Il tema “rilevamento e risposta estesa” (XDR) è diventato un argomento di spicco tra i fornitori di sicurezza e gli analisti negli ultimi mesi. La promessa di un migliore rilevamento delle minacce su una gamma più ampia di soluzioni hardware e software interconnesse sembra molto simile ai primi giorni di SIEM, poiché si è espansa oltre le semplici funzionalità di gestione dei log.
Come con la maggior parte delle implementazioni SIEM legacy, i primi clienti XDR hanno faticato a bilanciare gli investimenti in strumenti e risultati aziendali positivi. In effetti, la maggior parte delle aziende deve ancora considerare completamente il costo e la complessità associati alla raccolta e all'analisi dei dati richiesti da alcune soluzioni XDR.
Diamo un'occhiata alle sfide in modo più dettagliato e guardiamo come SentinelOne sta rivoluzionando il panorama XDR affrontando uno degli ostacoli più grandi e complessi che minacciano l'adozione di XDR di successo: la gestione dei dati su larga scala.
I Dati Stanno Incrementando, Esponenzialmente
IDC prevede che entro il 2025 il volume totale dei dati archiviati a livello globale raggiungerà i 175 ZB; è un aumento di 5 volte rispetto al 2018 (33 ZB).
Per quelli che hanno smesso di contare a gigabyte, uno zettabyte equivale a un trilione di GB. Ma come vengono suddivisi questi dati e quanto di essi può essere utilizzato per prendere decisioni migliori in materia di sicurezza per proteggere le aziende da attacchi mirati? Scaviamo un po' più a fondo nei dati.
Dei 175ZB previsti, circa l'85% è costituito da storage di dati su cloud aziendale e/o pubblico. Ancora più importante, IDC prevede che entro il 2025 ben il 30% di questi dati sarà classificato come telemetria "in tempo reale, sensorizzata" da endpoint e dispositivi IoT. Ciò rappresenta un'enorme sfida, oltre che un'opportunità, per le aziende che desiderano migliorare la propria posizione di sicurezza sfruttando questa abbondante ricchezza di dati.
I dati da soli non sono utili e più dati non diventano magicamente più utili in volume. I dati devono essere contestualizzati e analizzati per diventare informazioni. L'informazione diventa conoscenza solo quando applichiamo collegamenti significativi tra più punti di informazione, assemblando i dati contestualizzati in risultati attuabili. Pertanto, i dati senza contesto tendono a essere superflui.
Una Gestione Efficace dei Dati Richiede un Contesto Definito
La maggior parte delle aziende genera grandi volumi di dati di telemetria per ogni singola entità, inclusi i registri delle attività di utenti, dispositivi, applicazioni e sensori. In questa "età dell'osservabilità" possiamo essere certi che nulla di importante accade senza che si sia verificato un corrispondente record.
Questo in genere assume la forma di un registro o di un evento: un messaggio transazionale che descrive l'entità, l'azione, gli attributi e possibilmente una condizione di risposta. Ulteriori forme di telemetria possono contenere metriche semplici contenenti misurazioni campionate o riassunte.
La sicurezza delle informazioni ci ha insegnato che anche i set di dati più innocui e banali potrebbero in qualche modo essere rilevanti nell'ambito di un'indagine o di un rilevamento dannoso.
Sebbene la maggior parte degli attacchi possa essere contrastata da un'efficace piattaforma di rilevamento e prevenzione degli endpoint prima che abbiano un impatto sull'azienda, l'analisi della breadcrumb può essere l'unico mezzo efficace per identificare i TTP (tattiche, tecniche e procedure) degli aggressori ed eventuali motivazioni e scopi dell’attacco.
La soluzione Singularity ActiveEDR/XDR sfrutta le capacità uniche della tecnologia brevettata Storyline di SentinelOne per unire eventi di sicurezza disparati in un'unica sequenza temporale e visualizzazione degli attacchi, completa di attribuzione della tecnica MITRE ATT&CK e, ove possibile, dei dettagli dell'attore della minaccia.
