Man mano che la digital transformation gioca un ruolo sempre più da protagonista con la diffusione progressiva di applicazioni cloud, un guizzo sempre più massiccio dei device mobili e un ricorso sempre più frequenta a tecnologie IoT cresce anche la probabilità di essere presi di mira da un attacco informatico. E le possibilità aumentano se si lavora in smart working
Proprio partendo da queste considerazioni il system integrator Lantech Longwave (Zucchetti Group) offre il proprio supporto alle aziende che sono alla ricerca tecnologie, strumenti e competenze per adeguarsi a questo nuovo scenario.
Si tratta di mettere in campo tutto il necessario che consente agli analisti che si occupano di sicurezza (ma sempre più anche a tante altre figure aziendali, dagli amministratori IT agli stessi utenti finali) di sere informati in tempo reale su possibili attacchi per organizzare il containment & remediation.
La soluzione individuata da Lantech Longwave per rispondere a questa necessità è Cisco Threat Response (Ctr), una piattaforma centralizzata di visibility, investigation, response e incident management capace di correlare le informazioni provenienti dalle singole piattaforme e agire come un hub unico indirizzando le azioni di enforcement e risposta verso le soluzioni di management dedicate.
Si tratta quindi di una soluzione che non funziona a partire da un evento singolo e delocalizzato, ma che è in grado di correlare in un solo pannello gli Ioc (indicatori di compromissione, come ad esempio informazioni di contesto e di settore, hash, feeds di intelligence, behavioural analytics) in modo che gli operatori del Security operation center (Soc) o gli addetti all’analisi e all’investigazione, siano in grado di avere visibilità a 360°, completa e retrospettiva, su cosa è successo nel network.
Per portare al minimo i tempi Ctr integra feeds esterni di threat intelligence e log interni generati da utenti, device e sistemi presenti nell’infrastruttura di riferimento. La ricerca è semplice e versatile grazie a un campo di ricerca che permette di inserire file hash, IP address, domini, MAC Address, URL, Syslog Messages, security alerts, email subject. Inoltre l’integrazione nativa di soluzioni Cisco Security e portali di intelligence rende possibile eseguire attività direttamente dal cruscotto Ctr, come nel caso della quarantena dei client, delle limitazioni di accesso verso IP malevoli o del blocco di domini e-mail sospetti.
Cisco Threat Response può anche interfacciarsi con alcune soluzioni Siem – Security information and event management e Soar – Security orchestration, automation and response per le quali sono disponibili open Api. Si arriva così a un grafico relazionale intuitivo che guida l’utente nell’analisi congiunta sulle varie fonti, che fornisce un quadro d’insieme su chi, cosa, come e dove sia interessato da un particolare evento.
Sotto la vista “Incidents” un summary riunisce tutti gli eventi o gli alert categorizzati con l’aiuto della threat intelligence, in modo da poter dare priorità e, nel caso, scalare, eventi critici che da una semplice osservazione attraverso la console proprietaria non sarebbero stati individuati. Si tratta di uno strumento che consente all’analista di potersi focalizzare sugli eventi che meritano più attenzione. In pratica, la vista aggregata da diverse fonti, unita alla possibilità di coordinare le azioni di remediation direttamente dalla console di Ctr, permettono di incontrare l’esigenza di rispondere velocemente e con grande efficacia a un problema.
L’accesso a Ctr è gratuito per gli utenti che hanno scelto almeno una delle soluzioni Cisco Security, tra le quali compaiono Amp for Endpoint, Threat Grid, Cisco Umbrella, Cisco E-Mail, Next-Gen Firewall e Stealthwatch Enterprise.
