La tecnologia e i processi Zero Trust stanno diventando sempre più importanti per garantire la sicurezza sia nella pubblica amministrazione che nelle aziende. Tuttavia, molte organizzazioni non sono in grado di sviluppare una strategia adeguata se non dispongono di una visione completa e di un controllo totale sulle reti.
In questo contesto, le soluzioni di network analysis and visibility (Nav) rivestono un ruolo cruciale, poiché consentono di monitorare il traffico di rete, rilevare le minacce, scoprire applicazioni e risorse e ottenere informazioni dettagliate sui pacchetti di dati. Forrester ha analizzato i provider e le soluzioni sul mercato.
Integrando analitiche, soluzioni di orchestrazione, automazione e risposta alla sicurezza (Soar), strumenti di rilevamento e risposta estesa (Xdr) e altri strumenti, queste piattaforme contribuiscono a fornire una base di visibilità e analisi per indirizzare la strategia Zero Trust.
Sono tre i fattori che le aziende devono considerare quando scelgono un vendor e la soluzione più adatta alle loro esigenze: le performance crittografiche, l’esperienza degli analisti e l’ingrazione alla rete Zero Trust.
Le performance crittografiche
La crittografia dei dati è un principio chiave del modello Zero Trust, così come la visibilità sul traffico di rete che richiede l’analisi dei pacchetti effettivi e non solo delle informazioni contestuali presenti negli header. Per effettuare un’ispezione approfondita dei pacchetti (Dpi), è necessaria una funzione di decrittografia specifica. Pertanto, è importante scegliere una soluzione che sia in grado di decrittografare nativamente o che possa ricevere e archiviare in modo sicuro un feed decrittografato da un altro elemento di rete.
L’esperienza degli analisti (AX)
La carenza di professionisti della sicurezza qualificati è un problema diffuso in tutte le industrie, rendendo sempre più difficile affidarsi all’analisi del traffico basata esclusivamente sull’expertise umana. Per affrontare questa situazione, i fornitori stanno creando interfacce utente che supportano gli analisti dei centri operativi di sicurezza (Soc) lungo l’intero flusso di lavoro. Integrazioni come la mappatura del framework Mitre Att&ck e le soluzioni di orchestrazione, automazione e risposta alla sicurezza (Soar) forniscono agli analisti le informazioni necessarie per prendere decisioni informate senza dover essere esperti di analisi dei pacchetti.
L’integrazione con le soluzioni di accesso alla rete Zero Trust (Ztna)
L’uso sempre più diffuso del lavoro da remoto ha creato una lacuna nelle capacità di visibilità di rete coperte dalle soluzioni Nav, che storicamente si concentravano sulle reti interne. Anche se le soluzioni Ztna forniscono controlli per la navigazione web e l’accesso, i dati stessi spesso vengono analizzati in modo sommario anziché per pacchetti. I fornitori di soluzioni Nav integrate con Ztna ottengono visibilità su ciò che gli utenti mobili stanno facendo, senza instradare il traffico attraverso un sensore cloud o interno, semplificando così la rete e consentendo un’esame accurato di tutto il traffico, indipendentemente dalla posizione. Inoltre, Ztna fornisce controlli di sicurezza, come la possibilità di bloccare il traffico o interrompere una sessione utente. Ciò consente ai professionisti della sicurezza di individuare comportamenti maligni o sospetti e intervenire sulle azioni degli utenti senza dover utilizzare un ulteriore agente endpoint.
In conclusione, la tecnologia e i processi Zero Trust richiedono soluzioni di network analysis and visibility (Nav) che consentano una visibilità completa e un controllo totale sulle reti. La scelta del vendor e della soluzione più adatta deve tenere conto delle performance crittografiche, dell’esperienza degli analisti e dell’integrazione con le soluzioni di accesso alla rete Zero Trust (Ztna), fattori sono fondamentali per garantire la sicurezza e l’efficacia del modello Zero.
Forrester ha individuato i miglior vendor sul mercato suddividendoli tra leader, strong performer, challenger e contender analizzandone punti di forza e debolezze.
Leaders
Lumu, semplificare l’analyst experience con facilità d’uso e correlazioni approfondite
Lumu mette in primo piano l’analyst experience. Il focus di Lumu sull’AX, sull’usabilità e sulle correlazioni approfondite rende più facile le operazioni quotidiane del Soc. L’interfaccia utente di Lumu offre facilità d’uso e la soluzione correla gli eventi, li mappa e li presenta in modo che anche gli analisti inesperti possano capire cosa sta accadendo. Lumu è però meno performante nell’analisi del traffico crittografato, in quanto si basa sui metadati e su JA3/JA3S per la gestione del traffico crittografato (Etm). I clienti hanno comunque evidenziato il supporto, il servizio, la facilità d’uso e di implementazione come punti di forza.