Dispositivi Non Autorizzati / Shadow IT Creano Punti Ciechi delle Informazioni
Gli aggressori prendono di mira tutti i dispositivi esposti, non solo quelli noti al team delle operazioni di sicurezza. Man mano che la superficie di attacco aziendale si espande (grazie all'IoT, alla trasformazione del cloud, ai carichi di lavoro containerizzati e al BYOD), aumenta anche la necessità di espandere le fonti di telemetria, riducendo al minimo o eliminando eventuali punti ciechi che inevitabilmente esistono.
La maggior parte delle organizzazioni fatica a mantenere un inventario accurato dei dispositivi connessi e ancora meno ha la capacità di identificare quando sulla rete compaiono dispositivi non autorizzati che potrebbero rappresentare un potenziale rischio per la sicurezza.
Sfruttando la rete di sensori esistente e i dati raccolti da essa, le aziende possono identificare più rapidamente le lacune di sicurezza per proteggere una maggiore superficie di attacco. Quando i volumi di eventi dai sensori esistenti cambiano senza una modifica giustificata della policy, le operazioni di sicurezza possono essere notificate per garantire che una modifica della configurazione, dolosa o benigna, non abbia lasciato il dispositivo in uno stato in cui la registrazione è disabilitata o ridotta.
Singularity Ranger offre alle aziende visibilità sull'intera proprietà dei dispositivi, consentendo ai team delle operazioni di sicurezza di identificare rapidamente i dispositivi non gestiti/a rischio, rilevando le loro caratteristiche ed evidenziando quelli senza capacità di protezione.
Ranger Deploy può quindi eseguire l'installazione di agent remoti e l'applicazione delle policy dei sistemi supportati per ridurre la superficie di attacco aziendale e migliorare la posizione di sicurezza di un'organizzazione.
Accessibilità Attraverso l’Integrazione
Il volume dei dati dei sensori non è l'unica sfida significativa che le aziende devono affrontare oggi. Molto più importanti sono la posizione e l'accessibilità multipiattaforma dei silos di dati discreti.
Nei casi d'uso della sicurezza informatica, questa è stata per anni la competenza di una piattaforma di Security Information Event Management (SIEM) in cui i registri/eventi sono stati raccolti e archiviati dalle più comuni fonti di telemetria, vale a dire firewall, piattaforme di rilevamento delle intrusioni, soluzioni antivirus legacy e un breve elenco di risorse server critiche.
Con l'avvento di soluzioni Endpoint Detection & Response (EDR) le aziende hanno accesso a enormi volumi di dati sugli eventi ad alta fedeltà, di alto valore e in tempo reale da endpoint protetti, ma questi dati risiedono in genere in un repository di dati completamente separato da SIEM. Man mano che un numero maggiore di carichi di lavoro aziendali viene spostato su soluzioni PaaS/IaaS, vediamo un altro silo di dati disconnesso da un nuovo set di sensori.
La combinazione di questi insiemi disparati e piuttosto unici di endpoint, cloud, rete e dati di sicurezza in un'unica posizione è costosa e il valore realizzato è spesso difficile se non impossibile da giustificare. Man mano che le architetture di sicurezza aziendale sono sempre più diversificate, è più importante che mai che i modelli di analisi dei dati di diversi fornitori diventino parte di un arsenale di rilevamento e protezione efficace.
Il Singularity Marketplace garantisce che l'elenco crescente di partner nell'ecosistema di sicurezza SentinelOne possa essere facilmente integrato sia nella pipeline di raccolta dati sia nelle opzioni di risposta e riparazione di un'azienda diversificata.
L'enorme numero di fonti di telemetria, combinato con la natura unica di ciascuna fonte di dati (diversi formati, contenuto, contesto e cardinalità) ha creato delle difficoltà nella gestione delle informazioni per le organizzazioni.
