Rilevamento degli incidenti di sicurezza

Cosa sono gli incidenti di sicurezza e perché le organizzazioni dovrebbero preoccuparsene?

Un incidente di sicurezza indica che i sistemi e i dati in una rete sono stati compromessi o utilizzati in modo improprio. Un singolo incidente di sicurezza può far parte di un attacco mirato più ampio, come un attacco DDoS (Distributed Denial-of-Service), un ransomware o un attacco persistente avanzato. Gli attacchi alla sicurezza possono influire non solo sulle finanze dell'organizzazione, ma anche sulla sua reputazione. Questo è il motivo per cui è fondamentale rilevare un incidente di sicurezza non appena si verifica, mitigare immediatamente la minaccia informatica e contenere o ridurre l'impatto dell'attacco.

Quando si tratta di risolvere un problema di sicurezza informatica, ridurre il tempo medio di rilevamento (MTTD) di un incidente di sicurezza è una priorità. Sapevi che il tempo medio per rilevare un utente malintenzionato è 95 giorni? Con 95 giorni di permanenza nella rete, ovvero il tempo che intercorre tra l'attacco e il rilevamento dell'attacco, gli utenti malintenzionati hanno tutto il tempo necessario per portare a termine i loro obiettivi dannosi. Ogni organizzazione si sforza di ridurre l'MTTD e il tempo di permanenza degli attacchi per ridurre al minimo i danni. Per ridurre questi parametri, il rilevamento degli incidenti di sicurezza deve essere rapido ed efficace.

La sfida di rilevare gli incidenti di sicurezza

Il rilevamento di incidenti di sicurezza o violazioni dei dati rappresenta una sfida per le organizzazioni per vari motivi. Spesso si tratta di rilevare indicazioni di compromissione da un numero schiacciante di falsi allarmi. Sebbene i sistemi preventivi generali come i firewall e i software antivirus forniscano avvisi sui comportamenti devianti, non forniscono il quadro generale. Per ogni avviso attivato, è necessario indagare sul motivo per cui è stato attivato, il che aumenta il tempo di risoluzione.

I sistemi di prevenzione generale forniscono dati limitati. Ad esempio, se le credenziali di un dipendente vengono rubate e utilizzate per accedere a risorse critiche, è difficile contrassegnarlo come comportamento deviante e segnalarlo come incidente, a meno che non siano disponibili informazioni più contestuali. Le soluzioni SIEM (Security Information and Event Management) correlano le informazioni contestuali aziendali con l'attività di rete per rilevare gli incidenti in tempo reale.

Meccanismi che consentono di rilevare gli incidenti di sicurezza

Le soluzioni SIEM superano le sfide del rilevamento degli incidenti attraverso vari meccanismi. I metodi seguenti hanno tutti un obiettivo simile: rilevare gli incidenti il più rapidamente possibile.

Correlazione dei log

La correlazione dei log cerca modelli significativi nell'attività analizzando i log provenienti da varie origini. Anche se un singolo evento può non sembrare sospetto, correlarlo con una sequenza di eventi correlata può mostrare indicazioni di una minaccia informatica.

La creazione di una buona regola di correlazione che definisce l'aspetto di un modello di attacco consente di individuare modelli di attacco noti e può essere utilizzata per identificare e bloccare le attività sospette. Ad esempio, è possibile creare una regola per la sequenza seguente:

"Una regola che rileva più errori di accesso VPN seguiti da un accesso VPN riuscito e da un accesso remoto immediato in un dispositivo Windows, dopodiché viene installato il software sospetto”.

Da soli, questi eventi possono sembrare insignificanti. Tuttavia, le regole di correlazione aiutano a collegare questi incidenti per evidenziare un modello di attacco che il sistema SIEM può utilizzare per rilevare incidenti di sicurezza come questi non appena si verificano.

Intelligence sulle minacce informatiche

Una soluzione di intelligence sulle minacce informatiche aiuta nel rilevamento precoce degli incidenti utilizzando i feed delle minacce per identificare gli incidenti. I moduli di intelligence sulle minacce informatiche nelle soluzioni SIEM sfruttano i dati sulle minacce provenienti da varie fonti, dai feed delle minacce open source basati su STIX/TAXII ai feed delle minacce di terze parti specifici del fornitore. Questi forniscono le informazioni più recenti e affidabili disponibili sulle minacce per aiutare a mitigare le minacce informatiche. Con un database delle minacce regolarmente aggiornato, le soluzioni SIEM sono in grado di rilevare istantaneamente incidenti di sicurezza evoluti nella rete.

Analisi del comportamento anomalo degli utenti

Per difendere una rete dalle minacce informatiche e dalle violazioni dei dati, è importante studiare gli eventi che si verificano in tutto il sistema di rete. I dati di log archiviati da un'organizzazione contengono informazioni approfondite sul comportamento degli utenti. Ciò include gli orari di accesso e disconnessione di un utente, i suoi privilegi utente, i dati accessibili e molto altro.

Attraverso l'apprendimento automatico, i motori di analisi del comportamento degli utenti e delle entità (UEBA) possono monitorare costantemente questi registri per riconoscere qualsiasi deviazione dal normale modello di comportamento di un utente. Ad esempio, se l'orario di lavoro abituale di un dipendente è nei giorni feriali dalle 8 alle 17, un tentativo di accesso alle 23 di sabato verrà riconosciuto come attività anomala. Con questo meccanismo di autoapprendimento, UEBA ti aiuta a rilevare in modo più accurato le minacce informatiche interne, la compromissione degli account, la manipolazione dei dati e molto altro.