ExtraHop, profonda visibilità sul traffico di rete per clienti aziendali di grandi dimensioni
ExtraHop ha conquistato il mercato perché la soluzione fornisce una profonda visibilità sul traffico di rete con correlazioni di eventi già pronte per clienti aziendali di grandi dimensioni. La capacità di ExtraHop di decrittare tutto il traffico, incluso Tls 1.3 e Pfs, consente una profonda comprensione di tutti i pacchetti e dei dati . Dal punto di vista dell’analisi delle minacce, il prodotto presenta alcune carenze nelle capacità di sandboxing e nell’ingestion dei dati di telemetria delle e-mail. I clienti hanno appezzato in particolar modo “il focus sull’abilitazione dell’utente”.
Arista Networks, flessibilità di implementazione e AI per una profonda comprensione dei dettagli di rete
La flessibilità di implementazione di Arista Networks è senza eguali. La solizione è facilmente implementabile in uno spazio noto per le reti ibride complesse. Ava di Arista è un motore di contesto potenziato dall’intelligenza artificiale che fornisce una profonda comprensione dei dettagli associati a un evento con un input minimo richiesto dall’analista. Tuttavia, l’interfaccia utente può risultare un po’ confusa per gli analisti che non hanno una solida formazione in networking, il che influisce negativamente sull’usabilità. La soluzione è adatta soprattutto a grandi imprese con una soluzione di rete cloud o in loco.
Trend Micro, intelligence sulle minacce e decisioni affidabili per aziende di medie e grandi dimensioni
Trend Micro offre un portfolio di prodotti vario con una intelligence sulle minacce nativa che si distingue dalla concorrenza e grazie a un ricco set di dati di correlazione permette all’analista “decisioni rapide e affidabili”. Trend Micro ha un’interfaccia utente”intuitiva e di facile comprensione e il rilevamento delle minacce si basa in gran parte sull’acquisizione di dati di telemetria da più fonti. I clienti con ambienti cloud Aws possono trarre vantaggio dalla stretta integrazione tra proprietà multi-cloud e multi-tenant. L’offerta Nav di Trend Micro è adatta per le aziende di medie e grandi dimensioni che dispongono di altri prodotti Trend Micro o sono alla ricerca di una piattaforma che includa Xdr.
Strong performers
Cisco, la forza dell’ecosistema
Cisco è un fornitore ubiquitario nel mondo delle reti e le ampie offerte di networking e sicurezza creano opportunità per un’integrazione facile con l’ecosistema dei partner e l’acquisizione di telemetria incorporata con le altre linee di prodotto dell’azienda. Dal punto di vista dell’adozione da parte dei clienti, Cisco offre un solido programma di formazione con certificazioni riconosciute dal settore come valore aggiunto. L’ecosistema Cisco fornisce un’impressionante quantità di dati di telemetria, dagli utenti finali al cloud, a condizione che l’organizzazione faccia un ampio uso dei prodotti Cisco. I dati vengono acquisiti dal prodotto per creare un contesto di evento ad alta fedeltà. La soluzione Nav applica l’apprendimento automatico alla telemetria acquisita per la rilevazione delle minacce. La soluzione Nav non decrittografa nativamente, ma può acquisire il traffico decrittografato da altre tecnologie Cisco. I clienti lamentano l’uso di Java nell’interfaccia utente e l’obbligo di utilizzare console Nav separate per ambienti in loco e cloud. L’offerta è comunque adatta a pmi e grandi imprese.
Fortinet, visibilità sulla rete e workforce remota, ma con alcune limitazioni nell’integrazione delle soluzioni
Fortinet garantisce una grande visibilità sulla rete e sulla worforce remota ma l’offerta è limitata alle soluzioni on-prem di FortiNDR. Sebbene intuitive, le interfacce utente Nav sono istanze separate con punti di integrazione limitati, che richiedono diverse console per gestire l’offerta combinata. Le performance sono different tra FortiNDR Cloud e la soluzione legacy FortiNDR: FortiNDR Cloud offre una conservazione dei metadati standard di 365 giorni per l’analisi retrospettiva, mentre FortiNDR in loco si integra con Endace per fornire la stessa funzionalità. I clienti hanno descritto l’offerta FortiNDR Cloud come apprezzata negli ambienti di security, ma non avevano conoscenza dell’offerta legacy FortiNDR. Le aziende di medie e grandi dimensioni troveranno l’offerta FortiNDR Cloud utile alle implementazioni ibride e cloud mentre FortiNDR in loco è la migliore per l’integrazione con altri prodotti Fortinet.
