Il Mandiant Cyber Defense Summit 2021 è stato l'occasione per l'annuncio di Mandiant Active Breach e Intel Monitoring e Ransomware Defense Validation, due nuovi prodotti Software-as-a-Service che saranno disponibili a far data dal gennaio 2022. Ha svelato alcune loro peculiarità Chris Key, Chief Product Officer di Mandiant, sottolineando che andranno a integrarsi nella piattaforma già esistente Mandiant Advantage, con la funzione di "aumentare l'efficacia e l'efficienza della response automatizzata".

Active Breach & Intel Monitoring

L'obiettivo di questo nuovo servizio è consentire ai team di sicurezza aziendali di rilevare la presenza di IoC (indicatori di compromissione) attivi nei loro ambienti. Il monitoraggio proattivo delle reti identifica la presenza di IoC sulla base delle informazioni tratte dalla threat intelligence globale di Mandiant e assegna loro delle priorità, così che gli addetti alla security possano identificare rapidamente potenziali attacchi e ridurre il tempo di permanenza in rete degli attaccanti.

Da una parte efficienta la detection delle minacce, dall'altra sgrava gli addetti alla security dal compito di passare in rassegna gli alert, assegnare priorità e gestirli. Il passo in avanti è importante, perché come ha sottolineato lo stesso Key, al momento "la treath intelligence di Mandiant è a disposizione dei clienti, ma sta a loro capire da soli cosa intensificare o modificare in base a tali informazioni".

Quando sarà disponibile Active Breach & Intel Monitoring, l'incident response di Mandiant sarà collegata direttamente al SOC aziendale. I clienti saranno monitorati in modo proattivo e, in caso di minaccia, Active Breach & Intel Monitoring controllerà automaticamente il flusso di eventi e i dati del cliente. L'automazione correla i dati presenti nell'ambiente del cliente con le minacce note, aggiunge valutazioni sugli IoC controllando in modo automatizzato 130 caratteristiche uniche, e contestualizza il tutto a livello geografico e industriale.

Un diagramma all'interno del modulo mostrerà ai clienti su cosa devono agire e perché, senza dover fare altre valutazioni.

Ransomware Defense Validation

Ransomware Defense Validation è uno strumento per testare i controlli di sicurezza critici contro il ransomware e identificare le vulnerabilità che richiedono un'attenzione immediata. Le aziende possono testare le proprie difese anti-ransomware attingendo alle più recenti informazioni sui threat, sui gruppi attivi e sulle loro tattiche, tecniche e procedure (TTP). Il software indica anche quali modifiche devono essere apportate alle difese informatiche per bloccare o contenere gli attacchi ransomware.

In buona sostanza si tratta di un servizio base di red teaming, che testa i ransomware conosciuti negli ambienti dei clienti, senza le conseguenze di un vero attacco. Al termine del test ci sarà un responso sull'efficacia dei controlli esistenti nel bloccare l'attacco. Key descrive questo strumento come un'offerta entry-level derivata dalpiù ampio modulo Mandiant Security Validation, rispetto al quale è più economica e accessibile anche alle aziende più piccole. Non richiede la presenza di un ambiente virtualizzato: funziona nell' ambiente di produzione ed è supportato dagli esperti di Mandiant, che spiegheranno i risultati ai clienti.

Prezzi e disponibilità

Mandiant Ransomware Defense Validation e Active Breach & Intel Monitoring sono in fase di beta testing con clienti Mandiant selezionati. Da gennaio 2022 saranno disponibili su abbonamento annuale con quotazioni inferiori a 100.000 dollari l'anno. Ransomware Defense Validation dovrebbe attestarsi tra 60.000 e 100.000 dollari l'anno, posizionandosi come offerta entry per le aziende di fascia media.

Active Breach & Intel Monitoring sarà disponibile in due versioni in base alle dimensioni dell'azienda cliente e alla frequenza con cui verrà usato. Le grandi aziende che vogliono testare tutta la telemetria nel loro ambiente di produzione dovranno acquistare la versione al top di gamma, quelle medie che vogliono solo monitorare aree specifiche possono utilizzare lo strumento entry-level.