Garantire funzionalità di rilevamento e risposta su tutti i dispositivi, gestiti e non gestiti, è importante in qualsiasi azienda, in particolare oggi che il lavoro viene svolto sempre più spesso da remoto. La tecnologia EDR di Cisco offre visibilità dettagliata, tracciamento e controllo di tutti i dispositivi gestiti, mentre la soluzione NDR si occupa del resto.
Basata sulla modellazione delle entità, la tecnologia NDR classifica i dispositivi o le entità della rete o del cloud (server, stampanti, macchine MRI, regolatori di temperatura, container, etc.) e stabilisce cosa sia un comportamento normale usando oltre 100 modelli di comportamento diversi e oltre 400 classificatori di apprendimento automatico.
Una volta classificati i comportamenti, può rilevare entità non autorizzate, pericolose o anomale e attività sospette anche nel traffico criptato. E poiché SecureX permette di vedere le attività che si svolgono sia sui dispositivi gestiti sia sui dispositivi non gestiti, possiamo rilevare e bloccare le attività malevole su entrambi, proprio come se un sistema HVAC usasse un laptop per inviare informazioni. Inoltre, monitorando e registrando tutte le attività dei dispositivi, in caso di violazione, i team hanno subito a disposizione tutte le informazioni pregresse a livello di rete, dispositivo e file per svolgere le opportune indagini.
I team che usano SecureX registrano una riduzione dell'85% nei tempi necessari per intervenire dopo un attacco, con 4-6 ore in più alla settimana da dedicare alle indagini o 100 ore in più per processo da dedicare all'automazione.
Il tempo è un fattore cruciale in ogni discorso sulla sicurezza. Le soluzioni Cisco Secure usano modalità attive e passive per correlare i segnali di per sé non significativi provenienti da più prodotti di sicurezza e interpretarli in modo da individuare l'intento malevolo sottostante, rilevando minacce che altrimenti non sarebbero visibili e agirebbero indisturbate. I motori di apprendimento automatico a più livelli, supervisionati, non supervisionati, statistici e comportamentali, sono sempre operativi nell'ambiente. Per classificare le entità in base alle minacce, i motori rilevano le anomalie e le mettono a confronto con i modelli di attacco e le campagne conosciute, anche nel traffico criptato. Le descrizioni delle attività e i profili comportamentali e forensi delle minacce emergenti generati dai motori di apprendimento automatico forniscono infine i processi deduttivi necessari per arrivare a un verdetto.
Il vantaggio che ne deriva è poter individuare in tempo reale quei comportamenti sospetti che non si pensava neanche di cercare, quali scansioni, beaconing host, accumulo di dati, e poter reagire prontamente. Inoltre, quando è necessario intervenire subito con indagini mirate, è possibile cercare artefatti malevoli o nascosti proattivamente e in tempo reale, ricavando subito un quadro di come l'attacco è stato individuato, come è evoluto e cosa fare per rimediare alla situazione prima che si aggravi. È sufficiente digitare il nome di un artefatto nel motore di ricerca della piattaforma di sicurezza per visualizzare il contesto dettagliato, i log e i dati telemetrici a livello di rete e di singolo endpoint. Ciò consente di sapere subito se l'artefatto è stato già rilevato nell'ambiente, a cosa è associato, con quali oggetti ha comunicato, i dispositivi coinvolti e molto altro. I clienti che usano funzionalità XDR hanno registrato una riduzione del 95% nei tempi di rilevamento e dell'85% nei tempi di permanenza delle minacce.
Le soluzioni SecureX e Cisco Secure ottimizzano la larghezza di banda per rendere i numerosi avvisi inutili che sovraccaricano i team della sicurezza un mero ricordo del passato con una delle più basse percentuali di falsi positivi nel settore. Prima di generare un avviso, Cisco Secure indicizza una vista dettagliata dell'ambiente (rete, endpoint e cloud) eseguendo continuamente analisi dei file e del traffico per comprendere ogni risorsa, tra cui postura, identità dell'utente, impostazioni delle policy e modelli comportamentali.
