Cosa succede dopo la violazione? Lo strumento EDR e Forense all-in-one di ReaQta raccoglie informazioni in pochi minuti per un efficace ripristino post-violazione

28/01/2021
  • ReaQta combina la protezione EDR/XDR di Endpoint Security con funzionalità forense per formare offerte integrate di sicurezza informatica post violazione.
  • Poiché il COVID-19 continua a limitare i viaggi, la raccolta di dati forensi a distanza offerta da ReaQta-Hive crescerà fino a diventare un punto fermo per qualsiasi organizzazione.

Dopo la violazione, ogni minuto conta. La crescente incidenza di gravi violazioni informatiche, insieme al rafforzamento delle normative governative che impongono la necessità di inviare rapporti forensi digitali sensibili al tempo, significano una crescente necessità di avere sia protezione informatica che capacità per supportare in modo efficiente un’indagine.

Ecco perché, al fine di snellire la risposta agli incidenti, ReaQta combina due diversi filoni della sicurezza informatica: monitoraggio degli endpoint e analisi forense digitale in un’unica offerta di sicurezza integrata: la piattaforma Endpoint Security di ReaQta. Mentre ReaQta-Hive raccoglie informazioni dal presente nel lontano futuro, Hive Forensics raccoglie i dati da ora, risalendo al passato. Insieme, forniscono ai team una visibilità completa dell’attività degli endpoint nel tempo per un piano e una protezione più olistici per la sicurezza informatica.

violazione reaqta forense edr

 

Sviluppato in base alle esigenze del mondo reale

Gli scenari post-violazione sono i più difficili da gestire, le informazioni sono sempre parziali e ricostruire l’intero quadro è impegnativo. Affrontare un incidente attivo è sempre delicato ed estremamente impegnativo, poiché i team devono considerare sia la loro velocità di risposta sia garantire che l’azienda rimanga protetta da ulteriori furti di dati.

violazione reaqta forense edr

Hive Forensics consente ai team di raccogliere rapidamente i dati forensi da remoto, in tempo reale

Hive Forensics è stato sviluppato sulla scia di un riuscito sforzo di riparazione post-violazione che ReaQta ha gestito per una delle più grandi società di vendita al dettaglio d’Europa. Il gruppo di vendita al dettaglio, che ha un organico di diecimila dipendenti e oltre 3.000 negozi nella regione, è stato preso di mira e ripetutamente violato da un attore di minacce che stava rubando le loro informazioni.

Ma l’azienda aveva trovato esponenzialmente difficile capire come operassero gli aggressori poiché non aveva quasi nessuna visibilità sugli endpoint, il che portava al problema frustrante di far tornare gli aggressori rapidamente anche dopo che l’azienda aveva bloccato i loro indirizzi IP C&C. Questa sfida è stata aggravata dal fatto che la società aveva capacità di accesso limitate sugli endpoint locali e nessuna su quelli remoti.

Il vantaggio di ReaQta nel settore

ReaQta è stato chiamato come soccorritore post-violazione di emergenza, per condurre analisi e rimedio dopo che il team di sicurezza ha notato un carico della CPU eccezionalmente elevato su una parte della propria infrastruttura, nonché una considerevole attività di rete anomala. Pochi fornitori sono in grado di lavorare su un’infrastruttura compromessa, ma ReaQta-Hive è stato in grado di raccogliere dati forensi passati fornendo allo stesso tempo la sicurezza degli endpoint per l’azienda. Questo è stato fondamentale in quanto la società era già stata violata in diverse occasioni.

La piattaforma Endpoint Security di ReaQta-Hive utilizza la tecnologia proprietaria NanoOS per ottenere una visibilità completa sull’attività degli endpoint. Esclusiva di ReaQta, questa tecnologia consente il monitoraggio anche a livello dell’hypervisor, una capacità che offre ai team di sicurezza il sopravvento, consentendo loro di rimanere nascosti agli avversari informatici.

