Managed Detection and Response (MDR): una soluzione sicura per fronteggiare le minacce online.
INTRODUZIONE
Resistere alle minacce per le aziende con la CyberResilienza.
Lo scenario delle minacce progressivamente più pericoloso per le aziende e tale da aver portato il valore del danno a livello globale pari a 2 volte il PIL italiano, rende necessaria l’implementazione di opportune prassi di sicurezza informatica aziendale.
In gioco non c’è solo la continuità operativa, ma anche la capacità di poter continuare a competere sui mercati nazionali ed internazionali.
L’obiettivo è la CyberResilienza: l’identificazione delle attività critiche e degli scenari di rischio più probabili con l’implementazione delle capacità di rilevare eventi di sicurezza sospetti, prevedendo anche piani di emergenza.
INSIDE Managed Detection and Response (MDR) è un servizio finalizzato ad ottenere la CyberResilienza in maniera gestita, supportando le aziende impossibilitate a gestire internamente i processi per la prevenzione e la gestione degli incidenti informatici.
La formula della Managed Detection and Response, che prevede in estrema sintesi l’esternalizzazione delle attività di security, consente di affrontare questo passaggio evolutivo in un quadro di sostenibilità economica: la sua adozione consente di migliorare l’efficacia degli stessi sistemi di protezione.
In qualità di provider di servizi MDR, INSIDE fornisce analisti altamente competenti, specializzati nell’utilizzo di strumenti di sicurezza all’avanguardia e mette a disposizione dei clienti un menu di servizi progettati per migliorare le difese di un’azienda e ridurre al minimo i rischi, senza l’oneroso investimento che richiederebbe la costruzione di un team interno e l’acquisto di strumenti dedicati.
Un ruolo di primo piano, per esempio, è rivestito dai servizi di Threat Intelligence che consentono di monitorare costantemente le nuove minacce e di adattare gli strumenti di protezione per farvi fronte.
La nostra attività, sotto questo profilo, garantisce l’accesso a una maggiore quantità di dati e, di conseguenza, si concretizza in una maggiore efficacia nel contrasto al cyber crimine.
Grazie al costante monitoraggio degli eventi di sicurezza in rete, i servizi di Managed Detection and Response consentono di adeguare l’infrastruttura aziendale ai requisiti previsti dalle normative (GDPR) in tema di gestione dei Data Breach, assicurando la piena soddisfazione degli standard previsti dal legislatore.
COME FUNZIONA
Monitoraggio, protezione e risposta in tempo reale, senza interruzioni.
I servizi gestiti di rilevamento e risposta incidenti di INSIDE Managed Detection and Response (MDR) prevedono un’attività di monitoraggio delle minacce h24/7, il rilevamento eventi di incidente e la capacità di mitigazione e risposta. Sfruttano una combinazione di:
- Tecnologie implementate agli strati host e di rete;
- Analisi avanzate;
- Intelligenza sulle minacce (threat intelligence);
- Competenze di professionisti e analisti nell’indagine e nella risposta dell’incidente.
La soluzione tecnica è in grado di proteggere le workstation, i server e i dispositivi mobili del cliente dalle minacce note e sconosciute e dispone di funzionalità avanzate, come l’analisi comportamentale e l’intelligenza artificiale, che aumentano notevolmente la capacità di rilevare e rispondere ad attività malevole.
I servizi vengono erogati attraverso una piattaforma proprietaria che garantisce il monitoraggio di tutti gli endpoints, dai server agli apparati mobile.
Il servizio di Detection & Response è attivo H24/7, curato da analisti esperti.
COME FUNZIONA
FOCUS RANSOMWARE
Una recente insidia nella casella e-mail.
I Ransomware sono una particolare tipologia di virus che si sta diffondendo negli ultimi anni.
Il loro comportamento consiste nell’infettare un device criptando tutti i dati dell’utente (Documenti, Immagini, etc) in esso contenuti e, successivamente chiedendo un riscatto che, dietro pagamento, permette di riavere tutti i propri dati in chiaro.
Da quando i Ransomware sono stati individuati per la prima volta la loro diffusione è stata esponenziale e sono stati intercettati diverse tipologie di questi particolari worm virus.
