Abbiamo recentemente lanciato Sophos Network Detection and Response (NDR), una soluzione che sta già assumendo un ruolo strategico per le organizzazioni che vogliono innalzare le proprie difese contro aggressori sofisticati e minacce zero-day.
Sophos NDR monitora ininterrottamente il traffico di rete al fine di rilevare operazioni sospette che potrebbero essere indicative dell’attività di un aggressore. Lo fa sfruttando la combinazione di machine learning e di analisi avanzate e tecniche di matching basate su regole.
Rileva un’ampia gamma di rischi per la sicurezza, inclusi dispositivi non autorizzati (device potenzialmente dannosi che comunicano attraverso la rete), non protetti (legittimi, ma che potrebbero essere utilizzati come punto di ingresso), minacce interne o che coinvolgono dispositivi IoT e OT, ed attacchi zero-day.
Inoltre, se combinato con altri dati di telemetria di sicurezza, Sophos NDR consente agli analisti di tracciare un quadro più completo ed accurato dell’intero percorso dell’attacco, consentendo una risposta più rapida e più completa.
Sophos NDR è un’integrazione aggiuntiva di Sophos MDR, il nostro servizio di rilevamento e risposta gestito leader di mercato a cui oggi si affidano oltre 14.000 organizzazioni in tutto il mondo. Entro la fine dell’anno, per le organizzazioni che preferiscono condurre in proprio le attività di Threat Hunting, renderemo Sophos NDR disponibile anche con Sophos Extended Detection and Response (XDR).
L’importanza del rilevamento e della risposta della rete
L’NDR è una parte essenziale di un’efficace strategia di difesa approfondita. Il motivo? Perché la rete è l’unico posto in cui un avversario, per quanto accorto e furtivo, non può nascondersi.
Gli aggressori fanno di tutto per evitare di essere rilevati e la Defense Evasion è, a livello di sistema, una ben nota tattica MITRE ATT&CK®. Gli exploit possono nascondersi alla vista delle soluzioni EDR, e gli aggressori possono disabilitare ed eliminare i log di sistema. Ma devono ancora, e comunque, attraversare la rete.
Dal momento che gli avversari continuano a sviluppare proprie tattiche, proprie tecniche e procedure (TTP) per aggirare i controlli di sicurezza, in termini di sicurezza gli NDR stanno rapidamente diventando un imperativo.
Sophos NDR: rilevamento delle minacce di rete senza pari
Sophos NDR è alimentato da cinque motori di rilevamento in tempo reale delle minacce, ed utilizza tecnologie multilivello brevettate per scovare anche gli attacchi più nascosti.
Il Data Detection Engine è un motore di query estendibile che utilizza un modello di previsione di tipo deep learning per analizzare il traffico cifrato ed identificare pattern nei flussi di rete non correlati.
Il Deep Packet Inspection impiega indicatori di compromissione conosciuti per identificare i cybercriminali, nonché le tattiche, le tecniche e le procedure dannose presenti all’interno del traffico di rete, cifrato e non cifrato.
L’ Encrypted Payload Analytics Rileva i server di comando e controllo (C2) zero-day e le nuove varianti di famiglie di malware, basandosi su pattern individuati nelle dimensioni della sessione, nella direzione del traffico e nei tempi di interarrivo.
Il Domain Generation Algorithm identifica la tecnologia di generazione dinamica del dominio, utilizzata dal malware per evitare il rilevamento.
Il Session Risk Analytics è un potente motore logico che utilizza regole che inviano avvisi secondo fattori di rischio in base alla sessione.
Questi cinque motori monitorano il traffico est-ovest (interno) e nord-sud (in uscita/entrata) per rilevare e contrassegnare anomalie indicative di attività minacciose. Gli avvisi generati da Sophos NDR includono:
- Attività di scansione della rete
- Sessioni SSH inattese verso sistemi a cui precedentemente non si è mai avuto accesso
- Sospette attività di segnalazione
- Connessioni C2 dubbie
- Comunicazioni su porte non standard
- Malware presenti nel traffico cifrato
- Esecuzioni codificate di PowerShell
- Volumi anomali di dati inviati
Utilizzo di Sophos NDR Telemetry per bloccare le minacce avanzate
La telemetria per la sicurezza di rete è di per sé una potente risorsa per la ricerca delle minacce, ed è particolarmente utile se combinata con i segnali provenienti dall’intero ecosistema di sicurezza.
