Dipendenti, collaboratori, partner e utenti con privilegi possono tutti diventare delle minacce interne. È difficile individuarli e se riescono nei loro intenti, implicano serie ripercussioni. La piattaforma ArcSight Intelligence permette ai team addetti alla sicurezza di avere visibilità negli endpoint, server, reti e persino nei terabyte dei dati di log. ArcSight offre un quadro completo delle minacce interne, dal backend all’endpoint.
Mediante il machine learning, ArcSight Intelligence crea un quadro olistico dei normali comportamenti. Oltre a individuare attività molto rischiose o anomale, questa piattaforma collega gli eventi con gli utenti coinvolti, aumenta il loro punteggio di rischio (riducendo drasticamente gli avvisi di falsi positivi) e presenta il contesto dell’incidente in un’interfaccia chiara, interattiva e processabile. ArcSight Intelligence rileva e scopre le minacce interne, consentendo ai team addetti alla sicurezza di lavorare in modo più rapido ed efficiente per contenerle.
I moderni attacchi informatici penetrano regolarmente anche nei perimetri sofisticati e con una solida difesa. Le aziende devono monitorare tali minacce all’interno delle proprie reti. Tuttavia, setacciare quantità ingenti di dati di eventi, solitamente porta a molti falsi positivi. Costruito su una vera piattaforma di big data, ArcSight Intelligence raccoglie e analizza ingenti quantità di dati per rilevare in maniera rapida e accurata gli attacchi.
ArcSight Intelligence rileverà, collegherà e visualizzerà il percorso di un attacco, a partire dagli account compromessi fino ai movimenti laterali, riconoscimento, staging e movimento dei dati per eventuali estrapolazioni. In un tale contesto, ArcSight Intelligence può rilevare gli attacchi rapidamente prima che si sviluppino. A un analista vengono subito fornite le visualizzazioni degli incidenti e i flussi di lavoro per garantire una convalida, analisi e risposta efficienti. Guardate Intelligence in azione, richiedete subito una demo.
Molti clienti utilizzano ArcSight Intelligence in un programma di data-centric security poiché le analisi forniscono il punteggio dei rischi per i beni digitali, tra cui progetti nei repository, drive condivisi, server, ecc.
La piattaforma affronta in modo unico i problemi di visibilità del backend applicando le analisi comportamentali ai log delle applicazioni dei repository IP quali Source Code Management (SCM). ArcSight Intelligence individua le attività ad alto rischio in modo da permettere agli analisti di bloccare il comportamento dannoso prima che si verifichi una violazione.
Le soluzioni di rilevamento e risposta degli endpoint (EDR) offrono i dati più dettagliati e accurati per il rilevamento delle minacce. Insieme alla capacità di ArcSight Intelligence di analizzare miliardi di eventi degli endpoint, i team di sicurezza possono rilevare i segnali di account compromessi, movimenti laterali, ricognizioni interne o estrapolazione di dati in modo rapido ed efficiente. ArcSight Intelligence mette in luce le informazioni utente quali la frequenza di accessi anomala, la data o l’ora di lavoro, macchine inusuali, aggiungendo un importante contesto utile a rilevare le minacce difficili da trovare.
Combina le analisi comportamentale di ArcSight Intelligence con i dati endpoint avanzati di CrowdStrike per scoprire rapidamente minacce difficili da trovare, come quelle provenienti dagli utenti interni o da attacchi mirati. Tale soluzione consente ai Security Operations Center (SOC) di rispondere senza problemi alle minacce, raggruppando miliardi di eventi in un elenco di lead delle minacce con priorità, riducendo gli allarmi e permettendo loro di concentrarsi sulle minacce più importanti.
Nonostante alcuni pilastri dei moderni SOC (Security Operations Center), i prodotti SIEM, DLP, IAM e NAC hanno creato gap nella sicurezza: troppi falsi positivi e strutture di policy molto complicate che riducono la possibilità dei SOC di rilevare, convalidare e rispondere alle minacce in maniera accurata. Gli analisti sprecano troppo tempo nell’indovinare quale sia la vera minaccia. La piattaforma di analisi avanzata di ArcSight Intelligence è stata creata per ottimizzare l’efficienza degli strumenti di sicurezza esistenti e le operazioni di sicurezza.
