I team delle operazioni di sicurezza faticano a tenere il passo con una superficie di attacco più ampia e complessa utilizzando una varietà di soluzioni per punti disconnessi e il triage manuale e la correlazione del flusso di avvisi generati.
Sebbene ci sia sempre stata una spinta verso il consolidamento e l’automazione della piattaforma di sicurezza informatica, la maggior parte degli analisti e dei leader della sicurezza concorda sul fatto che oggi è fondamentale ridurre gli avvisi mancati e l’affaticamento degli avvisi.
Le soluzioni per modernizzare i SecOps abbondano, ma le informazioni su di esse sono spesso vaghe, le parole d’ordine sono pesanti e i vantaggi dell’overselling.
Ecco perché in questo post illustriamo le specifiche di come dovrebbero essere il consolidamento e l’automazione della piattaforma e come migliora l’efficienza delle operazioni. Lo faremo esaminando le funzionalità chiave di Bitdefender GravityZone , una piattaforma unificata per la prevenzione delle minacce, la protezione e il rilevamento e la risposta eXtended.
Fondazione per un’efficace prevenzione e protezione automatizzata
L’approccio di Bitdefender per ridurre gli avvisi persi e l’affaticamento degli avvisi ha come fondamento uno stack tecnologico completo di prevenzione e protezione.
Tecnologie come Risk Analytics, Patch Management, Full Disk Encryption e Device Control riducono la superficie di attacco. Le minacce che raggiungono i sistemi degli utenti vengono automaticamente bloccate da livelli di protezione come Tunable Machine Learning, Cloud Sandboxing, Fileless Attack Defense, Network Attack Defense e Exploit Defense.
Insieme, questi livelli di sicurezza sono efficaci nel bloccare automaticamente anche le minacce persistenti avanzate (APT), prima dell’esecuzione , riducendo così i rischi di violazione dei dati e il numero di avvisi a cui gli analisti devono rispondere.
Rilevamento e risposta alle minacce consolidate oltre gli endpoint
Il rilevamento e la risposta unificati sono fondamentali per scoprire i pochi attacchi sofisticati che riescono a bypassare le altre difese e fermarli in tempo per prevenire un impatto negativo sull’azienda.
Una sfida principale per i team SecOps è l’enorme numero di avvisi di cui hanno bisogno per stare al passo con sistemi separati come Endpoint Detection and Response (EDR), Cloud Workload Protection Platforms (CWPP), Network Detection and Response (NDR), Identity and Access Applicazioni di gestione (IAM) e di produttività come Office 365.
L’utilizzo di strumenti di rilevamento e risposta separati significa che gli avvisi non includono un contesto importante e sono scarsamente valutati e classificati in ordine di priorità, quindi è probabile che le minacce reali vengano oscurate dal rumore degli avvisi e le indagini potrebbero essere lente.
Poiché gli attacchi moderni saltano da un ambiente all’altro, diversi avvisi possono derivare dallo stesso attacco, ma la correlazione manuale dei segnali tra i sistemi e la visibilità dell’intero attacco è scoraggiante.
Bitdefender GravityZone eXtended Detection and Response (XDR) affronta queste sfide estendendo il rilevamento, l’indagine e la risposta oltre gli endpoint e consolidando automaticamente le funzionalità tra reti, cloud, applicazioni di produttività e identità.
GravityZone XDR sfrutta tecnologie e integrazioni di sensori chiavi in mano per assemblare informazioni rilevanti per la sicurezza in questi ambienti. Quindi applica l’analisi e l’intelligence sulle minacce incorporata per rilevare attività sospette e correlare e consolidare gli avvisi in incidenti, creando automaticamente una rappresentazione visiva dell’intera catena di attacco.
In che modo l’approccio di Bitdefender differisce da SIEM e Open XDR Tools
La necessità di una solida piattaforma di sicurezza unificata e l’entusiasmo intorno a XDR sono così pervasivi che i fornitori specializzati in EPP/EDR, SIEM, sicurezza di rete e altre aree stanno rilasciando le loro versioni di una piattaforma XDR.
