Rapid7 introduce Cloud Anomaly Detection, guidata dall’Intelligenza Artificiale

Ora disponibile in anteprima per i clienti di Rapid7, Cloud Anomaly Detection aiuta i team di sicurezza a individuare minacce sconosciute nei loro ambienti cloud che le rilevazioni basate su regole tradizionali non riescono a identificare, e lo fa con maggiore precisione per evitare eccessivo rumore e falsi positivi.

Sfruttare l’Intelligenza Artificiale per trovare un ago in un pagliaio

Individuare attività malevole negli ambienti cloud rappresenta una sfida considerevole nella cybersecurity a causa della velocità intrinseca e della complessità del cloud. L’infrastruttura cloud è dinamica, con asset virtuali in costante cambiamento, rendendo difficile individuare e rispondere alle minacce in modo efficace. La complessità delle configurazioni cloud, la natura transitoria degli asset e la vasta quantità di dati generati possono oscurare le attività malevole, richiedendo strumenti avanzati di monitoraggio e analisi.

Inoltre, il paesaggio unico delle minacce cloud, le dinamiche diverse di rilevamento e risposta rispetto agli ambienti IT tradizionali e la molteplicità degli attori coinvolti complicano ulteriormente il panorama della sicurezza. Le indagini sugli incidenti cloud sono spesso ostacolate dall’accesso inefficiente ai dati e dalla mancanza di contesto per gli asset cloud interessati. Questa complessità, unita a una carenza di competenze e alla continua transizione verso le tecnologie cloud, rende la sicurezza cloud particolarmente impegnativa.

Da qualche tempo, i clienti di Rapid7 hanno beneficiato della capacità di integrare le rilevazioni native delle minacce dai fornitori cloud e consolidarle in un unico luogo. Cloud Anomaly Detection rappresenta un significativo passo avanti aggiungendo rilevazioni native delle minacce alimentate dall’engine di rilevamento proprietario di Rapid7 per analizzare l’attività API del piano di controllo e evidenziare comportamenti anomali negli ambienti cloud dei clienti. Quando combinato con una comprensione approfondita e in tempo reale dell’ambiente, la piattaforma consente ai team di sicurezza di rispondere rapidamente alle minacce e di avere il contesto necessario per determinare la causa principale e l’impatto potenziale.

Domare il rumore associato alla rilevazione delle anomalie

Una delle sfide persistenti legate al tentativo di rilevare comportamenti utente ed entità anomali è che spesso può presentare una significativa quantità di eccessivo rumore, spesso associato a un diluvio di falsi positivi. Ciò è dovuto in gran parte alla complessità e al tasso di cambiamento che abbiamo delineato in precedenza. Non solo la composizione complessiva dell’ambiente cambia costantemente, ma anche il modo in cui gli utenti e i servizi interagiscono tra loro è in costante evoluzione. Spesso i team di sicurezza si trovano di fronte a un compromesso tra gettare una rete ampia e affrontare l’inevitabile situazione di perseguire attività benigna o concentrarsi ulteriormente e rischiare che attività effettivamente malevole sfuggano al rilevamento.

Cloud Anomaly Detection di Rapid7 si collega al tuo ambiente cloud – senza la necessità di un agente – per monitorare l’attività API analizzando i log di audit e creando un profilo di attività per ciascun principale cloud, come utenti, macchine, contenitori di archiviazione e altro ancora. Ciò che distingue questo motore è la sua capacità di cercare automaticamente anomalie comportamentali e di prioritizzare i rischi potenziali in meno di 10 minuti basandosi sui dati storici. In modo importante, il motore è tarato per ridurre gli avvisi falsi positivi concentrandosi sulla rilevazione di attività malevole senza fare affidamento su indicatori di attacco preconfigurati specifici. Considera anche il contesto di attività sospette, tenendo conto delle azioni recenti dello stesso principale e adattandosi ai cambiamenti nei profili complessivi di attività e nell’ambiente cloud in modo automatico.

Integrare Cloud Threat Detection con i flussi di lavoro SOC

Parlando con gli analisti del SOC, una delle cose che è diventata cristallina per il team di Rapid7 sin dalle prime fasi del processo di sviluppo è stata la volontà di consolidare le attività di rilevamento e risposta alle minacce nei flussi di lavoro esistenti già in uso dai team, compresi gli strumenti SIEM/XDR di cui i team del SOC facevano affidamento (e in cui avevano già effettuato investimenti significativi). Integrare le rilevazioni delle minacce cloud, comprese sia le soluzioni native che di terze parti, nei flussi di lavoro correnti del SOC comporta rendere accessibili tramite un’API sia le stesse scoperte sulle minacce cloud che il contesto necessario per arricchire tali scoperte con tutti i dettagli dell’ambiente rilevante, facilmente ingestibile negli strumenti SIEM/XDR.

A tal fine, ci siamo assicurati che i team possano facilmente inviare le rilevazioni da Cloud Anomaly Detection tramite API agli strumenti che stanno utilizzando attualmente. L’API di Cloud Context Enrichment, rilasciata all’inizio di quest’anno, fornisce una vasta gamma di dati correlati agli attributi cloud, alle informazioni, alle configurazioni errate, alle vulnerabilità, ai rischi e altro ancora, per accelerare il processo investigativo, migliorando l’efficienza delle operazioni di sicurezza. La combinazione di Cloud Anomaly Detection e Cloud Context Enrichment garantisce che i team del SOC abbiano gli strumenti necessari per incorporare il cloud nei loro flussi di lavoro esistenti di rilevamento e risposta.

Articolo originale

Scopri la pagina del vendor sul nostro sito

PUBBLICATO DA:<br>Sara Guglielmi
PUBBLICATO DA:
Sara Guglielmi
Marketing

ARTICOLI CORRELATI

Battaglia al Ransomware, un tag alla volta

Battaglia al Ransomware, un tag alla volta

Nell'ottobre 2023, nell'ambito del Ransomware Vulnerability Warning Pilot  (RVWP), il CISA ha iniziato a contrassegnare voci nel loro catalogo di Known Exploited Vulnerabilities (KEV). Questo campo indica se sono noti exploit per una determinata vulnerabilità che...