Nel panorama della cybersecurity, l’attenzione si è spesso concentrata sull’identificazione delle minacce, un aspetto cruciale ma non sufficiente per garantire una difesa completa. Il team di Cyberoo ha osservato un crescente bisogno di migliorare la gestione della remediation, un processo essenziale per rispondere efficacemente alle minacce informatiche.
Gli attacchi moderni sono caratterizzati da una rapidità e un impatto distruttivo che richiedono non solo una risposta tempestiva, ma anche proattiva.
La remediation non si limita alla gestione degli incidenti già avvenuti; si estende alla mitigazione preventiva, identificando le minacce al loro nascere e applicando le contromisure necessarie prima che possano causare danni significativi.
Remediation con Keera
In questo contesto, Cypeer Keera rappresenta un’evoluzione significativa delle soluzioni di Managed Detection and Response (MDR) offerte da Cyberoo. Questa piattaforma integra strategie di remediation avanzate, progettate per essere sia rapide che efficaci.
L’obiettivo è interrompere gli attacchi in corso prima che raggiungano i loro obiettivi, riducendo al minimo l’impatto sull’infrastruttura del cliente. La sfida principale risiede nel bilanciare velocità ed efficacia: una risposta rapida è inutile se non è anche efficace nel neutralizzare la minaccia.
Molte aziende si trovano a dover affrontare compromissioni perché, sebbene i loro sistemi di difesa siano in grado di rilevare e rallentare gli attacchi, non riescono a fermarli completamente.
Gli attaccanti sono abili nell’identificare e aggirare i blocchi difensivi, sfruttando eventuali lacune nella risposta. Anche con tecnologie avanzate la linea difensiva deve essere supportata da una remediation efficace e tempestiva.
Cypeer Keera è stato sviluppato per colmare queste lacune, offrendo una soluzione che combina detection avanzata con capacità di remediation integrate. Questo approccio assicura che le minacce siano affrontate non solo rapidamente, ma anche con la precisione necessaria per prevenire ulteriori compromissioni.
L’evoluzione di Cypeer in Cypeer Keera rappresenta un passo avanti significativo nella protezione delle infrastrutture aziendali, garantendo che la remediation sia al centro della strategia di difesa.
La catena del soccorso
Nel cuore della soluzione Cypeer Keera risiede un concetto fondamentale: la catena del soccorso certificata Cyberoo, un framework che guida le attività di remediation e mitigazione delle minacce. Questo sistema è stato progettato per garantire che l’I-SOC (Integrated Security Operations Center) possa coordinare efficacemente le azioni necessarie con il cliente o i partner di Cyberoo.
Generalmente, quando un evento critico viene identificato, come una minaccia che colpisce firewall, postazioni di lavoro o server, la catena del soccorso stabilisce chi deve essere contattato e con quale priorità. Ad esempio, se un attacco richiede modifiche urgenti al firewall, l’I-SOC sa esattamente chi coinvolgere, sia esso il cliente, un partner o un fornitore, per implementare rapidamente le misure necessarie.
Tuttavia, la sfida non si ferma qui. In molti casi, le aziende devono affrontare zone di scopertura, come la necessità di modificare l’Active Directory fuori dall’orario lavorativo, quando il personale potrebbe non essere disponibile.
Novità di Cypeer Keera
Per affrontare queste situazioni, Cypeer Keera integra moduli di remediation automatica, che consentono al software di eseguire azioni predefinite in risposta a eventi critici, senza intervento umano immediato. Queste azioni automatiche sono attentamente pianificate e autorizzate in anticipo, garantendo che possano essere eseguite in modo sicuro ed efficace.
Il team Keera, parte integrante della soluzione, è composto da esperti certificati che possono intervenire manualmente quando necessario. Questo team utilizza connettori dedicati per eseguire azioni di remediation su richiesta, basandosi su analisi approfondite degli eventi.
Mentre l’automazione gestisce gli eventi chiaramente malevoli, il team Keera si occupa di quelli più complessi, dove l’intervento umano è cruciale per valutare e mitigare le minacce potenziali.
Il servizio è implementato mediante la nostra piattaforma che permette agli operatori di poter intervenire secondo un elenco ben definito di attività concordate con il cliente in fase di startup (Cookbook Keera).
L’utilizzo della piattaforma Cypeer Keera ci permette di poter operare proattivamente sui sistemi abilitati all’attività di remediation senza la necessità di un accesso “personale” o credenziali ai sistemi stessi. La soluzione opera secondo il paradigma SOAR, per il quale, è previsto un primo e unico collegamento ai sistemi oggetto di attività mitigativa.