Le diverse categorie di strumenti a volte si sovrappongono e le etichette del settore vengono utilizzate in modo incoerente. Per aiutare a superare le confusioni, abbiamo pubblicato una panoramica di alto livello delle principali differenze tra SIEM, Native XDR e Open XDR e puoi esaminare le funzionalità e il modo in cui si integrerebbero e trasformerebbero i tuoi flussi di lavoro. Ad esempio, alcuni strumenti possono creare un sovraccarico aggiuntivo e richiedere troppa esperienza e tempo per mantenerli e sfruttarli.
L’unificazione del rilevamento, dell’indagine e della risposta alle minacce con GravityZone XDR si ottiene implementando EDR e i sensori per rete, identità, cloud e produttività.
Utilizzando l’approccio nativo, le informazioni giuste vengono raccolte in un formato prevedibile e non è necessario creare e mantenere integrazioni personalizzate o avere analisti esperti che sviluppano e regolano continuamente le regole di rilevamento. Immediatamente dopo l’implementazione dei sensori, i rilevamenti entrano in flusso e vengono correlati tra i sistemi in incidenti estesi.
In che modo gli analisti sfruttano il consolidamento, gli insight fruibili e il contesto per rispondere più rapidamente
Quando accedono alla scheda Incidenti all’interno di GravityZone XDR, gli analisti visualizzano un elenco di incidenti estesi in ordine di priorità. Invece di scavare in dozzine di segnali come accessi sospetti e poi separatamente in dozzine di incidenti di endpoint e rete, gli analisti iniziano con gli incidenti con la priorità più alta e possono facilmente eseguire il drill-down per capire come uno degli accessi sospetti è collegato ad altre attività sospette di rete e endpoint .
L’approccio di GravityZone XDR è incentrato sul fornire un contesto e rispondere, il più rapidamente possibile, alle domande chiave a cui un analista deve rispondere, tra cui: qual è stata la causa principale dell’attacco, qual è stato l’impatto, cosa si dovrebbe fare per contenere o rimediare al minaccia? Una panoramica leggibile dall’uomo descrive l’incidente esteso, inclusa la causa, la catena di eventi e i sistemi interessati, nonché le tattiche e le tecniche MITRE utilizzate dall’attaccante. Un grafico di attacco viene generato automaticamente per ogni incidente esteso che mostra un’immagine unificata della catena di attacco e della sequenza temporale tra endpoint, rete, cloud, applicazioni di produttività o identità.
Le funzionalità di Historical and Live Search consentono ai team di sicurezza di eseguire la caccia alle minacce e la risposta attiva agli incidenti e identificare rapidamente e facilmente configurazioni errate e vulnerabilità con un occhio al mantenimento della conformità a normative o standard e alle best practice di sicurezza.
Gli approfondimenti attuabili consentono ai team di comprendere e rispondere agli incidenti senza onerose indagini manuali che occupano il tempo di esperti avanzati. Per concentrare ulteriormente gli sforzi, GravityZone XDR offre anche azioni di risposta consigliate, aiutando anche gli analisti con poco tempo a disposizione a rispondere rapidamente alle minacce. Il contenimento e la risoluzione degli attacchi vengono accelerati utilizzando risposte a livello di organizzazione eseguite dalla stessa schermata di GravityZone. Tali azioni con un clic includono: isolare gli endpoint, eliminare o sospendere gli account di posta elettronica o disabilitare gli account di Active Directory.
I prossimi passi per migliorare il consolidamento e l’automazione della sicurezza
Ci sono centinaia di fornitori – e quasi altrettante tecnologie miracolose – che affermano di essere in grado di consolidare e automatizzare il monitoraggio della sicurezza e la risposta agli incidenti.
L’approccio di Bitdefender migliora l’efficienza dei flussi di lavoro SecOps bloccando le minacce più avanzate prima dell’esecuzione e valutando, correlando e consolidando automaticamente avvisi e incidenti.
A differenza di altri strumenti SIEM o XDR, non ci sono integrazioni manuali e regole di rilevamento da creare e mantenere. Invece di aumentare il carico di gestione, Bitdefender combina un ricco contesto di sicurezza e informazioni fruibili per fornire valore attraverso migliori risultati di sicurezza e risparmio di tempo, in modo che i team di sicurezza possano concentrarsi su attività di impatto che riducono il rischio organizzativo. Allo stesso tempo, quando sono necessarie indagini avanzate, i team dispongono di potenti funzionalità di ricerca per ricercare in modo proattivo le minacce, raccogliere informazioni forensi e identificare le vulnerabilità.
