Negli ultimi anni il panorama della sicurezza difensiva si è arricchito di strumenti innovativi che stanno consentendo ad un numero crescente di realtà di godere dei benefici derivanti dall’utilizzo di algoritmi basati sul ML, analisi comportamentale, e interconnessione tramite servizi cloud.
L’integrazione di strumenti di nuova generazione e l’utilizzo di un approccio multicentrico consentono di migliorare l’efficacia della propria strategia di difesa, senza stravolgere totalmente l’architettura pre-esistente, sfruttando a proprio vantaggio le sinergie tra le strumentazioni di nuova concezione e quelle maggiormente consolidate.
Dalla tradizionale architettura SIEM-centrica…
Tradizionalmente, il perno delle architetture di monitoraggio e rilevamento delle minacce è costituito dal SIEM (Security Information and Event Management), uno strumento di raccolta e gestione centralizzata delle informazioni e degli eventi.
In questa architettura di riferimento gli eventi rilevanti per la sicurezza vengono collezionati presso tutti i nodi della rete (server, workstations, firewalls, ..) per poi essere trasmessi direttamente al SIEM centrale che si occupa della loro registrazione e conservazione.
Il SIEM fornisce quindi agli operatori una serie di funzionalità avanzate per l’elaborazione dei log, quali la ricerca puntuale dei dati, la normalizzazione dei flussi similari, la correlazione tra sorgenti differenti e l’arricchimento con dati da fonti esterne (es. intelligence). È prevista inoltre l’allarmistica automatica e la possibilità di progettare viste avanzate tramite apposite dashboard.
Nella concezione classica delle architetture di monitoraggio quindi, il cuore del motore di rilevamento è costituito dal SIEM, mentre presso i nodi decentrati avvengono, per la gran parte, attività passive di collezionamento o, al più, filtraggio/blocco automatico in base a semplici regole predeterminate (es. antivirus e dispositivi di rete di vecchia concezione)
…Agli strumenti di monitoraggio “Next-Gen”
Più recentemente si è assistito a una drastica evoluzione del paradigma SIEM-centrico, grazie all’avvento di tecnologie evolute quali:
– EDR (Endpoint Detection and Response), che permettono di superare le tradizionali soluzioni antivirus sugli endpoint, affiancando alle regole di filtraggio statiche (Indicator of Compromise) tecniche di analisi più sofisticate e proattive, basate sull’analisi e il confronto dei comportamenti anomali degli utenti (Indicator Of Attacks). Gli EDR consentono inoltre di definire con un elevato grado di personalizzazione, azioni di risposta automatiche per reagire tempestivamente alle minacce, o di intervenire manualmente da remoto direttamente sul singolo endpoint.
– XDR (eXtended Detection and Response), che estendono ulteriormente il concetto di EDR, permettendo il monitoraggio e l’intervento di mitigazione automatica a copertura di un perimetro ancora più ampio rispetto ai soli endpoint, tramite l’integrazione di dispositivi eterogenei (apparati di rete, controller di dominio, gateway di posta,…)
– Next Generation Firewall/Proxy, che potenziano i tradizionali dispositivi di monitoraggio del traffico di rete perimetrale, basati su regole statiche, con funzionalità evolute, quali la capacità di rilevare anomalie rispetto al traffico abituale dei singoli utenti/gruppi di lavoro/applicazioni, e la categorizzazione automatica del traffico malevolo sulla base di fonti esterne di Intelligence (proprietarie o open-source)
– CASB (Cloud access security broker), servizi di monitoraggio situati tra gli utenti e le applicazioni dei perimetri Cloud, che permettono l’applicazione automatica di policy di sicurezza personalizzabili, il rilevamento di malware e anomalie comportamentali (es. data exfiltration) nonché l’applicazione di politiche di data protection.
