RILEVAMENTO E RISPOSTA AGLI INCIDENTI
SIEM, SOAR & SOC
CISO AG garantisce la capacità di rilevamento degli incidenti del servizio fornendo ai suoi clienti tre pilastri fondamentali. Una soluzione di Security Infomation and Event Management (SIEM), una soluzione di Security Orchestration and Automated Response (SOAR) e un Security Operation Center (SOC) come servizio. Le due soluzioni tecniche e il servizio, uniti ai migliori analisti e ingegneri di sicurezza e a un'esperienza decennale, costituiscono la spina dorsale del nostro servizio gestito.
PANORAMICA
SIEM
GESTIONE DELLE INFORMAZIONI E DEGLI EVENTI DI SICUREZZA
CISO AG offre diverse opzioni che utilizzano una soluzione SIEM per raccogliere, aggregare e correlare eventi di sicurezza (log) e informazioni. Per fornire il servizio, possiamo utilizzare un sistema SIEM già implementato all'interno dell'organizzazione, risparmiando così i costi di licenza e implementazione. Se l'organizzazione non ha ancora implementato una soluzione SIEM, ma desidera farlo, possiamo fornire un servizio end-to-end, dalla definizione dei requisiti alla selezione, passando per l'implementazione tecnica e il funzionamento BAU, che sia on-premise o basato su cloud.
I nostri ingegneri certificati hanno esperienza con più di una dozzina di fornitori SIEM diversi. La terza opzione consiste nell'utilizzare la nostra piattaforma SIEM gestita e nell'integrare l'organizzazione nella piattaforma. La nostra piattaforma è una soluzione sofisticata in cui i dati di ciascun tenant sono separati, è altamente scalabile e in grado di elaborare un gran numero di eventi e correlazioni. Per impostazione predefinita sono supportate centinaia di fonti di raccolta dei log e possiamo creare parser e aggregatori personalizzati.
Tutte e tre le opzioni sono funzionanti e praticabili, altamente personalizzabili in base alle esigenze dell'organizzazione. Una parte rimane invariata: l'esperienza dei nostri consulenti nell'utilizzo della soluzione e nell'ottenere il massimo da essa, definendo casi d'uso, avvisi e playbook per diversi scenari di rilevamento degli incidenti.
SOAR
ORCHESTRAZIONE DELLA SICUREZZA E RISPOSTA AUTOMATIZZATA
Le soluzioni di Security Orchestration and Automated Response sono uno degli strumenti più recenti nella cassetta degli attrezzi della difesa informatica. Il numero di eventi segnalati nei sistemi SIEM è sempre più elevato, poiché sempre più dispositivi, soluzioni e servizi SaaS vengono integrati nel sistema SIEM.
Lo strumento SOAR è stato creato per fornire analisi e risposte agli eventi basate sull'intelligenza artificiale e sul comportamento, consentendo all'analista di sicurezza di concentrarsi su indagini dettagliate. Lo scopo principale della soluzione è fornire risposte automatiche a eventi di basso livello.
Un semplice esempio di utilizzo del set di strumenti SOAR, dell'edge firewall o dell'IDPS registra una scansione delle porte una tantum, che di solito è considerata un rumore di fondo per un analista della sicurezza. Tuttavia, se l'indirizzo IP appartiene a un cattivo attore noto, questo potrebbe essere un allarme precoce per un attacco futuro. Una delle migliori pratiche consiste nel bloccare questo intervallo di indirizzi IP e qualsiasi intervallo di indirizzi IP noto associato al cattivo attore.
Di solito, questo processo prevede che l'analista di sicurezza verifichi il cattivo attore, invii una richiesta di modifica per bloccare gli indirizzi IP sui firewall e attenda la conferma da parte del team di gestione della rete del blocco dell'intervallo IP. Come possiamo vedere, questo potrebbe essere un processo lungo, soprattutto in un'organizzazione di grandi dimensioni con una politica di gestione delle modifiche rigorosa. Con una soluzione SOAR, invece, tutto è automatizzato e il ruolo dell'analista di sicurezza è quello di monitorare e verificare i risultati.
È possibile creare (orchestrare) flussi di lavoro automatizzati con lo stack di strumenti, come creare un host che conosce le vulnerabilità, aprire un ticket nel sistema di ticketing e iscrivere l'host al successivo ciclo di patch. L'obiettivo di una soluzione SOAR è integrare gli eventi e le risposte di sicurezza con il più ampio set di strumenti IT interni ed esterni. SOAR è nell'elenco delle tecnologie emergenti di Gartner.
SOC
CENTRO OPERATIVO DI SICUREZZA
Negli ultimi due decenni, i centri operativi di sicurezza si sono evoluti dai tradizionali centri operativi di rete, diventando una parte fondamentale delle operazioni di sicurezza dell'organizzazione. Oggi è impossibile immaginare un'azienda che si preoccupa della sicurezza delle informazioni e della privacy senza un SOC o un servizio SOC gestito.
I terzi pilastri di CISO AG per il rilevamento degli incidenti sono il gruppo di analisti di sicurezza, i team leader e i service manager selezionati, che utilizzano decenni di esperienza per fornire un servizio eccellente. Per quanto riguarda il servizio gestito, il team SOC si occupa dell'integrazione dell'organizzazione definendo l'elenco delle fonti di eventi, del baselining degli eventi business as usual e del flusso di traffico, dell'identificazione degli eventi di interesse e della creazione di casi d'uso SIEM e playbook SOAR come parte del processo di risposta agli incidenti. Fa parte del processo di definizione degli indicatori di prestazione chiave (KPI), degli accordi operativi e dei livelli di servizio.
Il servizio SOC può essere fornito on-premise, utilizzando la piattaforma e le soluzioni di CISO AG, off-premise, fornendo un servizio eseguito in remoto, oppure possiamo gestire parzialmente o completamente il servizio SOC interno mettendo a disposizione la nostra esperienza e le nostre risorse umane.