VMware, conoscenza approfondita delle reti e delle macchine virtuali
VMware offre una straordinaria conoscenza delle reti e delle macchine virtuali (VM) basate su VMware. Il prodotto di VMware è unico per la sua capacità di applicare pratiche di microsegmentazione su reti in modo nativo, senza la necessità di chiamate Api o integrazioni di terze parti, a condizione però che venga eseguito VSphere. Le capacità standard di sandboxing del fornitore elimina l’incertezza dall’analisi dei file per garantire una migliore analisi delle minacce. L’analisi retrospettiva è invece in ritardo rispetto ad altri fornitori (30 giorni). Inoltre la riproduzione della cattura dei pacchetti richiede l’utilizzo di Wireshark per essere efficace. I clienti confermano la completezza della copertura negli ambienti VM, ma notano che la mancanza di altre integrazioni, come le proprietà cloud e le reti in loco, rende le operazioni difficili. La piattaforma va bene per le organizzazioni che già usano soluzioni VMware.
Corelight, rilevamento ad alta fedeltà con condivisione comunitaria, ma con un’interfaccia utente non intuitiva
Corelight offre metodologie di rilevamento ad alta fedeltà con la possibilità di condivisione comunitaria disponibile per i clienti e per la più ampia comunità di Zeek, ma l’interfaccia utente non è intuitiva. La rilevazione delle minacce inizia non appena il prodotto riceve il traffico da un sensore, con soglie personalizzabili dall’utente fornite “out of the box”. L’analisi retrospettiva si distingue con una retrospettiva standard di 30 giorni e consente ai clienti di conservare i dati in loco o in bucket S3, secondo le loro specifiche esigenze. L’interfaccia utente contiene una grande quantità di informazioni ma è carente nella parità di funzionalità tra l’interfaccia utente e la funzionalità dell’interfaccia a riga di comando, richiedendo agli analisti di passare avanti e indietro tra le due, a seconda del caso d’uso. Le aziende di medie dimensioni con analisti esperti o aziende con un caso d’uso Soc dovrebbero valutare Corelight.
Vectra AI, facilità d’uso e sicurezza al centro dell’offerta per medie e grandi imprese
Vectra AI è conosciuta per la facilità d’uso da parte di analisti junior e senior, consentendo alle organizzazioni che non dispongono di un team Soc formale o analisti senior di ottenere la visibilità necessaria sulla sicurezza delle reti senza dover assumere nuovo personale. La soluzione è focalizzata sull’AX e sulla facilità d’uso. Vectra AI investe pesantemente nell’innovazione, con un dipartimento di R&S ben finanziato che sta al passo con i cambiamenti nel panorama delle minacce. L’ecosistema di partner del fornitore è carente, con solo poche integrazioni, principalmente incentrate su Microsoft. La sicurezza del prodotto è al centro dell’offerta: dal 99,9% di Sla (Service Level Agreement) alla realizzazione di test di penetrazione da parte di terze parti e un S-Sdlc (Secure-Software Development Lifecycle) documentato. L’interfaccia utente è chiara e facile da comprendere, fornendo informazioni contestuali senza la necessità di aprire un’altra console. La visualizzazione del mapping del framework Mitre è ospitata su GitHub ed è facilmente accessibile tramite un browser web. Ma Vectra AI non può decrittare il traffico o inglobare in modo sicuro il traffico crittografato. Si basa invece su osservazioni di metadati e metodologie JA3/JA3S. I clienti apprezzano la facilità d’uso del prodotto che si presta alle esigenze di medie e grandi imprese.
