Semplifica l'analisi degli incidenti nelle configurazioni, nella posizione, nel traffico di rete e nell'attività di identità. Check Point automatizza il rilevamento continuo delle intrusioni, il monitoraggio e l'intelligence sulle minacce come parte di un approccio unificato.
Report sulla sicurezza informatica 2023: principali tendenze della sicurezza informatica SCARICA ORA
Serie Attack and Investigation GUARDA IL VIDEO
Raccogliere e analizzare grandi quantità di dati è un processo scrupoloso e dispendioso in termini di tempo, che può ostacolarne l'efficacia. Attualmente, un'organizzazione impiega in media 280 giorni* per rendersi conto di essere stata infiltrata e contenere una violazione informatica. Non c'è da stupirsi, considerando che il framework Mitre Att@ck identifica quasi 200 tattiche, tecniche e procedure uniche che le organizzazioni devono considerare per identificare le minacce e valutare i livelli di rischio. La caccia alle minacce è una "storia senza fine": troviamo le minacce e le risolviamo, quindi gli aggressori cambiano tattica e il ciclo si ripete da capo. Sfortunatamente, la quantità e la frequenza di questi cicli aumentano in modo esponenziale nel cloud e ora i professionisti della sicurezza informatica devono tenere traccia di più fornitori di cloud e più risorse, molte delle quali non sono fisiche. Spesso le organizzazioni non si accorgono qualcosa sta succedendo sulla loro rete, finché non ricevono un avviso che segnala un attacco in corso. Tuttavia, è troppo tardi a questo punto. La chiave del successo è essere in grado di rilevare rapidamente le minacce (in alcuni casi prevenirle) al fine di ridurre il tempo in cui rimangono all'interno dell'ambiente e evitare di subire danni.
Adottando un approccio proattivo e metodico alla sicurezza, è possibile identificare questi attacchi e porvi rimedio tempestivamente. Per fare questo, devi iniziare a fare osservazioni, raccogliere informazioni, creare ipotesi, analizzare dati e indagare per provare o smentire ipotesi. È necessario disporre degli strumenti e dei processi giusti per raccogliere i dati, analizzarli e rispondere in modo appropriato.
Raccogli i dati
Senza i dati giusti, non si può cacciare le minacce. La caccia alle minacce richiede innanzitutto la raccolta di dati di qualità da varie fonti, come registri, server, dispositivi di rete, firewall, database ed endpoint. Purtroppo, molte organizzazioni non hanno visibilità sui dati delle loro applicazioni cloud. I clienti chiedono visibilità sulle loro macchine virtuali, container e architetture serverless, nonché sull'attività degli utenti e sul traffico di rete in tutti i loro servizi. Per raggiungere questo livello di approfondimento e garantire una buona qualità dei dati, le organizzazioni devono passare da una visione ristretta del fornitore di cloud a una visione multi cloud.
Indaga e analizza
Un'efficace caccia alle minacce richiede però molto più della semplice visibilità. Durante l'indagine, i cacciatori di minacce devono sfruttare gli strumenti giusti per stabilire una linea di base e indagare in modo proattivo sulle anomalie. Qualsiasi attività dannosa che si discosti dal normale comportamento della rete potrebbe essere un indicatore di compromissione (IoC). Gli IOC efficaci includono un avviso di firma malware sulla sua rete e file eseguibili ransomware sul suo file system, rilevati dal suo sistema di rilevamento delle intrusioni (IDS) o antivirus. Mentre esempi di IOC deboli sono i ripetuti tentativi falliti di accesso dell'utente e i tempi di accesso che non si allineano all'uso tipico. Puoi monitorare la tua rete alla ricerca di IoC noti, ricavandoli dai feed di intelligenza sulle minacce.
Imposta gli avvisi IDS solo su IOC potenti per evitare l'affaticamento degli avvisi. Tuttavia, gli indicatori più deboli non sono privi di valore. Se concatenati, gli IOC più deboli possono costituire una forte indicazione di compromissione.
Per catturare un criminale, devi pensare come un criminale. Devi presumere che si verificherà una violazione e guardare il problema dal punto di vista dell'attaccante. La modellazione delle minacce comporta l'identificazione di potenziali minacce e la modellazione dei percorsi di attacco. L'esercizio della modellazione delle minacce consente di assegnare priorità e mitigare i rischi. Considera domande come cosa vuoi proteggere, quali sono le conseguenze se fallisci e quanti problemi sei disposto a superare per prevenire tali conseguenze?
Infine, assicurati di condurre test simulando una varietà di minacce nel cloud, ad esempio imitando gli attacchi cross-tenant. Produci modelli di attacco e "casi di uso improprio" e mappa i processi di attacco e difesa o sequenze di contromisure.
Trai conclusioni e rispondi
Durante la fase di risoluzione, tutte le informazioni raccolte durante l'indagine devono essere comunicate ad altri team e strumenti in grado di rispondere, assegnare priorità, analizzare o archiviare le informazioni per un uso futuro. Questo ti mette in una posizione migliore per prevedere le tendenze, stabilire le priorità e correggere le vulnerabilità e migliorare le misure di sicurezza.
Panoramica della soluzione: CloudGuard Threat Intelligence SCARICA ORA
Check Point CloudGuard Intelligence semplifica l'analisi degli incidenti visualizzando le informazioni relative a configurazioni, postura, traffico di rete e attività di identità. Arricchiamo queste informazioni per aiutarti a capire quale servizio ha svolto quale tipo di attività.
Al centro di tutto ciò c'è il nostro database globale dell'IA di ThreatCloud Intelligence, che esegue la scansione di milioni di URL e file ogni giorno. Sfruttiamo anche database geografici per raccogliere informazioni sulle posizioni ed elaborare tali eventi contro servizi di intelligence di terze parti. L'analisi delle minacce e le correlazioni si avvalgono di diverse funzionalità di apprendimento automatico, che danno luogo a dati e avvisi significativi che possono innescare processi di indagine o attività di follow-up.
I report predefiniti consentono di approfondire tipi specifici di attività, eseguendo attività regolari come l'individuazione degli account e la riparazione automatica che consente di personalizzare le risposte a qualsiasi tipo di avviso di rete, audit trail o evento di sicurezza. Questo riduce notevolmente il tempo che intercorre tra l'allarme e la risoluzione.
La cosa migliore è che CloudGuard Intelligence funziona perfettamente con gli altri prodotti della piattaforma CloudGuard, inclusi gestione della postura, protezione delle applicazioni e del carico di lavoro e sicurezza della rete. Provalo gratuitamente oggi!