Com’è possibile rilevare che è in atto un attacco?
Nella fase di rilevazione vengono analizzate le metodologie utili a rilevare e identificare eventi potenzialmente configurabili come attacchi informatici. L’obiettivo dell’organizzazione in questa fase è quello di dotarsi di strumenti e metodi in grado di rilevare eventuali anomalie e stabilire il loro potenziale impatto.
Ad oggi, lo strumento “principe” risultano essere le piattaforme XDR (eXtended Detection & Response), che vanno oltre le tradizionali soluzioni di EPP (Endpoint Protection Platform) e EDR (Endpoint Detection and Response), attuando politiche di rilevazione anche sul traffico di rete e su eventuali servizi Cloud.
Principali caratteristiche delle piattaforme XDR
-
Consentono un’integrazione completa di sistemi di Threat Intelligence. Quest’ultima permette alle aziende di raccogliere informazioni relative alle nuove minacce che potrebbero mettere a repentaglio i loro sistemi;
-
Migliorano non solo la velocità di rilevamento, ma anche quella di risposta, grazie all’integrazione con sistemi SOAR (Security Orchestration, Automation and Response);
-
Molto spesso integrano meccanismi di Deception utili ad aumentare l’efficacia del rilevamento tramite l’utilizzo di “esche” che spingono l’attaccante ad uscire allo scoperto.
Dunque bastano solo gli strumenti? NO. Gli alert vanno interpretati e analizzati da PERSONE, non da sistemi. Gli strumenti sono fondamentali, ma necessitano di una regia “umana”.
Se vuoi saperne di più sul Framework di Cybersecurity del NIST e sulla fase 3 “Rilevazione”, compila il form qui sotto e scarica gratuitamente l’ebook "Guida al Cybersecurity Framework del Nist: tutto quello che un IT Manager deve sapere".