Tra i più importanti sono noti i seguenti:
- Reveton
- CryptoLocker
- TorrentLocker
Questa tipologia di virus non è da sottovalutare e, in alcune realtà, è in grado di bloccare l’operato di un’azienda o di causarne forti perdite finanziarie e di immagine.
Metodi di Infezione
Dall’analisi del comportamento dei Ransomware si è rilevato che il mezzo più utilizzato per la loro diffusione sono le email dove celandosi dietro un finto fornitore di servizi vengono inviati allegati che, una volta aperti, avviano l’infezione del Pc e la criptazione di tutti i dati.
COME FUNZIONA
Una metodologia efficiente e consolidata
I due momenti principali sono la:
DETECTION – L’analisi approfondita ad ampio spettro consente di bloccare e contenere l’attacco.
Gli obiettivi dell’analisi sono:
- identificare:
- la causa della violazione;
- gli strumenti e le tecniche utilizzate dagli aggressori;
- sviluppare un piano di
- difesa e contenimento;
fornire indicazioni per prevenire attacchi futuri;
REMEDIATION – Attività finalizzata alla messa a punto di soluzioni di riparazioni del sistema da eseguirsi attraverso la piattaforma proprietaria.
Il nostro approccio prevede che nella risposta agli incidenti un notevole contributo sia fornito dalla Theat Intelligence e dall’Artificial Intelligence.
Infatti la grande mole di informazioni sulle minacce provenienti dalle fasi di Detection e rilevate dai comportamenti dell’aggressore, attraverso la Theat Intelligence e l’Artificial Intelligence, acquistano valore predittivo, utile a comprendere come si muoverà l’avversario, i suoi obiettivi e le sue motivazioni.
La nostra piattaforma unifica la gestione della protezione da minacce per PC, Mac, dispositivi mobili e server, in modo che tutti gli endpoint siano adeguatamente protetti.
La piattaforma raccoglie dati e monitora in tempo reale tutti i dispositivi presenti nell’environment ed attraverso i propri agent fornisce gli strumenti per proteggere gli endpoint, compresi i dispositivi mobile.
Gli agent (o moduli attivi) agiscono in triplice direzione:
1. DETECTION & REMEDIATION:
- Analisi e correlazione dei dati raccolti dai sensori presenti negli endpoint;
- Individuazione delle minacce e della storia completa dell’attacco;
- Ricerca in tempo reale in Database proprietario contenente decine di milioni di eventi che consente una risposta pressoché immediata (pochi secondi) dopo il Triage;
- Esecuzione di una delle seguenti riposte:
- Remediation
- Killing dei processi
- Impedimento all’esecuzione del file
- Rimozione dei meccanismi di persistenza
- Messa in quarantena del file
- Rimozione chiavi di registro
- Isolamento della macchina
- Aggiunta del dominio/indirizzo IP dell’attaccante al Database
2. MODULO DI SUPPORTO:
Le sue funzioni sono:
- Sostituzione o supporto all’antivirus di terze parti
- Rilevazione nuove minacce o in evoluzione prima che vengano eseguite attraverso la Machine Learning
- Memory Exploit Mitigation: blocco delle vulnerabilità zero-day
- Blocco Ransomware prima che venga eseguita la crittografia:
- Blocco degli attacchi fileless, attraverso PowerShell o DOT.NET
- Controllo diretto degli endpoint: gestione centralizzata delle funzioni strategiche degli endpoint, quali l’accesso a dispositivi USB, l’accesso alla rete, controllo dello stato della crittografia del disco.
3. MOBILE AGENT:
- Operante su dispositivi
- Android e IOS e fornisce protezione ai dispositivi basandosi sull’analisi comportamentale per individuare attività sospette, quali quelle di app mobili, connessioni di rete anomale e vulnerabilità proprie del sistema operativo.
CYBER SECURITY AWARENESS
La migliore strategia di difesa di fronte ad attacchi informatici sempre più sofisticati e mirati è sicuramente la cyber security awareness, la formazione in tema di sicurezza informatica. La maggior parte degli incidenti di sicurezza, infatti, è dovuta ad errori umani a conferma del fatto che il cosiddetto “fattore H”, il fattore umano, rimane il punto debole della cyber security in azienda.
