Il panorama delle minacce in rapida evoluzione e i requisiti normativi da soddisfare, come il Gdpr, impongono che le aziende siano preparate a rilevare compromissioni e violazioni in tempi rapidi e investano in strategie di risposta adeguate agli attacchi.
Una prevenzione efficace, prima che le minacce provochino danni, resta infatti il fulcro della cybersecurity, ma allo stesso tempo fare affidamento solo sulle misure e sulle soluzioni preventive per tenere il business e i dati al sicuro dagli attacchi mirati, che sfruttano tattiche, tecniche e procedure sempre più sofisticate, è solo una parte della difesa.
F-Secure RDR, AI e sicurezza
Il compito è tutt’altro che semplice e rilevare i piccoli singoli eventi critici spesso è per le aziende come cercare un ago in pagliaio.
F-Secure da circa 500 milioni di eventi nell’arco di un mese riguardanti un’installazione presso un cliente, con l’analisi dei dati grezzi ha ridotto gli eventi salienti a 225 mila, poi con i sistemi Broad Context Detection ha ristretto il numero di rilevamenti significativi a 24 fino a individuare 7 minacce reali, così da permettere al team di sicurezza di focalizzare correttamente l’attenzione.
Broad Context Detection è il motore di analisi basato sull’utilizzo di intelligenza artificiale modulata in modo specifico contro i cyber attacchi reali ed è alla base della soluzione F-Secure Rapid Detection & Response (RDR). Il processo è in grado di riconoscere un comportamento normale per qualificare poi i discostamenti e procedere con l’analisi. Così vengono eliminati i falsi positivi ed è possibile fornire istruzioni puntuali di correzione e rimedio.
Un aiuto concreto
Quello offerto da F-Secure Rapid Detection & Response (RDR) vuole essere quindi un aiuto concreto per le aziende in uno scenario in cui la carenza di skill e budget rappresentano scogli importanti, soprattutto nelle situazioni di rischio più complesse, dove è in gioco l’integrità dei dati e spesso di dati sensibili.
Si tratta di una soluzione di rilevazione e risposta sugli endpoint pensata nello specifico proprio per le organizzazioni sprovviste di team di sicurezza strutturati o budget dedicati, e però in grado di fornire capacità avanzate di difesa.
La soluzione offre visibilità contestuale sulle minacce avanzate, e permette di rilevare e rispondere agli attacchi sfruttando tecnologie di automazione a la guida di esperti.
Al verificarsi di una violazione, viene proposto molto di più di un semplice avviso. Per esempio vengono offerti tutti i dati e le specifiche per comprendere l’attacco, e i meccanismi Broad Context Detection, insieme a fornitori di servizi e all’automazione integrata, possono fermare gli attacchi effettivi offrendo consigli per altre azioni correttive.
La soluzione permette al team IT, come al service provider certificato, di proteggere il cliente con il supporto degli esperti di cybersecurity di F-Secure, e nel caso in cui ci si affidi ad un service provider per la gestione delle attività di rilevamento e risposta, si potrà focalizzare l’attenzione sul core business lasciando agli esperti la soluzione dei problemi in caso di attacco.
F-Secure RDR, come funziona
La soluzione si basa su agenti implementati sugli host dell’infrastruttura da monitorare. Gli eventi rilevati vengono indirizzati verso un motore analitico fruito in modalità cloud, da qui F-Secure attinge informazioni catalogate sulle minacce (note e non note) e sul riconoscimento di attività non classificabili, sfruttando modelli di machine learning. Questi agenti lavorano in collaborazione con eventuali altre soluzioni di protezione degli endpoint utilizzate dalle aziende.
Il motore confronta le minacce osservate e quando un’osservazione viene confermata come pericolosa vengono inviate le raccomandazioni di rimedio al cliente, ma allo stesso tempo è possibile applicare anche azioni automatiche di contenimento immediato e di gestione degli incidenti.
Quindi l’analisi comportamentale in tempo reale e i meccanismi Broad Context Detection riducono il volume dei dati, distinguendo i modelli di comportamento malevoli da quelli normali degli utenti, per identificare i reali attacchi.
A seguire gli avvisi con le informazioni di contesto e le descrizioni sull’attacco consentono di confermare un rilevamento in modo più facile, sia da parte di un partner F-Secure che da parte del team IT aziendale, con possibilità di inoltrare le indagini più complesse a F-Secure. Vengono poi proposti i passaggi di contrasto e correzione delle minacce.
I vantaggi
Tre sono i passaggi critici per la sicurezza risolti dalla soluzione F-Secure RDR: la carenza di visibilità, le difficoltà di rilevamento, la risposta alle minacce. Nel primo caso la soluzione migliora la visibilità con un inventario puntuale di applicazioni ed endpoint, lo fa grazie ai sensori leggeri implementati nei computer e ad un’infrastruttura di gestione a client singolo, mentre i sensori raccolgono dati comportamentali senza compromettere la privacy.
La soluzione identifica tutte le applicazioni dannose o altrimenti indesiderate e le destinazioni esterne di vari servizi cloud e limita i pericoli prima che si verifichino violazioni dei dati.
RDR è in grado di rilevare velocemente le violazioni. Il servizio rispetta i requisiti normativi di Pci, Hipaa, Gdpr con notifica delle violazioni entro 72 ore con Broad Context Detection che effettua l’analisi reputazionale e dei Big Data in tempo reale con machine learning. Le indicazioni includono i livelli di rischio e la criticità degli host interessati.
Per quanto riguarda la riposta alle minacce, infine, la soluzione colma le lacune di competenze o risorse rispondendo agli attacchi con un fornitore di servizi certificato supportato da F-Secure, aiutando il lavoro del team. L’impatto dei cyber attacchi è ridotto e i livelli di rischio e di criticità forniti dal servizio consentono di definire le priorità per le azioni di risposta.
Non perdere tutti gli approfondimenti della Criminal Room
© RIPRODUZIONE RISERVATA
