Di Eric Sun, Rapid7 SIEM Solutions Manager – 24 Luglio 2019

 

Al giorno d’oggi tutto si sta spostando nel cloud, inclusi finalmente quasi tutti i fornitori di servizi di sicurezza. Oggi esiste una straordinaria gamma di log manager nativi del cloud, prodotti che proteggono i tuoi cloud e alcuni SIEM cloud che, dopo un’ulteriore ispezione, sono un poco chiari nelle loro specifiche.

Parliamo del perché il moderno SIEM è nel cloud , quali vantaggi fondamentali ci si può aspettare e come si prevede che si evolverà mentre avanziamo verso il 2020.

 

Le moderne soluzioni SIEM consentono tre nuovi casi d’uso

In passato, i SIEM sono stati molto utili perchè hanno offerto:

  • Correlazione: fornisce contesto e aiuta a indagare sulle allerte generate.
  • Conformità: aiuta a dimostrare che tutti gli accessi sono registrati, gli eventi vengono monitorati e il monitoraggio dell’integrità dei file è attivo

Mentre questi casi d’uso sono preziosi, arrivare a una distribuzione di successo con i SIEM tradizionali richiede un’enorme quantità di configurazione iniziale, messa a punto e manutenzione continua. Storicamente, i team di sicurezza dovevano dedicare più tempo a mettere a punto le regole di rilevamento e filtrare il rumore di fondo, invece di concentrarsi sul migliorare la loro postura nei confronti della sicurezza.

Gli strumenti Cloud SIEM, come Rapid7 InsightIDR, stanno rapidamente guadagnando quote di mercato poiché i team di sicurezza possono liberare infrastrutture e risorse di gestione dei dati per concentrarsi su tre casi d’uso chiave:

 

Caso d’uso n. 1: unifica i dati (tutti!) Con il tuo cloud SIEM

Le nostre reti hanno importanti fonti di log ed eventi distribuite su centinaia di log, endpoint e servizi cloud e piattaforme di hosting. Come aiuto visivo, ecco il nostro diagramma di architettura dei dati InsightIDR:

 

In combinazione con gli avvisi dei tuoi strumenti di monitoraggio e sistemi di prevenzione, tutte queste informazioni dovrebbero essere in grado di fluire nel tuo SIEM per la reportistica e la visualizzazione dei dati . È qui che molte distribuzioni SIEM locali hanno comportato sfide, in quanto la gestione dell’hardware, l’analisi dei dati e il loro ridimensionamento richiedono una continua correzione e alimentazione per funzionare in modo efficace.

Pertanto, se stai considerando il cloud SIEM, assicurati che supporti per le tue fonti di dati principali, come il cloud hosting, e che ti alleggerirà effettivamente dagli oneri di gestione e manutenzione man mano che la tua attività si espande. Dovresti essere in grado di iniziare a inviare dati per analisi a pochi minuti dall’inizio di una prova o POC.

Diffidare dei SIEM cloud che richiedono ancora ottimizzazione e manutenzione locali.

Cosa ci si aspetta in futuro? 
Maggiore supporto per l’importazione nativa per i provider di hosting cloud (ad es. Azure, AWS e Google Cloud).
Maggiore supporto per la raccolta di telemetria dall’endpoint. Ciò consente rilevamenti, indagini e caccia alla minaccia più dettagliati. Dati endpoint come i processi padre / figlio sono essenziali per i nostri SOC MDR: queste funzionalità di raccolta e di ricerca dei dati diventeranno più accessibili ai team di sicurezza di tutte le dimensioni.

 

Caso d’uso n. 2: rilevamento proattivo delle minacce con il cloud SIEM

Anno dopo anno, il Rapporto sulle indagini sulla violazione dei dati di Verizon mostra che gli stessi vettori di attacco – phishing, malware e credenziali rubate – vengono utilizzati con successo. Poniamo caso che ci sia la necessità di rilevare del malware. Per identificare le minacce moderne, è necessaria la visibilità sulla telemetria degli endpoint, come i registri di PowerShell, ai quali è possibile accedere dal proprio SIEM.

Tuttavia, per indagare sulla causa principale e identificare il movimento laterale, questa informazione da sola non è sufficiente. Il rilevamento dell’autenticazione e i dati sul comportamento degli utenti sono inoltre necessari per rilevare l’acquisizione dell’account e l’uso di credenziali rubate .

I moderni SIEM basati su cloud non dovrebbero solo darti accesso a queste informazioni, ma applicare analisi di sicurezza a questi dati per contrassegnare in modo proattivo ciò che è stato compromesso. Il rilevamento accurato delle minacce è una promessa audace, ma poiché SIEM è l’unica tecnologia con accesso a questi dati disparati in grado di assicurare che il prodotto abbia le capacità analitiche necessarie ad esporre i comportamenti anomali che si desiderano rilevare.

MITRE ATT & CK ha guadagnato un’enorme trazione come quadro quantitativo per mappare le capacità di rilevamento . Un approccio suggerito è quello di identificare le lacune nel rilevamento, comprendere le fonti di dati che rivelerebbero attività dannose, quindi assicurarsi che il cloud SIEM abbia capacità di rilevamento appropriate o la capacità di creare contenuti personalizzati.

Cosa ci si aspetta in futuro? 
Mentre molti provider SIEM sostengono che l’analisi del comportamento degli utenti rilevi comportamenti anomali, pochi hanno contenuti pronti all’uso per comportamenti malintenzionati noti. Mettili alla prova eseguendo la simulazione dell’attacco o POC basati sui test di penetrazione.

 

Caso d’uso n. 3: automation e response con il tuo cloud SIEM

Il SIEM esiste per fornirti le informazioni e il contesto di cui hai bisogno per rispondere e contenere le minacce. Ciò può comportare l’espulsione di una risorsa fuori dalla rete, l’uccisione di un processo o la disabilitazione di un account utente. Analisi del comportamento degli utenti (UBA) può rivelare le relazioni tra indirizzo IP → risorsa → account utente, permettendoti di prendere decisioni più solide senza ore di laboriose indagini.

Cloud SIEM consente di effettuare accertamenti sulle indagini, come informazioni sulle minacce rilevabili automaticamente e con l’ orchestrazione della sicurezza, l’automazione e la risposta (SOAR) , da applicare alle difese di prevenzione e rilevamento. Automatizzando attività banali e ripetitive, puoi concentrarti su lavori ad alto valore come la caccia alle minacce, la simulazione degli attacchi e apportare modifiche proattive per rafforzare la tua rete sulla base dei risultati dell’indagine.

Cosa ci si aspetta in futuro? 
I flussi di lavoro automatizzati diventeranno all’ordine del giorno. I team con alti volumi di allerte oggi utilizzano SOAR per il triage di phishing, l’arricchimento degli allarmi e per automatizzare le comunicazioni (ad es. Sistemi di ticketing e ChatOps). Ciò consentirà di fronteggiare al meglio le minacce che colpiscono gli utenti, come il phishing o il brute forcing di Office 365.

A Rapid7, l’approccio al SIEM è nato nel cloud sin dal suo inizio come strumento di analisi del comportamento degli utenti nel 2013 . Parte della piattaforma cloud Rapid7 Insight, InsightIDR può aiutarti a unificare, rilevare e rispondere alle minacce nel tuo ambiente in poche ore, non mesi. Se vuoi saperne di più, dai un’occhiata alla nostra demo su richiesta o inizia oggi stesso la tua prova completa di 30 giorni.