Alcune stime parlano, addirittura, di un 80-90% di incidenti informatici riconducibili a errori umani o comportamenti errati del personale. Errori involontari, dovuti a negligenza e disattenzione del personale interno all’azienda, ma anche intenzionali compiuti da lavoratori infedeli che effettuano operazioni di sabotaggio ai danni della propria organizzazione.
Per questo motivo abbiamo realizzato una serie di percorsi formativi, su temi di uso quotidiano, necessari a creare la corretta consapevolezza di come, alcuni comportamenti, siano pericolosi per l’intera azienda e possano vanificare sforzi e investimenti.
Il servizio proposto si basa su una piattaforma di eLearning che si compone di tre sottosistemi:
1. AWARENESS
È un innovativo sistema di e-learning pensato specificatamente per il personale non specialistico delle organizzazioni pubbliche e private. Il primo sistema che si fonda su metodologie di formazione che tengono conto delle modalità di apprendimento digitale che risultano maggiormente efficaci. Il sistema è stato progettato per coinvolgere tutta l’organizzazione in un percorso di apprendimento educativo e stimolante, che si caratterizza per un approccio “a rilascio costante e graduale”:
2. PHISHING
È una soluzione innovativa di training Anti Phishing che produce risultati efficaci grazie alla sua particolare metodologia addestramento esperienziale. Basato su automazione e machine learning , la soluzione è rivolta a tutto il personale delle organizzazioni pubbliche e private, esso consente di mantenere “allenate” due importanti caratteristiche difensive umane: la prontezza e la reattività.
Questo risultato viene raggiunto mediante la simulazione di campagne di Phishing cui vengono sottoposti tutti gli utenti (una mail al mese). Mail diverse verranno mandate dal sistema ai diversi utenti ed il livello di difficoltà di ogni esercitazione varierà per ogni utente sulla base delle reali prestazioni di ogni utente.
Il sistema si propone come la naturale integrazione ai programmi formativi della soluzione di Awareness, aumentando la reattività dell’individuo di fronte ad attacchi basati su tecniche di Phishing. Considerando che i maggiori pericoli per la sicurezza delle organizzazioni sono “in agguato” nelle caselle e-mail dei loro dipendenti e collaboratori, le simulazioni di attacco Phishing, messe in atto dalla soluzione, “personalizzate” sulla base delle caratteristiche peculiari di ogni singolo utente, preparano dipendenti e collaboratori a modificare i comportamenti e ad individuare con prontezza mail di phishing.
3. CYBER CHANNEL (opzionale)
E’ una piattaforma che pubblica su base mensile video di alta qualità, della durata di 5-8 minuti l’uno, che analizzano dei casi di attacchi/frodi cyber. I format utilizzati sono diversi (Cyber Detective, Break News, Sit-Com). Ogni video è poi dotato di un documento di approfondimento che analizza più nel dettaglio il fatto cyber affrontato nel video.
CYBER SECURITY CONTROL ROOM (CSCR)
La Cyber Security Control Room (CSCR) è il servizio di gestione della sicurezza informatica in outsourcing pensato per le aziende che non hanno al loro interno una struttura organizzata per la presa in carico delle tematiche legate al mondo della Cyber Security.
Gli operatori della CSCR sono in grado di gestire la sicurezza delle reti e degli asset delle aziende con l’obiettivo di difendere proattivamente le infrastrutture da minacce informatiche provenienti sia dall’interno dell’azienda che dall’esterno.
Il servizio permette di eseguire azioni pro-attive, prevenendo e mitigando gli attacchi informatici provenienti dalla rete Internet e dagli asset aziendali.
Ciò è possibile grazie all’analisi di tutte le fonti log di interesse prodotte dagli asset per la difesa dell’infrastruttura aziendale e di una serie di informazioni provenienti da fonti aperte (Open Source Intelligence), residenti all’interno di un database di intelligence.
Viene erogato tramite personale altamente specializzato e certificato, dedicato al controllo della vostra infrastruttura e dotato di strumenti specialistici per effettuare anche indagini forensi qualora fosse necessario.