Sicurezza

IOC (Indicatori di Compromissione): è una nuova intelligence e migliora le operazioni di enterprise security

I portali di threat intelligence analysis non sono una novità, ma fino a poco tempo fa erano disponibili solo per le elite di specialisti. Oggi finalmente sono a portata di azienda. Gli esperti riassumono le opportunità e i vantaggi di un SIEM di nuova generazione

Pubblicato il 11 Mar 2016

ajedrez-640385-640-160311185734

Oggi i virus fileless e le più gravi minacce alla cybersecurity sono in grado di celarsi all’interno del traffico Internet e delle normali attività online aziendali. Gli IOC (indicatori di compromissione) si perdono nel mare magnum delle migliaia di avvisi generati ogni giorno dagli attacchi di massa di basso livello e dagli eventi sospetti. In realtà, tutte queste segnalazioni si rivelano poi non pericolose, non a caso gli esperti della sicurezza lo chiamano rumore di fondo.

Questo è un problema serio perché, secondo un recente studio, i team di sicurezza aziendale possono gestire solo il 4% delle segnalazioni che ricevono. Inoltre, la stessa minaccia artefatta (ad esempio un e-mail di phishing o un file contenente virus) può essere innocua o pericolosa a seconda che si tratti di un evento isolato o sia parte di un attacco multifase.

Un’intelligence per gli attacchi di ultima generazione

I responsabili della sicurezza aziendale devono determinare quali di queste minacce siano realmente gravi e poi correlarle con altri IOC. Questo processo di analisi può richiedere giorni, ma anche settimane o mesi. I feed di dati sulle minacce, open source o commerciali, forniscono dei flussi di indicatori, utili per fermare gli attacchi di massa. Il problema è che, non fornendo una soluzione al problema della rilevazione di attacchi mirati, spesso peggiorano le cose, moltiplicando il numero di avvisi generati dal sistema SIEM (Security Information and Event Management) e dagli strumenti di monitoraggio, generando più confusione che informazione. I nuovi servizi di intelligence vanno ben oltre la minacce dei feed di dati e forniscono due ulteriori elementi chiave:

  • Un flusso di dati relativi alle minacce che include non solo gli indicatori ma anche una più ampia analisi dei malware a essi legati
  • Un portale di analisi che consente ai responsabili della sicurezza di analizzare gli indicatori e le minacce, osservarne i modelli e identificare gli attacchi complessi

Inoltre, alcuni servizi includono anche un meccanismo per diffondere rapidamente le informazioni sulle minacce confermate agli enforcement point come i firewall e i sistemi di monitoraggio.

I benefici delle analisi più sofisticate

I portali di threat intelligence analysis non sono una novità, ma fino a poco tempo fa erano disponibili solo per specifici gruppi di ricerca, fornitori, società di consulenza per la sicurezza informatica, grandi istituzioni finanziarie o agenzie governative che potevano permettersi di sviluppare e sostenere autonomamente il proprio portale. Questi nuovi servizi di intelligence per la cybersecurity sono basati su questi strumenti collaudati, ma sono disponibili per tutti i team di sicurezza aziendale. In alcuni casi, il fornitore di servizi offre una soluzione one-stop shopping che include non solo il portale di analisi, ma anche flussi di informazioni sulle minacce ottimizzarti e ulteriori integrazioni con i firewall e SIEM. In che modo questi nuovi servizi consentono alle aziende di rilevare e mitigare gli attacchi mirati? Gli esperti segnalano i benefici principali che i sistemi di analisi apportano alla sicurezza IT, aiutando a:

  1. comprendere la priorità delle varie minacce attraverso l’impiego di indicatori che rendono più facile focalizzare l’attenzione sulla tipologia di minacce più rilevanti a seconda dei settori specifici, delle applicazioni software o della tipologia di impresa
  2. identificare immediatamente le informazioni chiave, permettendo agli addetti alla sicurezza di concentrare le risorse investigative sugli elementi giusti grazie ad appositi cruscotti risolti anche nella parte di interaction design
  3. contestualizzare e analizzare le minacce, consentendo ai responsabili della sicurezza IT di correlare e analizzare minacce e indicatori, separando gli attacchi coordinati dagli eventi isolati
  4. intervenire con prontezza tramite una componente automatica di identificazione delle minacce che, tramite gli enforcement point e gli strumenti di monitoraggio permettono di ridurre drasticamente la finestra temporale sfruttabile dai cybercriminali per trovare e rubare informazioni riservate

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Canali

Articoli correlati

Prossimo

AI agente anti-fumo: stretta tech di Singapore contro i furbetti della sigaretta