ArcSight Intelligence mette in correlazione i dati raccolti dagli strumenti di sicurezza esistenti, come Identity and Access Management, proxy Web e sistemi di repository del codice sorgente, per offrire una visualizzazione degli account utente e dei servizi a livello aziendale, nonché l’autenticazione e l’accesso ai livelli di applicazioni e sistema. La piattaforma offre anche uno sguardo all’accesso e ai movimenti dei dati ad alto rischio che automaticamente alimentano i dati contestuali nel vostro SIEM o strumento di risposta agli incidenti. Permette anche alle chiamate API di attivare i controlli IT nei sistemi di autenticazione, DLP o NAC.
Gli account compromessi possono essere il risultato di phishing, malware o di una violazione di dati. I malintenzionati rubano le credenziali di clienti e dipendenti a scopo di lucro o accedono ai dati sensibili in altre reti e applicazioni. Basata sul machine learning avanzato, la piattaforma ArcSight Intelligence utilizza centinaia di algoritmi progettati per rilevare gli account compromessi tra gli account di servizio e utente. ARCSight Intelligence è anche capace di correlare gli indicatori da endpoint, directory, ACL e log delle applicazioni da una collaborazione di più codici e programmi software di controllo delle versioni. Questa piattaforma copre tutti i tipi di attacco relativi all’account.
La visibilità estesa di ArcSight Intelligence consente ai team di sicurezza di rilevare gli account compromessi, collegando tali attacchi ai relativi IOC. In altre parole, non solo rileva le minacce in modo rapido e accurato, ma fornisce anche le informazioni relative al contesto di un attacco prima che raggiunga il suo obiettivo.
ArcSight Intelligence sarà in grado di scovare un attacco prima che raggiunga l’obiettivo. E non è che l’inizio. Successivamente, assisterà gli analisti della sicurezza nella convalida dell’attacco, nell’integrazione del processo aziendale di risposta agli incidenti e nel fornire le informazioni sull’incidente ai team di tutta l’organizzazione. L’interfaccia utente fornisce un’immagine tridimensionale di un attacco, aspetto fondamentale per capire subito come bloccarlo. Le viste dei rischi dell’entità forniscono agli analisti le visualizzazioni delle tempistiche di un attacco, la tendenza del rischio e le nuove anomalie man mano che l’attacco si sviluppa. La visualizzazione delle tempistiche include anche avvisi da parte di altri prodotti di sicurezza e le informazioni di intelligence delle minacce relative a un attacco. Tutto questo ottimizza i processi di convalida e risposta.
I responsabili addetti alla ricerca delle minacce possono accedere con un solo click a informazioni più approfondite a livello di eventi per un incidente. In aggiunta, l’API RESTful e l’integrazione nativa con altri componenti ArcSight ottimizzano i processi di ricerca e risposta, offrendo ai team di sicurezza gli strumenti necessari per bloccare un attacco prima che i dati vengano compromessi.
Gli incidenti ad alta visibilità che hanno coinvolto minacce interne ci ricordano quanto siamo ciechi di fronte alle azioni degli account con privilegi. Se la minaccia è rappresentata dal dipendente o se le credenziali sono state compromesse, l’accesso a questo tipo di account può portare a perdite significative.
Per ogni account con privilegi, ArcSight Intelligence tiene in considerazione comportamenti quali tempo, autenticazione, accesso, utilizzo delle applicazioni e movimento dei dati per creare una serie di comportamenti di riferimento. Quando un account non rispetta queste linee di base, le analisi di ArcSight Intelligence mostrano un’attività dell’utente con privilegi, estraendo i falsi positivi mediante i punteggi dei rischi e, quindi, avvisando la sicurezza affinché possa intervenire.
Quali sono i casi di utilizzo più importanti per la vostra azienda? Pianificate una demo con uno dei nostri professionisti della sicurezza per scoprire in che modo ArcSight Intelligence può fornirvi gli strumenti giusti per migliorare il vostro SOC.