Di conseguenza, la maggior parte delle aziende deve scegliere in modo selettivo quali fonti di dati elaborare in base al valore percepito di ciascuna in relazione al miglioramento dei processi aziendali o alla maggiore efficacia della sicurezza.
I dati non sono tutti uguali in termini di valore dal punto di vista delle operazioni di sicurezza. A volte, i dati più facili da consumare (i registri WMI da Windows, ad esempio) possono essere i meno utili in termini di rilevamento delle minacce e valutazione degli incidenti di sicurezza.
Spesso, i registri più voluminosi all'interno di un'azienda come i dati del flusso di rete, i registri delle transazioni e-mail, gli eventi di richiesta/risposta DNS e gli avvisi di autenticazione forniscono un valore maggiore, ma il basso rapporto signal-to-noise li rende troppo ingombranti da raccogliere ed elaborare in tempo reale senza una piattaforma di gestione dei dati efficiente, performante e scalabile.
Conservazione dei Dati: la Chiave per una Efficace Caccia alle Minacce
Un'altra sfida che devono affrontare i team di sicurezza aziendale è l'implicazione dei costi della conservazione a lungo termine e della ricercabilità dei dati di telemetria raccolti.
In effetti, la maggior parte dei fornitori tende a limitare la conservazione tra 7 e 30 giorni. Come abbiamo visto di recente con l'attacco alla catena di approvvigionamento di SolarWinds, sono passati mesi prima che la comunità della sicurezza venisse a conoscenza degli artefatti dannosi e dei TTP avversari.
Ciò significava che molte organizzazioni non erano in grado di eseguire la ricerca storica nell'intervallo di tempo pertinente perché quei registri erano già scaduti dalla piattaforma o erano stati spostati in archivi offline, rendendo difficile la valutazione dell'ambito dell'attacco.
I clienti della piattaforma SentinelOne Singularity possono eseguire threat hunting in tempo reale per un periodo di conservazione di 365 giorni, consentendo agli analisti SOC una visibilità completa degli artefatti e del TTP per un intero anno di raccolta di eventi.
È possibile creare regole automatizzate di ricerca e avviso utilizzando la funzionalità brevettata SentinelOne STAR™ (Storyline Active Response), attivando i dati provenienti da EDR in tempo reale e storico e telemetria di terze parti archiviati nell'archivio dati Deep Visibility.
Vengono pubblicati pacchetti di contenuti contenenti artefatti contraddittori (IoC) importanti per il rilevamento automatico di campagne di attori di minacce noti. Per una conservazione ancora più a lungo termine, SentinelOne offre una funzionalità chiamata HindSight, che fornisce una struttura per archiviare dati per periodi ancora più lunghi per eseguire threat hunting retroattivo illimitato per l'intero ambito e la durata dei dati raccolti.
Punti Chiave
La soluzione alle sfide della gestione dei dati su larga scala è una strategia di gestione dei dati che democratizza i dati generati, raccolti e analizzati da un'organizzazione.
Come regola generale:
- Nessuna applicazione dovrebbe tenere in ostaggio i dati dell’azienda;
- La duplicazione dei dati in più repository è costosa e ingestibile;
- Il mantenimento di silos di dati disparati porta a rilevamenti di minacce mancati e punti ciechi nel triage degli incidenti di sicurezza e negli sforzi di scoping;
- Le organizzazioni non dovrebbero mai trovarsi di fronte alla necessità di raccogliere/memorizzare volumi ridotti di dati di sensori altamente rilevanti per giustificare l'equazione Costo: Valore.
Se vuoi avere maggiori informazioni sulla soluzione Singularity ActiveEDR/XDR di SentinelOne invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita la pagina dedicata sul nostro sito per ricevere ulteriore materiale informativo o per richiedere una demo gratuita.
In alternativa, puoi compilare il form sottostante con la tua domanda.