XDR utilizza un'ampia gamma di fonti di dati per permettere il rilevamento, l'indagine e la risposta su molteplici livelli di sicurezza. XDR attraversa i silos di sicurezza per identificare e rivelare il percorso completo dell'attacco in un'unica vista.
Quando si tratta di individuare le minacce, il compito dell'analista del centro operativo di sicurezza (SOC) è ricostruire il percorso dall'infiltrazione iniziale, al movimento laterale, fino a qualsiasi esfiltrazione. Questo processo permette di comprendere rapidamente l'impatto e le azioni di risposta necessarie.
Più fonti di dati e vettori di sicurezza vengono aggiunti a una singola piattaforma XDR integrata, maggiori saranno le opportunità di correlazione e queste si tradurranno in un'indagine e una risposta più complete.
Ad esempio, oggi un analista potrebbe utilizzare uno strumento di rilevamento e la risposta sugli endpoint (EDR) per ottenere una visibilità dettagliata di attività sospette sugli endpoint gestiti, ma avere poi una vista separata degli avvisi di sicurezza della rete e dell'analisi del traffico. Per quanto riguarda i workload in cloud, l'analista gode di una visibilità limitata per identificare eventuali attività sospette.
Tutte le componenti dell'ambiente generano avvisi che creano rumore e che probabilmente vengono inviati a un SIEM. L'analista può visualizzare gli avvisi, ma si perde la registrazione dettagliata di tutte le attività tra gli avvisi. Senza una forma di correlazione aggiuntiva, l'analista ignorerà importanti dettagli sull'attacco, lasciati sepolti negli avvisi senza contesto o non avrà a disposizione un modo per collegare gli eventi correlati.
XDR riunisce i livelli in modo che gli analisti della sicurezza possano visualizzare il quadro generale e spiegare rapidamente ciò che può accadere nell'azienda, compreso come l'utente è stato infettato, quale è stato il primo punto di ingresso e cosa o chi altro è coinvolto nello stesso attacco.
La registrazione efficiente dell'attività degli endpoint è indispensabile per analizzare come una minaccia potrebbe essere arrivata, essersi modificata ed essersi diffusa tra gli endpoint. Usando XDR, è possibile andare alla ricerca di indicatori di compromissione (IOC) e guidare le ricerche delle minacce base agli indicatori di attacco (IOA).
Rileva: Ricerca e identifica eventi endpoint sospetti e pericolosi
Indaga: Che cosa è successo sull'endpoint? Da dove ha avuto origine l'evento? Come si è propagato sugli altri endpoint??
Rispondi: Isola l'evento, interrompi il processo, elimina/ripristina i file
Molte aziende possono iniziare con gli endpoint, tramite strumenti EDR. Sebbene l'EDR sia un buon primo passo, potrebbe non riuscire a fornire informazioni sull'inizio e/o sulla fine del percorso dell'attacco. Cosa è successo prima che raggiungesse l'endpoint? È arrivato tramite email e altri hanno ricevuto la stessa email? Cosa è successo dopo l'arrivo su un endpoint? C'è stato un movimento laterale verso un server o un container? Si è diffuso su un dispositivo non gestito?
Dato che il 94% delle violazioni inizia tramite email[1], la capacità di identificare account compromessi e rilevare minacce tramite email dannose è un elemento fondamentale della più ampia capacità di rilevamento delle minacce di un'azienda.
Rileva: Ricerca e identifica minacce email, account compromessi, utenti frequentemente attaccati e schemi di attacco tramite email
Indaga: Chi ha permesso l'infiltrazione? Chi altro ha ricevuto l'email dannosa?
Rispondi: Quarantena delle email, blocco dei mittenti delle email, ripristino degli account
In quanto vettore di attacco numero uno, l'email dovrebbe essere un punto di espansione prioritario per il rilevamento e la risposta multi-livello. Le minacce via email spesso non incidono sugli endpoint fino a quando un utente non clicca su un allegato o su un collegamento incorporato nell'email. Una minaccia non ancora attivata potrebbe trovarsi, non rilevata, in più caselle di posta in arrivo. Connettere un rilevamento endpoint con l'email di origine significa poter cercare automaticamente nelle caselle di posta per scoprire chi altro ha ricevuto l'email dannosa e se l'allegato o l'URL malevolo si trova anche nelle caselle di posta di altri utenti. È quindi possibile mettere in quarantena le email e rimuovere la minaccia per prevenire ulteriori diffusione e danni.
L'analisi della rete è un ottimo modo per rilevare attacchi mirati mentre si diffondono lateralmente o comunicano con i server di comando e controllo (C&C). L'analisi di rete può aiutare a filtrare gli eventi dal rumore e a ridurre i punti ciechi, come l'Internet of Things (IoT ) e i dispositivi non gestiti.
Rileva: Ricerca e identifica comportamenti anomali durante la diffusione delle minacce
Indaga: Come comunica una minaccia? Come si muove all'interno dell'azienda?
Rispondi: Definisci l'ambito dell'attacco
I registri di rete forniscono una fonte completa di dati per aiutarti a comprendere l'ambito di un attacco, ma senza correlare tali registri con altri avvisi di sicurezza, è difficile ottenere il contesto necessario per valutare ciò che è correlato e importante. Per questo motivo, la rete e l'endpoint creano una combinazione potente. Correlando i dati, qualcosa che potrebbe sembrare benigno al solo livello dell'endpoint, come un'attività sospetta di PowerShell, diventa un avviso ad alta priorità quando viene considerato insieme a una comunicazione a un server C&C associata.
Proprio come nel caso degli endpoint, anche questo comporta una registrazione efficiente delle attività per analizzare come una minaccia potrebbe arrivare e diffondersi tra server e workload in cloud. È possibile andare alla ricerca degli IOC e rimanere in allerta per assistere alla comparsa degli IOA.
Rileva: Ricerca e identifica minacce specifiche che puntano a server, workload in cloud e container
Indaga: Che cosa è successo all'interno del workload? Come è avvenuta la propagazione?
Rispondi: Isola il server, interrompi i processi
Le organizzazioni possono impiegare strumenti EDR per i server e i workload in cloud, ma nel farlo potrebbero sacrificare parte dell'efficacia. L'EDR da solo non è in grado di gestire i nuovi modelli di cloud né di fornire il tipo di dati e la visibilità necessari. Come con qualsiasi vettore, la correlazione delle informazioni provenienti dagli ambienti server può convalidare attività sospette, come server che comunicano con un indirizzo IP in un paese con cui non hanno mai comunicato prima, identificandole come dannose quando collegate con dati di attività di altri livelli, sia esso un endpoint e/o la rete.
Articoli correlati