Queste informazioni sono arricchite con una vista dettagliata di tutte le attività svolte su ciascun endpoint, tra cui la prima volta in cui i file sono stati rilevati, il comportamento che hanno avuto ed eventuali relazioni con gli altri livelli di sicurezza connessi alla piattaforma. L'apprendimento automatico a più livelli mette quindi in correlazione i comportamenti delle minacce rilevati nell'ambiente con quelli rilevati a livello globale per individuare attività di rete o del cloud anomale e malevole che possono nascondere la presenza di una violazione. Quando viene generato un avviso, i team possono agevolmente consultare tutte queste informazioni per ricostruire il quadro generale della situazione.
È difficile comprendere dati che non sono organizzati in modo chiaro e su cui non è facile fare ricerche. SecureX visualizza i dati in modo chiaro e comprensibile ed evidenzia le possibili compromissioni in base all'evento e all'host, organizza gerarchicamente gli avvisi in base al punteggio di gravità e consiglia misure correttive. Esaminando un avviso in dettaglio, è possibile vedere i risultati delle analisi forensi che mostrano ogni dispositivo, i flussi di traffico e il percorso di un file con tutti gli artefatti associati, dagli allegati e-mail alle richieste Web.
Una volta individuata la causa profonda, è facile tenere sotto controllo l'epidemia.
Vai allo scenario d'uso 6 per scoprire come fare.
Tenendo traccia dei movimenti di ogni file e flusso di traffico, la nostra sicurezza retrospettiva proprietaria rende i dati forensi sempre disponibili. Questo monitoraggio continuo permette di correlare le informazioni sulle minacce con i dati storici e di mettere automaticamente in quarantena i file nel momento stesso in cui iniziano a mostrare segni di comportamento malevolo. La risposta automatica diminuisce i tempi di rilevamento anche delle nuove minacce e riduce notevolmente la proliferazione del malware. Nel caso di una violazione, i team della sicurezza possono vedere dove è iniziata, quando è stata scoperta, il tipo di tattica usata e capire di quale malware si tratti, un malware senza file o una minaccia interna. Inoltre, possono individuare il tipo di dati che sono stati esfiltrati, quando e dove sono stati inviati, e avere a disposizione consigli sulle misure correttive da adottare.
Scegliere l'avviso giusto su cui svolgere le indagini è cruciale, per questo gli avvisi che forniamo sono molto dettagliati e precisi. Ma questo è solo il primo passo, poi dobbiamo stabilire esattamente COSA è successo e COME agire, e non è sempre facile. Per questo motivo abbiamo associato le nostre soluzioni di sicurezza e funzionalità principali a MITRE ATT&CK, un framework che permette di comprendere le strategie, le tecniche e le procedure specifiche usate dagli hacker per insinuarsi nei sistemi. I team possono così capire con facilità il tipo di misure di attenuazione disponibili, quali usare e quando.
Ad esempio, quando si seleziona un avviso, vengono visualizzati gli artefatti associati e come sono classificati nel framework MITRE ATT&CK e vengono suggerite le azioni di risposta. Inoltre, è possibile eseguire interrogazioni globali per associare le categorie specifiche MITRE in modo da valutare con facilità la postura della sicurezza e porre rimedio alle compromissioni nascoste.
Queste interrogazioni possono essere inserite in playbook di sicurezza più ampi da eseguire a intervalli regolari. Con l'intenso lavoro che Cisco ha fatto, e continua a fare, per associare gli indicatori di compromissione (IoC) a MITRE ATT&CK, non occorre che il team sappia come si comportano i vari tipi di malware né che conosca le misure correttive specifiche o lo stesso MITRE. È sufficiente sfruttare le conoscenze codificate nelle nostre soluzioni di sicurezza per prendere decisioni più intelligenti in tempi brevi.
Inoltre, SecureX offre funzionalità di threat hunting basate sul nostro team di ricerca e analisi Cisco Talos per identificare proattivamente le minacce nei vari ambienti. La combinazione di questi elementi permette di generare avvisi estremamente affidabili basati su ricerche automatiche e manuali. Con 20 anni di esperienza, possiamo compensare in modo ottimale le carenze di conoscenze o di personale nel campo della sicurezza.