L’operatore del primo anello della catena del soccorso utilizzerà pertanto questi canali dedicati per operare.
Keera: azioni possibili
In ambito di definizione del progetto, vengono condivise tra il Team Keera e il Cliente tutte le azioni possibili in base ai prodotti integrati all’interno di Cypeer che utilizza le API messe a disposizione dalle varie soluzioni ad esso integrate, per permetterne una gestione manuale proattiva senza avere un accesso diretto ai servizi, appliance o device.
Tutte le azioni possibili sono disponibili nel Cookbook, il quale, identifica puntualmente le attività di mitigazione implementabili sui sistemi collegati a Cypeer, dividendo le stesse per tipologia (Remediation e Information Gathering), descrivendone l’attività, le entità necessarie per eseguirla e altro.
Cybersecurity al completo
Entrando nel vivo del processo, la catena del soccorso per Cypeer Keera si basa su un processo consolidato che inizia con la detection, prosegue con il triage e l’investigation da parte dell’I-SOC, e culmina con l’implementazione di azioni di remediation.
In scenari chiari e ben definiti, l’automatic remediation entra in gioco per gestire rapidamente le minacce. Tuttavia, quando ci si trova di fronte a situazioni più complesse o ambigue, il Team Keera interviene direttamente, eliminando la necessità di coinvolgere terze parti come clienti, partner o fornitori.
Il Team Keera non è un gruppo di investigazione, ma un’unità dedicata all’esecuzione delle attività richieste dal SOC. Quando un attacco viene identificato, come un tentativo di accesso non autorizzato tramite VPN, il team può intervenire per bloccare preventivamente la subnet coinvolta, impedendo che l’attacco raggiunga il suo obiettivo.
Questo approccio è particolarmente efficace contro attacchi mirati, dove gli aggressori potrebbero avere informazioni privilegiate. Cyberoo mantiene il focus sulla sicurezza senza assumere la gestione amministrativa dei sistemi dei clienti. Le azioni sono eseguite tramite API, permettendo un’interazione sicura e controllata con l’infrastruttura del cliente.
L’obiettivo non è prendere il controllo dei sistemi, ma eseguire azioni specifiche e limitate, come bloccare o sbloccare elementi critici, garantendo un intervento rapido ed efficace.
Questa capacità di agire in real-time assicura che le minacce siano mitigate tempestivamente, senza compromettere l’operatività aziendale. Con Cypeer Keera chiudiamo il cerchio della cybersecurity integrando detection, triage, investigation e remediation in un flusso continuo ed efficiente.
Attività di Remediation
Le attività possibili per le appliance previste per le attività di remediation dipendono da ogni singola appliance e non sono definibili a priori. Seguono esempi di possibili attività di remediation:
- Analisi delle connessioni da processi sui Client e i Server tramite eventi dei software di End Point Protection (EPP) o del Cypeer Agent
- Isolamento o freezing di un host (PC, Server) mediante funzionalità dell’EPP in uso o del Cypeer Agent
- Verifica presenza utenti in Active Directory
- Blocco di un utente presente in Active Directory, in Azure Active Directory o su una appliance integrata
- Cambio Password di accesso su Active Directory o Azure Active Directory o su una appliance integrata
- Attivazione/disattivazione di un accesso alla rete WiFi di un utente, di un MAC address o di un Indirizzo IP
- Disattivazione/riattivazione di una VPN (L2L o C2l) su AD o AAD o su appliance integrate
- Esecuzione forzata di una scansione tramite EPP o Cypeer Agent
- Inserimento o rimozione di un dominio nel sistema di web filtering
- Inserimento di regole di blocco (ACL) di indirizzi IP, Indici di compromissione (IOC) o URL malevoli su appliance di rete
- Inserimento di regole di blocco di mail su sistemi di mail filtering
- Inserimento in quarantena di una mail su sistemi di mail filtering
In conclusione…
Cypeer Keera rappresenta un significativo avanzamento nel campo della cybersecurity, frutto di un intenso lavoro di ricerca e sviluppo da parte del team di Cyberoo.
La soluzione integra tecnologie avanzate di machine learning e analisi dei big data all’approccio proattivo del team I-SOC consentendo la gestione delle minacce informatiche in qualsiasi ora e giorno della settimana.
Questo approccio non solo migliora la capacità di rilevamento delle minacce, ma consente anche di mitigare i rischi associati in modo tempestivo ed efficace.
Di Roberto Veca – Head of Cybersecurity, CYBEROO