero ambiente, trattando ogni endpoint come un database da interrogare.
È possibile eseguire rapidamente una query, basata su trigger come il rilevamento di indicatori di compromissione, con la possibilità di aumentare le azioni automatizzate.
Di seguito, descriviamo un paio di funzionalità aggiuntive della soluzione EDR che forniscono informazioni utili.
Monitoraggio e Scansione Continui
Non appena nuove informazioni sulle minacce diventano disponibili e un file viene identificato come dannoso, la soluzione EDR mette automaticamente in quarantena il file e invia un alert.
Utilizzando la funzionalità di traiettoria dei file, è possibile visualizzare quanto tempo il file è rimasto su tutti gli endpoint, incluso lo spostamento del malware dall'host infetto iniziale ad altri dispositivi.
Threat Intelligence Integrata
EDR si basa su algoritmi per apprendere come identificare file e attività dannosi in base agli attributi di malware noti. Le capacità di machine learning della soluzione EDR sono alimentate dal set di dati completo di intelligenza artificiale di SentinelOne per garantire un modello migliore e più accurato.
Questa combinazione aiuta a rilevare il malware nel punto di ingresso, anche se una particolare variante è nuova, non essendo mai stata rilevata in precedenza.
L’Importanza del Machine Learning
La soluzione EDR riceve automaticamente informazioni utilizzabili dal motore Deep File Inspection (DFI) di SentinelOne, che rileva e impedisce l'esecuzione di minacce tramite modelli di machine learning statici.
Tali modelli sono abilitati per rilevare le minacce esaminando vari attributi statici che possono essere estratti da file eseguibili, rendendola una tecnica signature-less che è superiore nel rilevamento delle minacce basate su file.
Quindi, il DBT (Dynamic Behavioral Tracking) di SentinelOne tiene traccia di tutte le attività sul sistema, comprese le modifiche a file / registro, avvio / arresto del servizio, comunicazione tra processi e attività di rete.
Tali informazioni vengono inserite in un modello machine learning dinamico che rileva ed elimina le minacce che non sono già state rilevate da DFI. Poiché modella il comportamento di tutti i processi, la soluzione identifica le minacce difficili da rilevare con i modelli statici.
Efficienza ed Efficacia Migliorate
Come si identificano le risorse più esposte in modo da poter dare la priorità al rilevamento delle minacce? La sfida è determinare quali endpoint possono avere una parte di software legacy con una specifica voce CVE (Common Vulnerabilities and Exposures).
Le soluzioni di sicurezza tradizionali per endpoint identificano quali dispositivi hanno app obsolete quando sono state avviate.
Tuttavia, se il software non viene eseguito su un endpoint da un po' di tempo, la determinazione dell'esposizione all'ingresso CVE potrebbe essere ritardata o addirittura mancata.
Per risolvere questo problema, la soluzione EDR esegue una ricerca avanzata per interrogare continuamente tutti gli endpoint tramite un portale basato su SaaS.
Indipendentemente da quando è stata eseguita l'ultima volta un'applicazione con un CVE, è possibile eseguire un report che identifica tutti gli endpoint e dove risiedono.
Se la vulnerabilità è critica, è possibile scegliere di isolare gli endpoint interessati dalla rete e mitigare la vulnerabilità prima che gli aggressori possano sfruttarla.
Inoltre, la soluzione EDR ha molteplici funzionalità che possono rendere più efficienti le operazioni di sicurezza come flussi di lavoro automatizzati e isolamento degli endpoint.
Workflow Automatizzati
Un esempio di flussi di lavoro automatizzati è l'analisi retrospettiva, che mette automaticamente in quarantena un file dannoso che originariamente si presentava come benigno.
Le minacce nuove e sconosciute non vengono bloccate quando entrano per la prima volta nell'ambiente, ma la soluzione EDR tiene traccia e monitora il file e il suo comportamento.
Quando il file risulta dannoso, la funzionalità retrospettiva non attende che un utente lo scopra: blocca rapidamente il file mentre attiva un avviso in modo da poter esaminare l’incidente e mitigarlo.
Isolamento dell’Endpoint
Anche con la piena visibilità del proprio ambiente, la rimozione di una minaccia e il rilevamento di un endpoint compromesso richiedono tempo.
Ciò lascia una finestra più ampia per l'escalation di una minaccia, aumentando il tempo di rilevamento e, di conseguenza, il rischio. L'isolamento degli endpoint consente di bloccare rapidamente l'attività di rete in entrata e in uscita, eliminando il rischio che un'infezione si diffonda attraverso la rete.
Durante l'isolamento, che può essere attivato manualmente o automaticamente tramite API, è possibile mantenere la completa visibilità dell'endpoint attraverso il cloud, nonché consentire l'inserimento di indirizzi IP nella whitelist.
Dopo aver mitigato la minaccia, è possibile abilitare rapidamente l'endpoint a riconnettersi alla rete.
In Conclusione
Una soluzione EDR consente di raggiungere gli obiettivi di business e SecOps senza risorse aggiuntive. Difendersi dalle minacce in evoluzione è una responsabilità complicata, ma è possibile ridurre la complessità e aumentare l'efficienza con soluzioni avanzate progettate per risolvere le complesse sfide di sicurezza.
Se vuoi avere maggiori informazioni sulla soluzione EDR SentinelOne invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita la pagina dedicata sul nostro sito per ricevere ulteriore materiale informativo o per richiedere una demo gratuita.
In alternativa, puoi compilare il form sottostante con la tua domanda.