Per rispondere efficacemente a un incidente, è essenziale comprendere il quadro generale della situazione: come, quando e perché si è verificato un incidente.
Tali informazioni sono cruciali perché nel momento in cui iniziamo a contenere una minaccia, ciò potrebbe provocare delle reazioni da parte dei criminali informatici, attivandoli per accelerare un attacco o cambiare di nascosto le tecniche.
Rispondere a una minaccia senza comprendere il quadro generale può portare a un ciclo infinito in cui conteniamo una minaccia solo per attendere che l'avversario sfrutti nuovamente la stessa metodologia di attacco.
Questo è il motivo per cui, almeno in teoria, gli analisti SOC dedicano tempo ad analizzare come, quando e perché si verifica un incidente.
Sfortunatamente, in realtà, gli analisti SOC spesso non hanno il tempo necessario per eseguire questo tipo di analisi approfondite perché le loro code di incidenti sono piene e metriche come il tempo medio per il rilevamento del tempo medio (MTTD) o il tempo medio per rispondere ( MTTR), continuano ad aumentare.
Quindi la domanda da porsi è: come può un'organizzazione acquisire l'intelligenza necessaria senza aggiungere ancora più lavoro a un team già sovraccarico?
Intelligenza Potenziata Grazie a Singularity Signal
Di recente, Sentinelone ha annunciato Singularity Signal, la piattaforma di cyber threat intelligence (CTI), che elabora report di intelligence sulle minacce anche in tempo reale.
Singularity Signal combina intelligenza artificiale e umana per fornire contesto, arricchimento e fruibilità dei dati informatici, consentendo alle organizzazioni di stare un passo avanti con una visione senza precedenti della mentalità dell'attaccante.
La piattaforma esegue l'analisi tattica, tecnica e procedurale (TTP) e la correlazione di tutte le minacce in arrivo su larga scala e in tempo reale attraverso il motore di intelligenza artificiale Singularity Signal.
Sfruttando l’intelligenza artificiale di Singularity Signal, i professionisti della sicurezza possono scaricare gran parte del lavoro che non hanno tempo di svolgere. Ciò si traduce in capacità di intelligenza istantanea e potenziata per la tua organizzazione la gestione anche degli attacchi più sofisticati.
Singularity Signal è la piattaforma di ricerca minacce basata su intelligenza artificiale che conosce il tuo ambiente e aiuta gli analisti SOC a rispondere alle minacce in modo più efficace.
Guarda la Piattaforma in Azione
Dalla console di SentinelOne Singularity Platform, si può accedere all'incidente su cui si desidera indagare per avere informazioni su quando la minaccia è stata rilevata per la prima volta, quando è stata rilevata l'ultima volta e la portata dell’attacco.
Inoltre, nella sezione Threat Indicators, è possibile accedere all'analisi e alla correlazione TTP (Tecniche, Tattiche, Procedure) in tempo reale eseguite dal motore di intelligenza artificiale di Singularity Signal. In questo modo, otteniamo immediatamente informazioni vitali su ogni TTP mappato verso il framework MITRE ATT&CK.
Nell'immagine sopra, è possibile osservare un incidente all'interno della console di gestione di SentinelOne. Qui possiamo identificare rapidamente che si tratta di un rilevamento di una campagna ransomware e, sfruttando il motore di intelligenza artificiale di Singularity Signal, è possibile ottenere informazioni dettagliate su cosa, come e quando si è verificato l'incidente, nonché approfondimenti su come ogni fase dell'avversario mappa le tattiche, le tecniche e le procedure (TTP) del framework MITRE ATT&CK.
A volte, potresti trovarti in una situazione in cui hai bisogno di informazioni aggiuntive, ovvero quando la caccia alle minacce proattiva o reattiva è fondamentale.
Storicamente, per avere successo, gli analisti SOC dovevano prima familiarizzare con una piattaforma di caccia alle minacce spesso molto complessa, il rispettivo schema di dati delle loro fonti di telemetria, quindi come costruire query di caccia alle minacce per Indicator of Compromise (IOC), Indicator of Attack (IOA) o una specifica ricerca avversario.
La funzionalità Deep Visibility di SentinelOne abbina l'accesso diretto a tutti i dati strutturati di un'organizzazione a un linguaggio di query di facile apprendimento, rendendolo un potente strumento per i threat hunter.
Nell'immagine sopra, vediamo la funzionalità Deep Visibility all'interno della console di gestione di SentinelOne. Con una sola riga, è possibile cercare tutti gli endpoint che potrebbero avere particolari file in base a un valore hash.
Quindi, è possibile risparmiare tempo nella creazione di query di caccia alle minacce semplicemente sfruttando SentinelOne Hunter per cercare istantaneamente le query di caccia alle minacce da fonti specifiche, TTP e altri tipi di IOC e IOA.
Utilizzando semplicemente la funzione di ricerca in Hunter, è possibile trovare rapidamente le query di ricerca delle minacce pertinenti. In questo esempio, abbiamo cercato tutte le query di caccia alle minacce relative al gruppo di avversari denominato Hafnium. Possiamo prendere nuovamente questa query ed eseguirla istantaneamente in Deep Visibility all'interno della console di gestione di SentinelOne con un clic.
In Conclusione
Il panorama delle minacce informatiche continua a evolversi rapidamente. Di conseguenza, in molte organizzazioni, il tempo per rilevare e contenere una minaccia continua ad aumentare.
La maggior parte dei team di sicurezza oggi è troppo sovraccaricata di lunghe code per gli incidenti per eseguire analisi approfondite e significative come parte delle loro indagini sugli incidenti.
Singularity Signal sfrutta il motore di intelligenza artificiale per eseguire la modellazione delle minacce in tempo reale, la correlazione degli incidenti e l'analisi TTP su larga scala, offrendo un'intelligenza potenziata che è possibile utilizzare per rispondere in modo più efficace alle minacce.
Per scoprire di più sulle potenzialità della piattaforma Singularity Signal di SentinelOne, chiamaci allo (055) 538-3250 oppure inviaci una mail a cio@florence-consulting.it.
Puoi richiedere una consulenza o demo gratuita a questa pagina. In alternativa, puoi compilare il form sottostante.