ATT&CK è una raccolta di metodi usati dagli hacker per insinuarsi in sistemi e ambienti. MITRE esamina centinaia di tattiche e le associa a un elenco di 41 misure di attenuazione.
Queste misure aiutano ad affrontare i problemi della sicurezza e a prendere in considerazione azioni come limitare i contenuti basati sul Web anziché chiedersi come prevenire il furto dei token di accesso o come arrestare una compromissione.
Per saperne di più, consulta questo blog, questo white paper recente o visita il sito cisco.com.
Una caratteristica fondamentale dell'XDR è saper accelerare e automatizzare le risposte agli incidenti di sicurezza. Nessun team, qualunque siano le dimensioni, ha il tempo sufficiente per esaminare a fondo ogni avviso, per questo i tempi di permanenza delle minacce sono così elevati. Con dati esfiltrati entro 3 ore da una violazione e dal suo rilevamento, è tutta una corsa contro il tempo. La nostra piattaforma di sicurezza offre una funzionalità di orchestrazione che permette di condividere i processi preconfigurati di threat hunting (SecOps), gestione delle vulnerabilità (SecOps e ITOps) o ottimizzazione del traffico (SecOps e NetOps). I team non devono più crearli da zero e possono imparare dagli esempi. Per creare un playbook automatico o personalizzare gli esempi, la funzionalità drag-drop offre una nutrita serie di attività incorporate, tra cui risposte e approvazioni.
Ora gli interventi di correzione sono più facili e basati sui processi. Potendo tenere traccia dei in modo dettagliato su ogni endpoint e potendo associarli alle attività della rete, della posta e del Web, è possibile bloccare i file in automatico e impedirne l'exploit facendo affidamento sui risultati delle analisi prima che l'attacco venga eseguito o retrospettivamente. Inoltre, abbiamo automatizzato le azioni delle policy, come acquisire snapshot di analisi approfondita, esaminare i file, bloccare file e domini e spostare le entità in una zona di protezione più incisiva, impedendone l'accesso alla rete o mettendole in quarantena. I team hanno così più tempo per prendere decisioni opportune e tempestive. Tutti i dati sono visualizzati su un'unica vista e i team non sono costretti a cercarli sulle console più disparate. Fondamentale quando il tempo stringe. I clienti della nostra piattaforma di sicurezza hanno stimato una riduzione del 97% nei tempi necessari per porre rimedio a un attacco.
Livelli di sicurezza integrati, un'ampia base clienti globale e la più grande organizzazione non governativa di ricerca delle minacce comportano un notevole vantaggio, poter agire in modo veloce ed efficace quando accade qualcosa di anomalo. Nel momento stesso in cui una minaccia viene rilevata e bloccata nell'ambiente, viene rimossa automaticamente dagli altri endpoint compromessi e bloccata su tutta la rete, su tutti gli endpoint, i messaggi e-mail, il Web e il cloud, e questo per tutti i 500.000 clienti Cisco Secure. Ad esempio, se visitando un URL un dispositivo endpoint viene infettato, nel momento in cui viene rilevata l'attività malevola, il dominio è bloccato per tutti i dispositivi e l'endpoint compromesso viene isolato per impedire la proliferazione del malware.
Archiviare, aggregare e analizzare su larga scala i log sono attività complesse anche per i team della sicurezza più navigati. Per rendere queste attività più semplici e permettere ai moderni team della sicurezza di accedere alle risorse in tempi rapidi, alcune funzionalità principali di Cisco Secure sono offerte nel cloud. Log del traffico, analisi, dati storici su endpoint, nomi e movimenti dei file e altri modelli di comportamento sono archiviati all'esterno dell'ambiente, restando sempre disponibili. Anche la nostra intelligence sulle minacce è alimentata dal cloud e fornisce quindi un impressionante archivio di informazioni disponibili in tempo reale.
