ArcSight Intelligence: la potenza del machine learning per una sicurezza resiliente

ArcSight Intelligence

Con ArcSight Intelligence Micro Focus aggiunge un tassello alla sua offerta per una sicurezza resiliente aggiungendo la potenza del machine learning non supervisionato per effettuare l’analisi comportamentale di utenti ed entità connesse all’interno della rete aziendale.

Questa soluzione è utilizzabile efficacemente in un’ampia gamma di casistiche di sicurezza.

Ricerca delle minacce e blocco degli attacchi

ArcSight Intelligence punta a fare emergere una minaccia prima che raggiunga il suo obiettivo: aiuta gli analisti della sicurezza a convalidare una minaccia; fornisce un'immagine tridimensionale dell’attacco per capire come fermarlo; visualizza la “timeline” dell'attacco, dell'andamento del rischio e delle nuove anomalie mano a mano che l'attacco si svolge; si integra con il processo di risposta agli incidenti dell'azienda e fornisce informazioni agli altri team aziendali.

La piattaforma ArcSight Intelligence include l'integrazione aperta con Kibana/Elasticsearch e ha la capacità di eseguire analisi storiche per qualsiasi dato nel motore Elasticsearch. Con un semplice click è possibile accedere a informazioni approfondite a livello di evento per un incidente.

Inoltre, la disponibilità di API RESTful e l'integrazione nativa con molteplici sistemi downstream (per esempio DXL, Phantom, Splunk) ottimizzano il processo di risposta e di indagine, fornendo ai team di sicurezza gli strumenti necessari per fermare un attacco prima che i dati vengano compromessi.

Rilevamento delle minacce interne con ArcSight Intelligence

Dipendenti, appaltatori, partner e utenti privilegiati possono trasformarsi in minacce interne, difficili da individuare e con importanti conseguenze

ArcSight Intelligence è l'unica piattaforma di rilevamento delle minacce che offre un quadro completo delle minacce interne dal back-end all'endpoint. Attraverso il machine learning, questa soluzione crea dapprima una rappresentazione dei processi normali da utilizzare come confronto per individuare attività anomale o ad alto rischio.

In caso di anomalia, la soluzione collega gli eventi di sicurezza agli utenti coinvolti e aumenta il loro profilo di rischio. Inoltre, presenta in modo contestualizzato l'incidente all’interno di un'interfaccia chiara, dinamica e interattiva.

Individuare gli attacchi mirati

Gli attacchi mirati riescono a superare persino i perimetri meglio difesi. Per bloccare le minacce è necessario analizzare enormi quantità di dati legati agli eventi di sicurezza, incappando in molti falsi positivi.

La soluzione di Micro Focus è capace di acquisire e analizzare enormi quantità di dati per far emergere anche gli attacchi mirati, nati apposta per restare inosservati a lungo.

L’analista può ottenere una visualizzazione degli incidenti e dei flussi di lavoro correlati per effettuare una convalida dell’attacco e avviare azioni di indagine e risposta. La visualizzazione offerta comprende l’intero percorso di un attacco mirato, a partire dagli account compromessi, al movimento laterale, alla ricognizione e gestione temporanea dei dati fino allo spostamento dei dati per l'esfiltrazione.

Rilevamento e risposta per gli endpoint

ArcSight Intelligence è l'unica soluzione di analytics che prevede un proprio sensore per gli endpoint e che consente di correlare i dati degli endpoint con quelli di back end.

Inoltre, ArcSight Intelligence si integra con la soluzione CrowdStrike combinando l'analisi comportamentale con la ricchezza di dati sugli endpoint, per individuare rapidamente minacce difficili da rilevare.

Tra le informazioni sull’utente considerate per contestualizzare l’analisi vi sono: anomalie nella frequenza di accesso, nella data e orario di lavoro e utilizzo di dispositivi insoliti.

Ottimizzazione delle attività di sicurezza

Sebbene rappresentino i capisaldi degli odierni SOC, i prodotti SIEM, DLP, IAM e NAC hanno anche creato alcuni problemi nella sicurezza: troppi falsi positivi e strutture di policy eccessivamente complicate che riducono la capacità di un SOC di rilevare, convalidare e rispondere alle minacce.

ArcSight Intelligence massimizza l'efficacia degli strumenti di sicurezza esistenti e ottimizza le attività di sicurezza mettendo in correlazione i dati raccolti dagli strumenti di sicurezza esistenti e fornendo una visione a livello aziendale degli account (sia utente, sia servizio), dell’autenticazione e dell’accesso a livello di sistema e applicazione.

La piattaforma fornisce anche informazioni sull'accesso e lo spostamento di dati ad alto rischio, inviando automaticamente dati contestualizzati al SIEM o allo strumento aziendale di risposta agli incidenti. Inoltre, può effettuare chiamate API per attivare i controlli IT nei sistemi di autenticazione, DLP o NAC.

Identificare gli account compromessi

Gli account compromessi possono verificarsi a seguito di phishing, malware o violazione dei dati. Sfruttando tecniche di machine learning avanzato, la piattaforma ArcSight Intelligence utilizza più di 60 algoritmi incentrati sul rilevamento di account compromessi (associati a utenti e a servizi).

ArcSight Intelligence è anche l'unico prodotto di security analytics in grado di correlare gli indicatori provenienti da endpoint, directory, ACL e di correlare i log applicativi provenienti dai software di controllo della versione coprendo, così, ogni possibile casistica di attacco incentrato sull'account.

Monitorare gli account privilegiati

La compromissione delle credenziali di un utente privilegiate (per esempio l’amministratore delegato o il responsabile di un progetto importante) può comportare per l’azienda perdite significative.

All’insegna di un modello di protezione zero trust, ArcSight Intelligence di Micro Focus tiene sotto controllo ogni account privilegiato, analizzando parametri quali orari, modalità di autenticazione, dispositivo di accesso, utilizzo delle applicazioni, spostamento dei dati e confrontandoli con una trentina di differenti modalità di comportamento. Quando un account privilegiato devia dalle sue linee di base, le analisi di ArcSight Intelligence ne visualizza l'attività e creano avvisi di sicurezza.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato sulle novità tecnologiche iscriviti alla newsletter gratuita.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome