Perché Reveal (x) è leader nel rilevamento delle minacce e nella risoluzione delle violazioni

Di Barbara Kay – 5 Febbraio 2019

Avere una tecnologia “cool” è relativamente semplice. Il vero test è verificare come si comporta nel mondo reale. Extrahop è stata scelta da Enterprise Management Associates come Top 3 Winner in 6 diverse categorie di casi di utilizzo all’interno del nuovo report “Security Analytics for Threat Detection e Breach Resolution in 2019” .

Un anno fa, mi sono unita a ExtraHop mentre stavamo preparando il rilascio di Reveal (x), che ha ottimizzato 11 anni di tecnologia e 4 anni di apprendimento automatico per Security Operations Center (SOC). Da allora, 4 release di funzionalità significative, aggiornamenti continui ai nostri modelli di machine learning e motori di rilevamento e una mezza dozzina di integrazioni partner-native hanno completato il nostro stato di leadership nell’analisi del traffico di rete. Il riconoscimento EMA copre molte aree diverse delle operazioni di sicurezza, sottolineando il valore di Reveal (x) nell’aggiornamento della visibilità, del rilevamento e dell’efficienza delle indagini, sostituendo al contempo gli strumenti legacy.

Ecco i 6 casi d’uso per i quali EMA ci ha scelto, basandosi su set di funzionalità dell’estate scorsa e alcuni dei motivi per cui siamo leader nel gruppo.

Classificazione e inventario delle risorse
ExtraHop ha inventato l’individuazione delle risorse in tempo reale e la classificazione automatica utilizzando solo il traffico di rete. A differenza degli scanner attivi o dei CMDB, monitoriamo passivamente e continuamente i nuovi dispositivi che comunicano attraverso la rete. Determiniamo quindi il loro ruolo e il valore patrimoniale in base a ciò che stanno facendo (utilizzando i dettagli osservati e non rilevabili, quali dispositivi con cui stanno parlando, su quali protocolli, con quale frequenza).

La nostra versione Winter 2019 espande la gamma di dispositivi e utenti che possiamo caratterizzare e i dettagli che emergono, e include mappatura utente-dispositivo sempre attuale. Questo aiuta con i dispositivi non autorizzati, le indagini attive e la mappatura delle relazioni tra utente, risorsa e applicazione. Ad esempio, se sei un cacciatore di minacce che esplora un evento sospetto, è ideale sapere con certezza chi sta utilizzando un dispositivo e dove un utente malintenzionato potrebbe navigare se un sistema o una credenziale viene compromesso.

Early Breach Detection
ExtraHop eccelle nella visibilità continua e nel rilevamento in tempo reale di attività note, sospette e anomale note all’interno del traffico tra est e ovest o tra le zone. Questo punto cieco per molte organizzazioni nasconde la ricognizione interna, i movimenti laterali e le azioni sugli obiettivi.

I sensori di rete passivi (e quindi invisibili) possono anche ID comando e controllo, ricognizione e estrazione di database che coinvolge il traffico Nord-Sud. I team SOC acquisiscono in tempo reale informazioni sul traffico L2-L7 che potrebbero altrimenti essere limitate a registri o flussi o bloccate nel silo degli strumenti di un’altra organizzazione. La nostra interfaccia utente arricchisce inoltre le informazioni di rilevamento e suggerisce i passaggi successivi per spostare immediatamente l’analista dal rilevamento della violazione iniziale alla convalida e all’investigazione.

Analisi del traffico crittografato
Il rapporto afferma: “Essere in grado di ottenere un alto grado di confidenza nell’analisi ad alta velocità senza incidere sulla latenza del traffico è un vantaggio per la sicurezza e ITOps, mantenendo i due da essere in disaccordo, come spesso sembrano essere.” Questo spazio è uno in cui molti fornitori sono limitati all’analisi dell’intestazione L7 e “Senza i contenuti del payload, devono fare affidamento sugli indirizzi di origine e di destinazione, sui metadati che possono raccogliere e sulla forza dei loro algoritmi”.

La decrittazione in tempo reale di ExtraHop e il riassemblaggio a flusso completo consentono alle aziende di estrarre le informazioni complete dal filo. Mi piace anche il riferimento alla sicurezza e all’IT che lavorano insieme. Questa efficienza è necessaria mentre lavoriamo per abbreviare l’intero ciclo di prevenzione, rilevamento, indagine, risposta.

Analisi forense basata sui Packet Stream
Cominci con i pacchetti e le intuizioni di reverse engineering, oppure puoi sfruttare i pacchetti necessari per informare e rafforzare la fiducia durante un’indagine? La maggior parte degli analisti manca di capacità di analisi dei pacchetti (e in ogni caso pochi si divertono molto nell’estrazione dei pacchetti). Strumenti moderni come Reveal (x) rendono molto più desiderabile e pratico usare i pacchetti come risorsa per estrarre informazioni che possono essere analizzate e visualizzate per la scientifica e riferite se e quando necessario.

L’EMA incoraggia “coloro che stanno studiando l’analisi forense del flusso di pacchetti dovrebbero approfondire i metadati che vengono creati e utilizzati, poiché vi è una certa differenziazione in quest’area”. La visibilità di ExtraHop sui dati crittografati e l’analisi del carico di lavoro delle nostre transazioni estrae oltre 4700 metadati / funzionalità per l’analisi. Piuttosto che recuperare i pacchetti dalla cella frigorifera, i pacchetti sono collegati ai dati e sono accessibili con un clic.

Identificazione del cattivo uso / abuso del protocollo di rete
L’analisi L2-L7 di protocolli standard e approvati dall’azienda fornisce visibilità su abusi, tunneling, crittografia e altri malversazioni. Con più di 50 diversi protocolli analizzati, ExtraHop offre più modi per garantire che la tua azienda non soccomba a un aggressore astuto e alle tecniche moderne. L’EMA sottolinea l’importanza di garantire che il traffico aziendale consentito dai firewall abbia un livello di analisi secondario per rilevare questo tipo di tecnica di minaccia avanzata.

Rilevamento di Ransomware
L’anti-malware basato su campioni non è efficace quando il ransomware si trasforma così velocemente. La nostra visibilità del protocollo e l’analisi del comportamento in tempo reale ci aiutano a rilevare immediatamente le azioni del ransomware: ricognizione, spostamento laterale, enumerazione e attività di crittografia. Quando i secondi contano, il monitoraggio in tempo reale e gli allarmi con alta fedeltà sono fondamentali, e questo è un elemento distintivo di ExtraHop.

Vedi di persona. Lancia la nostra demo online e scarica la SANS Product Review di Dave Shackleford.