– SOAR (Security Orchestration, Automation and Response), strumenti evoluti che permettono di disegnare e attuare risposte automatiche complesse a fronte della ricezione di eventi o combinazioni di eventi con caratteristiche predefinite, nonché di implementare automazioni coinvolgendo diversi tool di sicurezza e non. In questo modo è possibile alleggerire notevolmente il carico delle azioni di routine che gravano solitamente sugli operatori umani, migliorandone efficienza e tempi di reazione.
I vantaggi di un approccio multicentrico
Le tecnologie “Next-Gen” sono accumunate dalla capacità di poter applicare le metodologie di monitoraggio e di intervento più innovative e performanti direttamente presso i sistemi periferici.
In questo modo, combinando le differenti strumentazioni dislocate su più punti in un approccio multicentrico, è possibile migliorare sensibilmente l’efficacia dell’intera strategia di prevenzione, realizzando compiutamente la best practice della Defense-In-Depth.
La piattaforma SIEM già esistente può essere pienamente sfruttata per progettare e realizzare quelle logiche di monitoraggio che richiedono un livello di correlazione più spinto, impossibile da attuare presso le singole fonti, massimizzando così l’utilità della piattaforma.
Il SIEM può così agire da centralizzatore per i vari allarmi generati dai diversi tool di sicurezza, fornendo agli analisti un set informativo ricco e preciso sulle minacce in corso.
Allo stesso tempo, il filtraggio evoluto effettuato già a livello dei singoli nodi è in grado di ridurre notevolmente il livello di rumore e il numero di falsi positivi che contraddistinguono da sempre le architetture tradizionali, riducendo l’impatto della temuta Alarm Fatigue a carico degli operatori fisici.
Un esempio concreto
I protocolli applicativi cosiddetti ‘standard’, comunemente utilizzati per scopi legittimi, sono potenzialmente adatti a celare traffico malevolo (ad esempio durante attacchi di data exfiltration e comunicazioni C2).
Questa tipologia di traffico risulta tradizionalmente ostica da monitorare esclusivamente mediante sistemi centralizzati a causa dell’enorme quantità di eventi “innocui” costantemente generata dalle applicazioni durante le operazioni di routine, e che ai fini del monitoraggio costituiscono una quantità notevole di rumore di fondo.
Per consentire un rilevamento tempestivo ed efficace di eventuali abusi, diventa dunque fondamentale poter disporre di strumenti in grado di filtrare, intervenire e bloccare le comunicazioni sospette direttamente “in loco”, ovvero sui sistemi periferici.
Un Next-Gen Proxy, ad esempio, è in grado di rilevare e bloccare richieste indirizzate a domini inconsueti o notoriamente utilizzati in campagne di attacco. Il proxy, in questo caso, svolge un duplice compito: da un lato filtra il traffico non di interesse, dall’altro consente di implementare un primo strato di sicurezza attiva.
In un secondo livello, il SIEM può poi raccogliere i dati generati presso questo primo layer difensivo per consentire analisi più complesse, correlando tali dati su scala più ampia con eventi provenienti da altre sorgenti.
Questo permette di contrastare attacchi più sofisticati come, ad esempio, una campagna di phishing rilevata correlando le connessioni http bloccate dal proxy verso domini sospetti con gli eventi registrati nello stesso arco temporale dal mail gateway.
L’offerta RAD
La pluriennale esperienza maturata all’interno del competence center di Cyber Security Monitoring di RAD, testimonia che nella grande maggioranza dei casi è possibile aggiornare e potenziare i sistemi di monitoraggio aziendali conservando gran parte dell’architettura pre-esistente.
Tramite il nostro servizio di consulenza personalizzata è possibile beneficiare del livello di protezione offerto dalle tecnologie più innovative integrandole direttamente all’interno dell’attuale ecosistema, valorizzando nel migliore dei modi investimenti passati e futuri e permettendo ai talenti umani di focalizzarsi meno su attività di routine e sempre più su attività di valore.
Se vuoi scoprirne di più, scrivici a info@radsec.it o visita il nostro sito www.radsec.it.