Il parere di Vectra AI

Risponde Alessio Mercuri, Security Engineer di Vectra AI

Autore: Redazione SecurityOpenLab

Quali sono i vantaggi e quali sono le caratteristiche che devono avere le migliori piattaforme XDR?

Analizzando l’evoluzione del contesto attuale, non è un segreto che gli attacchi sono in continuo aumento, anche a causa di nuovi vettori come i lavoratori da remoto, le supply chain e il ransomware. L’evoluzione del contesto delle minacce impone anche un’evoluzione nella strategia con la quale si affrontano gli attaccanti, in quanto gli approcci tradizionali non sono riusciti a tenere il passo con i cyber criminali. Una strategia efficace deve puntare sulla resilienza e sulla capacità di rilevare e rispondere alle minacce prima che abbiano la possibilità di trasformarsi in qualcosa di più grave.

Si tratta di un approccio sposato anche da Gartner in un recente documento dedicato alle security operations, Hype cycle for security operations, che affronta il problema rispetto alle minacce in continuo aumento, alla diversificazione delle stesse e allo sfruttamento di domini diversi per portare avanti l’attacco. Gartner esplicita il bisogno fondamentale di una maggiore visibilità e di un maggior controllo. È infatti proprio rispetto alla capacità di rilevare e rispondere alle minacce che le organizzazioni trovano le maggiori difficoltà sotto il punto di vista operativo, tecnologico e di processo. Difficoltà che si possono riassumere in tre punti:

  • Constant firefighting: i SOC team spendono una quantità enorme di tempo nel rispondere a emergenze operative, situazione molto spesso esacerbata dal fatto di avere a disposizione strumenti che non si parlano tra di loro, che generano un quantitativo enorme di alert non correlati e che spesso si rilevano falsi positivi o, ancor peggio, falsi negativi. Questa situazione oltretutto fa mancare un passaggio fondamentale nel ciclo di vita operativo del SOC che è il continuous improvement, l’ottimizzazione continua con l'obiettivo di incrementare l’efficacia e l’efficienza.
  • Limited visibility: il monitoraggio e rilevamento delle minacce sono costantemente impattati dalla presenza di punti ciechi, causati da una copertura non completa dell’infrastruttura e dall’incapacità di correlare gli eventi a causa di strumenti che non parlano un linguaggio comune. I team di sicurezza potrebbero quindi non avere tutte le informazioni necessarie per poter rilevare in tempo eventuali minacce né avere la capacità di estrarre dati utili da esse.
  • IR processes problems: quando si verifica un vero e proprio incidente, spesso i team fanno leva su processi manuali e informali che sfruttano la knowledge sul campo di pochi individui del team. Il fatto è che un approccio del genere non riesce né a reggere il passo, né a scalare le esigenze attuali di un team di Operation. C’è bisogno di strutturare meglio il processo, facendo sempre più leva sull’automazione affiancata al fattore umano.

Nel documento di Gartner c’è un messaggio chiaro che funge da linea guida in materia, ovvero l’idea che si debba puntare verso il “better”, il meglio, non necessariamente verso il “more”, il più. C’è bisogno, in altre parole, di una migliore threat detection and response, non di avere strumenti diversi per ogni dominio o minaccia. Che cosa vuol dire avere una migliore threat detection? Per Gartner nell’hype cicle gira tutto intorno a una strategia efficace, una risposta e una remediation efficiente che riduca la complessità, migliori le competenze del SOC e incrementi la confidenza del security team.

Quali sono i prodotti a marchio Vectra e le best practice per una difesa efficace?

Per affrontare le sfide di cui abbiamo parlato, ci può venire in soccorso un’architettura XDR pensata con un approccio “open” per sfruttare e dare maggior valore agli investimenti già effettuati e allo stesso tempo creare un’architettura di sicurezza più efficiente ed efficace. Perché parliamo di “open XDR”? Perché il concetto di XDR di per sé è corretto e le aspettative che si ripongono su questo concetto sono reali, ma la sua messa in pratica è ancora molto lontana dall’essere matura e non è ancora in grado di rispettare le promesse. Gartner prevede il raggiungimento della piena produttività di queste soluzioni nel giro di 5-10 anni, un’era geologica in materia di security.

L’XDR deve, quindi, essere vista come un’architettura open che mette insieme controlli di sicurezza, differenti fonti di informazione e analisi e copertura di tutti gli ambienti in un piano comune. L’obiettivo è avere piena visibilità dell’infrastruttura e dei dati in essa contenuti, ovunque essi siano, e sfruttare i migliori strumenti analisi per identificare non solo ciò che è noto, ma anche ciò che non è noto, facendo leva su capacità avanzate di rilevamento basate su Intelligenza artificiale e Machine learning. L’XDR deve consentire anche di migliorare l’efficacia dell’analista attraverso una normalizzazione e correlazione dei dati e una visualizzazione chiara della potenziale catena di attacco, utilizzando un linguaggio comune allineato con il MITRE Att&ck framework. Infine, è cruciale velocizzare il rilevamento di minacce e potenziali incidenti e automatizzare la risposta attraverso workflow che sfruttino le capacità di integrazione e di dialogo tra gli strumenti a disposizione.

A questo punto, in che modo Vectra può integrarsi e contribuire al framework open XDR? Innanzitutto fornendo copertura (coverage), una piena visibilità di tutta l’infrastruttura che sia on-prem, DC o cloud. Visibilità che avviene mediante il monitoraggio costante del traffico di rete in ambiente on-prem (da switch e router), DC su hypervisor VMware, Nutanix, Hyperv e KVM e in cloud (AWS, Azure e GCP), visibilità sulle identità in ambiente SaaS (M365, Azure AD) e su ciò che avviene sul control plane di AWS/Azure.

In secondo luogo garantendo chiarezza (clarity), cioè miglioramento dell’efficacia degli analisti attraverso segnali chiari e metodi di rilevamento basati su Intelligenza artificiale e correlando e prioritizzando automaticamente i comportamenti malevoli di host e account all’interno dell’infrastruttura, mappandoli con una grafica chiara e collegata a framework come il MITRE ATT&CK. Vectra fornisce all’analista contesto, informazioni e dati utili all’investigazione in maniera chiara.

Infine, il controllo (control): nel momento in cui l’azienda è sotto attacco, in che modo può rispondere in maniera veloce ed efficace e bloccare l’attaccante prima che raggiunga l’obiettivo? Come può migliorare i suoi processi e workflow di incident response? Ecco che Vectra si integra all’interno dell’ecosistema del cliente, portando il suo punto di vista unico, e collabora con SIEM e SOAR, EDR, AD, firewall e altri strumenti per rispondere a una minaccia e si integra con strumenti di ticketing per velocizzare il processo di gestione.

È giusto, quindi, dotarsi di strumenti di prevenzione, ma la sola prevenzione sta fallendo nel tenere gli attaccanti fuori dall’infrastruttura. Lo scenario attuale richiede il miglioramento delle capacità di rilevamento e risposta alle minacce, creando un ecosistema di sicurezza integrato (open XDR) che sia adatto all’infrastruttura aziendale e che consenta ai team security la sicurezza di essere pronti a rispondere in maniera efficace a una minaccia sotto il punto di vista tecnologico, operativo e di processo.