Negli ultimi mesi CYBEROO ha lanciato Cypeer Agent X: agente avanzato progettato per potenziare l’MDR (Managed Detection and Response) Cypeer con un’analisi approfondita della postura di sicurezza aziendale. In questo articolo analizziamo nel dettaglio il lavoro fatto per lo sviluppo di questo agente.
Iniziando dalle funzionalità principali, l’agente permette di rilevare diversi parametri del sistema monitorato, come ad esempio installazioni di software o accessi anomali, modifica chiavi di registro, i processi in atto, connessioni TCP, installazioni di software, accessi al sistema, ecc.
Inoltre, è in grado di integrarsi con i sistemi di end-point protection (come antivirus evoluti, antimalware e altri) e di assimilarne le evidenze integrandole in Cypeer. Il fine primario è quello di identificare eventuali compromissioni o attività illecite, siano queste compiute da software (malware), o perpetrate da utenti malevoli.
Il Cypeer Agent X comunica costantemente con il Cypeer Manager di Cyberoo inviando i dati rilevanti in tempo reale attraverso un canale crittografato e autenticato. Grazie all’agente è possibile intervenire sugli endpoint con Automatic Remediation: riconosce gli eventi e i log degli applicativi su cui è installato.
Sulla base di condizioni prestabilite da Cyberoo condivise con il cliente può applicare l’esecuzione di script di qualsiasi natura, agevolando il processo di intervento a fronte di anomalie.
Cypeer Agent X: principali funzionalità
Tra le sue principali capacità, l’agente è in grado di raccogliere log e dati sia dalle postazioni di lavoro che dai server, permettendo un monitoraggio continuo delle attività. È progettato per riconoscere comportamenti anomali e supportare il rilevamento di minacce come rootkit, ransomware e malware. Inoltre, monitora i criteri di sicurezza e risponde rapidamente agli incidenti grazie alle soluzioni di Automatic Remediation e Prevention.
Il deploy massivo può essere effettuato tramite GPO o altri strumenti di gestione di terze parti, facilitando l’implementazione su larga scala. L’agente controlla anche gli accessi, registrando log-in e log-out, e gestisce l’installazione, l’avvio e l’interruzione di servizi e programmi.
È particolarmente efficace nel rilevare connessioni anomale o verso indirizzi malevoli e nell’identificare anomalie comportamentali, come esecuzioni inusuali di PowerShell, modifiche alle chiavi di registro e cancellazioni di shadow copy, garantendo così una protezione robusta e proattiva.
Cypeer Agent X: analisi di sicurezza e monitoraggio continuo
Le attività svolte da Cypeer Agent X sono altamente personalizzabili e dipendono dalla configurazione scelta durante l’installazione o l’aggiornamento. L’agente è in grado di raccogliere una vasta gamma di dati tra cui:
- Log di sistema: registri degli eventi di Windows, Syslog di Linux/macOS, log applicativi.
- Eventi di sicurezza: login/logout degli utenti, modifiche alle politiche di sicurezza, attività di sistema privilegiate.
- Informazioni sui processi: nome del processo, ID del processo, utente associato, risorse utilizzate.
- Connessioni di rete: indirizzi IP di origine e destinazione, porte, protocolli utilizzati durante le connessioni da e verso la rete, sia interna, che verso Internet.
- Modifiche ai file di sistema: creazione, modifica o eliminazione di file critici di sistema.
- Risultati delle richieste su sistema: informazioni sul sistema, sulle applicazioni installate e sulle configurazioni reperibili a seguito di richieste specifiche dell’agente sulla base del contesto d’investigazione.
Questo permette un monitoraggio continuo dei processi in esecuzione, delle connessioni di rete e delle modifiche ai file di sistema, al fine di rilevare eventuali attività sospette.
Inoltre, Cypeer Agent X può eseguire query per raccogliere informazioni di sistema, arricchendo così i dati di sicurezza disponibili. Per quanto riguarda il rilevamento delle minacce, l’agente applica regole basate su firme e comportamenti per identificare potenziali indicatori di compromissione (IoC), fornendo anche analisi comportamentali per l’identificazione di minacce.
Un’altra caratteristica fondamentale è la capacità di Automatic Remediation, che consente all’agente di intervenire a livello di sistema per mitigare le minacce, seguendo le richieste di remediation del sistema Core di Cypeer. Infine, permette di prevenire e rispondere preventivamente alle minacce attraverso azioni autonome su file e processi.
Sicurezza dei dati
La sicurezza dei dati è una priorità fondamentale per Cypeer Agent X. I dati raccolti dall’agente vengono crittografati durante la trasmissione utilizzando il protocollo TLS (Transport Layer Security), garantendo così la confidenzialità e l’integrità delle informazioni e prevenendo intercettazioni non autorizzate. Inoltre, l’autenticazione tra l’agente e la piattaforma Cypeer Manager si basa su certificati, assicurando che le comunicazioni siano protette e riservate.
Conformità al GDPR
Cypeer Agent X è progettato per essere conforme al GDPR, adottando il principio di minimizzazione dei dati. L’agente raccoglie solo le informazioni strettamente necessarie per scopi legittimi di sicurezza informatica, limitando i dati personali alle informazioni di identificazione dell’utente associate agli eventi di sicurezza e alle attività di sistema.
Questi dati vengono utilizzati esclusivamente per il rilevamento, l’analisi e la risposta agli incidenti o alle minacce di sicurezza, evitando qualsiasi utilizzo per il monitoraggio delle attività dei dipendenti. Questo approccio garantisce che la privacy degli utenti sia rispettata, mantenendo al contempo un alto livello di protezione contro le minacce informatiche.
Di Roberto Veca – Head of Cybersecurity, CYBEROO