Sophos MDR sfrutta gli alert provenienti dalle soluzioni di rete, endpoint, firewall, e-mail, identità e cloud di Sophos e di terze parti, per accelerare il rilevamento e la risposta alle minacce.
Gli alert vengono elaborati tramite Sophos MDR Detection Pipeline, dove vengono trasformati in schemi normalizzati, mappati al framework MITRE ATT&CK® ed arricchiti con intelligence di terze parti. Gli avvisi correlati sono raggruppati in cluster a cui viene assegnata priorità, e poi inoltrati agli specialisti del rilevamento per l’indagine e la risposta alle minacce.
Ecco un paio di scenari di esempio a testimonianza di come Sophos MDR sfrutti la telemetria di Sophos NDR congiuntamente ad insights di altre tecnologie.
Scenario 1
- La soluzione e-mail rileva un messaggio contenente allegati dannosi
- La protezione dell’endpoint rileva un tentativo sospetto di credential harvesting
- La protezione dell’endpoint rivela che un processo sconosciuto abbia avviato una shell interattiva
- Sophos NDR individua una connessione Command and Control (C2) equivoca.
- La protezione dell’endpoint assicura la raccolta di credenziali dubbie.
- Sophos NDR rileva movimenti laterali sospetti via SSH
Correlando gli alert di e-mail, endpoint e NDR, Sophos MDR è in grado di rilevare rapidamente che si è verificato un attacco di phishing che ha provocato il furto di credenziali e il movimento laterale. Grazie a questi dati è possibile intervenire per contenere, neutralizzare e rimediare rapidamente all’attacco, riducendone al minimo l’impatto.
Scenario 2
- Sophos NDR individua un dispositivo che comunica sulla rete interna
- La protezione degli endpoint non ha alcun dispositivo noto in gestione
La combinazione di dati derivante da queste due tecnologie separate consente di identificare l’esistenza di un dispositivo non gestito che comunica sulla rete. A questo punto indaghiamo ulteriormente per determinare se si tratti del risultato di una violazione interna o piuttosto di un sistema gestito da un avversario, e poi intraprendere appropriate misure di contrasto.
Utilizzi già una soluzione NDR alternativa? Nessun problema.
Comprendiamo che le organizzazioni dispongano già di soluzioni di sicurezza in atto. La sfida per molte aziende è come gestire, interpretare e rispondere alle informazioni loro fornite. Troppo spesso parliamo con team IT in sofferenza perché sommersi dagli alert, oppure non in grado di digerire la complessa telemetria.
Con i pacchetti di integrazione aggiuntivi di Sophos MDR i nostri analisti possono sfruttare la telemetria degli strumenti di sicurezza di terze parti che già utilizzi (comprese le soluzioni NDR di Darktrace e Thinkst Canary), in modo tale da rilevare e rispondere ad attacchi avanzati guidati dall’uomo. Con i nostri esperti che si fanno carico delle tue operazioni di sicurezza, puoi elevare lo standard delle tue difese ed aumentare il ritorno sugli investimenti esistenti.
Per saperne di più
Per saperne di più su Sophos NDR e Sophos MDR, e sui risultati di cybersecurity di cui godono i nostri clienti, pianifica oggi stesso una chiamata con uno dei nostri esperti di sicurezza. Assicurati di dare un’occhiata anche al nostro canale della community NDR.
Se desideri conoscere i pareri dei i nostri clienti su Sophos MDR, leggi anche le recensioni indipendenti su Gartner Peer Insights, e scoprirai perché siamo il servizio MDR n. 1 secondo G2 Peer Reviews.
Lascia un commento