Netscout, eccellenza nella decrittografia e allineamento con i principi di Zero Trust per grandi aziende e pubbliche amministrazioni
Netscout eccelle nella decrittografia, ma la sua interfaccia utente non è particolarmente performante. La strategia di Netscout si concentra sul perfezionamento dei report, sull’eliminazione dei falsi positivi e sull’allineamento con i principi di Zero Trust nelle grandi aziende. Sul fronte della decrittografia, la soluzione elimina il punto cieco del traffico crittografato dalle sessioni TLS 1.3 alle sessioni SSH. L’integrazione di Netcoscout con ServiceNow offre una ricchezza di informazioni contestuali sugli endpoint, fornendo dettagli granulari sugli eventi guidati dagli endpoint sulla rete. I modelli di distribuzione cloud sono eccellenti, con il pieno supporto per Aws, Azure (sia cloud commerciali che .gov) e Google Cloud Platform. L’interfaccia utente è stata migliorata, ma molti clienti utilizzano uno strumento di gestione delle informazioni e degli eventi di sicurezza (Siem) come opzione preferita per le operazioni quotidiane. I clienti apprezzano i modelli di distribuzione cloud, ma cercano maggiori integrazioni con tecnologie adiacenti. Oltre che ad aziende, la soluzione si adatta soprattutto a pubbliche amministrazioni che perseguono l’approccio zero trust.
Contenders
Darktrace, facilità di implementazione e interfaccia accattivante ma con alcune limitazioni funzionali
Darktrace offre facilità di implementazione e un’interfaccia utente che privilegia l’aspetto visivo rispetto alla funzionalità. La soluzione Nav semplifica l’implementazione, offrendo funzionalità intuitive di punto e clic nella console di amministrazione, e riduce al minimo le incertezze riguardo alle informazioni necessarie per collegare risorse o tecnologie adiacenti. Tuttavia, l’interfaccia utente complessiva privilegia l’aspetto visivo rispetto alla funzionalità. Le visualizzazioni, sebbene accattivanti, possono risultare confuse. Per ottenere informazioni veramente utili, spesso è necessario utilizzare più schede e console aggiuntive, come Darktrace Respond e Prevent. La dipendenza di Darktrace dai metadati non consente rilevamenti basati su firme in modo nativo, e la mancanza di capacità di decrittazione nativa peggiora la visibilità del traffico di rete. Le aziende di piccole e grandi dimensioni che cercano una soluzione Nav facile da implementare dovrebbero valutare quella di Darktrace.
Trellix: Informazioni dettagliate ma necessità di integrazioni e miglioramenti dell’interfaccia utente
Trellix fornisce informazioni dettagliate ma richiede diversi componenti per ottenere un quadro completoLa strategia di Trellix si concentra sui vantaggi combinati delle soluzioni Xdr, Soar e Nav per aumentare la precisione della rilevazione, ridurre i falsi positivi e migliorare l’esperienza degli analisti. Però c’è ancora molto lavoro di integrazione da fare. Proprio a causa dell’offerta combinata, l’interfaccia utente attualmente ha limitazioni di funzionalità e richiede due console separate per una gestione efficace. La funzionalità di “lookback” è limitata ai repository basati sui sensori, è un processo manuale e non fornisce capacità di analisi retrospettiva per nuovi IoC (Indicatori di Compromissione). La correlazione con il framework Mitre ATT&CK viene elencata come una capacità. Il prodotto offre la decrittazione nativa e può ricevere in modo sicuro dati decrittati da altre soluzioni basate sulla rete. I dati di telemetria XDR ed email provengono principalmente dalle offerte tecnologiche di Trellix, con integrazioni di terze parti disponibili. I clienti legacy di FireEye e McAfee presso aziende di medie e grandi dimensioni dovrebbero includere Trellix nella loro lista di fornitori.
Challengers
Exeon Analytics, intuitiva interfaccia utente e privacy, ma con limitazioni nelle osservazioni dei dati
Exeon Analytics offre privacy ma presenta alcune limitazioni nelle osservazioni dei dati. L’interfaccia utente di Exeon è intuitiva e di facile comprensione e si basa esclusivamente sui metadati e sull’ingestion di log per ottenere visibilità e applica la propria intelligenza artificiale proprietaria a tutti i dati telemetrici osservati. Le capacità di ingestion dei log è stata progettata per fornire ulteriori chiarezza e contesto sugli eventi osservati. Grazie alla grande quantità di log che Exeon può inglobare nativamente, viene spesso posizionato come sostituto di un Siem oltre che come soluzione Nav. La mancanza di rilevamenti basati su firme e di visibilità completa dei pacchetti crea però un punto cieco per i cacciatori di minacce e il Soc. Le azioni di risposta vengono avviate tramite integrazione Api con strumenti Soar ed Edr. La piattaforma è particolarmente adatta per le aziende del Finance.