Possiamo tenere traccia di ogni file transitato per gli endpoint, allegato alle e-mail, scaricato tramite il Web o che ha attraversato in altro modo la rete o il cloud. Analizziamo in modo continuo tutti i file sconosciuti, a prescindere dalla loro reputazione, buona o cattiva, perché i file possono all'inizio sembrare innocui e mostrare successivamente comportamenti malevoli. In questi casi, Cisco analizza i malware nel cloud per avvisare retroattivamente i team. E insieme agli scenari d'uso 3 e 7, mostra ai team dove il file è già stato avvistato in passato e offre procedure di risposta facili e automatizzate per porvi rimedio.
Assicurare la conformità è un'attività complessa in molte aziende, sia a livello di definizione che di realizzazione. Se configurare le regole di un firewall può sembrare facile, ben diverso è capire se e quando le regole non vengono rispettate. Errori umani, competenze insufficienti e problemi da risolvere possono compromettere con facilità la postura della conformità. Con analisi incorporate nella rete, nel cloud e negli endpoint, si ha una visibilità completa di ogni comunicazione avvenuta all'interno e all'esterno dell'ambiente. Questa visibilità mette in luce i punti deboli della configurazione rilevando regole permissive, chiavi API obsolete e avvisi di conformità nativi nelle infrastrutture cloud. Inoltre, fornisce audit trail e allarmi sulle violazioni delle policy che possono essere adattati alla logica aziendale.
Poiché la visibilità comprende tutti i singoli endpoint, è facile controllare lo stato dei sistemi, ad esempio le versioni dei sistemi operativi, le vulnerabilità del software e le patch recenti, e valutare l'esposizione al rischio. I controlli dei dispositivi e delle policy possono poi essere automatizzati in SecureX con query dirette, con una funzionalità di Secure Endpoint chiamata Orbital. Infine, siamo in grado di unificare questa protezione di utenti ed endpoint per far rispettare le regole di conformità in tempo reale e ottenere una sicurezza zero trust. Condividendo i dati di telemetria degli agenti degli endpoint e delle soluzioni di analisi e accesso, possiamo valutare subito informazioni importanti, tra cui la posizione, il tipo e la postura del dispositivo, e autorizzare o bloccare automaticamente l'accesso di conseguenza. In questo modo, le persone giuste hanno il giusto accesso alle giuste informazioni, senza mettere a repentaglio l'azienda.
Cisco è stato riconosciuto leader nella sicurezza zero trust due volte nel report The Forrester Wave: Zero Trust eXtended Ecosystem Platform Providers. Forrester ha assegnato a Cisco il punteggio più alto per vision, strategia e promozione dell'ZTX (Zero Trust eXtended), modalità di commercializzazione e stato futuro dell'infrastruttura zero trust.
Uno dei punti critici evidenziati da Gartner nell'analisi dei prodotti XDR è la dipendenza da un unico fornitore. E giustamente. L'integrazione è già difficile di per sé, integrare tecnologie di fornitori diversi non può che essere complicato. Ma la priorità è, e deve sempre essere, la sicurezza del cliente.
SecureX è stato progettato come programma aperto e la sua flessibilità permette di usare insieme tutti i tuoi strumenti, con integrazione incorporata, preconfigurati o personalizzati che siano.
Integrazioni incorporate: sviluppate da Cisco e da partner selezionati di altri fornitori, possono essere configurate all'istante in SecureX.
Integrazioni preconfigurate: con pacchetti sviluppati da Cisco o dai partner, è possibile configurare le integrazioni usando script già compilati e l'infrastruttura cloud del cliente.
Integrazioni personalizzate: i clienti possono sfruttare le API di risposta alle minacce di SecureX e le API di altri fornitori per un'integrazione personalizzata.
Molti strumenti possono essere integrati con uno di questi tre metodi. In aggiunta, è disponibile un'estensione browser per estendere la funzionalità integrata di SecureX a strumenti di altri fornitori basati sul browser. Il nostro ecosistema di partner include già team di intelligence, strumenti operativi come SIEM e SOAR e soluzioni di visibilità e protezione che potenziano le funzionalità di threat hunting e risposta agli incidenti di SecureX. L'82% dei nostri clienti riconosce come le nostre integrazioni con terze parti abbiano migliorato la loro capacità di indagine.