Raccogliendo rapidamente elementi dell’attacco per ricostruire la catena dell’attacco, ReaQta ha scoperto che gli aggressori avevano utilizzato l’infrastruttura dell’azienda come una rete di mining di bitcoin e l’avevano infettata con malware personalizzato. ReaQta è stato anche in grado di capire che gli aggressori mantenevano l’accesso tramite una backdoor personalizzata.

Entro tre ore è stato creato ed eseguito un piano di mitigazione, seguito da un piano di eradicazione e risposta. In 24 ore, le operazioni sono tornate alla normalità e l’infrastruttura è stata completamente ripulita dal team di risposta agli incidenti di ReaQta. È stata avviata un’indagine approfondita sulla ricerca delle minacce per rafforzare la posizione di sicurezza informatica dell’azienda per evitare che incidenti simili si ripetano.

Una piattaforma come ReaQta-Hive si è rivelata fondamentale per automatizzare un’attività che sarebbe stata impossibile eseguire manualmente: l’eliminazione di un malware autoreplicante su migliaia di endpoint. Si è inoltre rivelato essenziale individuare immediatamente le fonti di infezioni, i loro percorsi e le tecniche, qualcosa che era al di là della portata di un SIEM. La visibilità completa consente ai team di sicurezza di identificare tempestivamente le minacce e di contenerle adeguatamente, senza interrompere alcuna continuità aziendale.

Presentazione di Hive Forensics

Che sia per scopi di conformità o per capire come proteggere l’organizzazione dagli attacchi in futuro, una copertura completa dei dati forensi è fondamentale per determinare la portata completa di una violazione e sapere come e dove gli aggressori stanno entrando nella tua infrastruttura.

La funzione Remote Forensic Data di Hive Forensics è protetta da password e disponibile nelle modalità Basic (5 minuti) e Advanced (15 minuti)

La funzione Remote Forensic Data di Hive Forensics fornisce istantanee cruciali dello stato degli endpoint. Lo fa da remoto, eliminando il ritardo dovuto all’andare sul posto per raccogliere tracce e identificatori di informazioni, una caratteristica che è diventata particolarmente critica ora che la pandemia COVID-19 sta limitando i viaggi internazionali. Con il recupero remoto dei dati forensi, i risparmi di tempo si traducono in risparmi sui costi per l’azienda. Ad esempio, i costi vari dei biglietti aerei e degli alloggi per i team IR possono essere eliminati e i team risparmiano tempo prezioso di risposta.

Costruita in due modalità, la funzione raccoglie in modo esponenziale più dati rispetto al tipico EDR e impiega 5 minuti a livello di base e 15 minuti per un recupero avanzato delle informazioni, riducendo drasticamente il tempo di risposta da giorni a minuti.

La modalità di base di Hive Forensics raccoglie le informazioni essenziali necessarie per la ricostruzione dell’attacco in soli 5 minuti

Elenco delle attività pianificate attive

Capacità tecniche di Hive Forensics:

  • Crittografia abilitata
  • Abilitazione semplice del modulo
  • La funzione Dati forensi remoti è disponibile in 2 modalità:
    • Base (5 minuti): visualizza i processi in esecuzione e un’istantanea delle informazioni di stato cruciali sull’endpoint. Attualmente disponibile su Windows.
    • Avanzato (15 minuti): offre funzionalità del kit di base e altro ancora. Offre una copertura forense più completa, come connessioni di rete, fusi orari, utenti associati a endpoint ecc.

Il kit Remote Forensic Data di Hive Forensics è disponibile come funzionalità a valore aggiunto all’interno di ReaQta-Hive. Per programmare una prova gratuita di ReaQta-Hive di 30 giorni, contattaci.

PUBBLICATO DA:<br>Domenico Panetta
PUBBLICATO DA:
Domenico Panetta
Presales Technical Engineer

ARTICOLI CORRELATI

I tre ostacoli sulla strada del passwordless

I tre ostacoli sulla strada del passwordless

In Hypr, abbiamo avuto il privilegio di osservare le aziende di tutto il mondo eliminare con successo le password per i loro clienti e dipendenti. Questi pionieri hanno stabilito lo standard e hanno dimostrato i vantaggi permessi dall'autenticazione senza password....