Offence Analysis: 3 Use Case

Sfatato il mito della complessità del SIEM QRadar, lecita in fase di installazione, si è ripagati in fase di sfruttamento delle tantissime reali funzionalità per aumentare la potenza dell’Offence Analysis: generare un imbuto che anche da miliardi di log è  in grado di individuare poche decine di incidenti sospetti da approfondire.

Logo verde IBM Qradar

# IBM® QRadar® SIEM rileva le anomalie e aiuta a scoprire le minacce più sofisticate e a rimuovere i falsi positivi, attraverso l’Offence Analysis. Accorpa i dati degli eventi di log e di flusso di rete da migliaia di dispositivi, endpoint e applicazioni distribuiti in una rete. Utilizza quindi un motore Sense Analytics avanzato per normalizzare e correlare tali dati e identifica gli attacchi alla sicurezza che richiedono un’indagine.

Logo IBM

 

 

 

Ecco tre Use Case che possono fare al caso nostro:

  • Jailbroken mobile device
    • Impostabile con una delle 500 regole native di QRadar, intercettando la richiesta DNS di un iPhone interno craccato, richiamato da un indirizzo esterno. Si passa quindi alla segnalazione verso l’utente
  • Suspicious probe events
    • Movimento in rete che non sembra normale, segnalato da QRadar tramite email. Collegandosi al sistema è possibile individuare i movimenti sospetti, il tipo di connessione (es. VPN) e l’utente specifico legato a queste attività e i flussi di dati che sono stati trasferiti. Controllando poi le regole impostate e ordinando gli eventi porta per porta è possibile approfondire ulteriormente l’origine dell’attività e verificarne la malevolezza o meno. Per fare ciò è possibile anche richiamare il client Watson per approfondire la ricerca e analizzare e correlare una serie di dati che umanamente non sarebbe possibile verificare. Infine sarà possibile informare il Cliente con il risultato di tutto l’approfondimento.
  • Traffico DNS non autorizzato -> everiday tuning
    • Individuando traffico verso IP pubblici, anche piccolo che sia, verificando il traffico permesso dal firewall, anche attraverso il servizio X-Force Exchange, è possibile individuare il rischio legato agli IP e le botnet potenziali. Oltre a tutti gli strumenti messi a disposizione dal QRadar c’è ovviamente tutto l’esperienza di VM Sistemi maturata sul campo, che può individuare traffico, seppur potenzialmente lecito, che non avrebbe dovuto esistere e quindi cela potenziali pericoli e comunque eventuali miss configuration.

 

offences analysis

 

La tecnologia da sola non può rispondere ad ogni minaccia, servono competenze e continua formazione, con pillole di aggiornamento. Il compito di vendor e integrator è quello di semplificare e essere schermo per la complessità tecnologica agli utenti rendendo un prodotto efficace e semplice all’uso.

Oltre a risolvere molte delle criticità, QRadar intercetta istantaneamente tutto ciò che si collega alla rete interna aziendale (nuove macchine, pc di tecnici, ecc.) e ne rileva le potenziali minacce. Quindi qualunque device IoT è controllabile da QRadar.

Oggi gli attacchi ai sistemi “simil-industriali” (PLC, sensori ed attuatori) richiedono, lato difesa, delle competenze di programmazione non banali, sia lato IT, sia lato OT, da integrare poi alla competenza del particolare tecnico. Il fatto è quindi la modalità di approccio di un progetto OT capendo: gli elementi della mia infrastruttura, come sono connessi e che dati forniscono.

Un corretto approccio al processo di cyber security prevede la standardizzazione delle attività di vulnerability assessment e di penetration test, utilizzando possibilmente strumenti di artificial intelligence, visto che gli attacker utilizzano da anni questo tipo di tecnologia.

Rachele Amadori
VM Sistemi – Marketing Specialist

Related Posts

Pin It on Pinterest