Cisco Italia Blog

Umbrella e SecureX: Protezione Integrata

5 min read



Nel corso degli ultimi vent’anni i Cybercriminali hanno avuto modo di affinare le loro strategie di attacco rendendole sempre più mirate e sofisticate. Un attacco nello spazio Cyber implica spesso diversi step che devono essere eseguiti in maniera coordinata per poter andare a segno.

Tutte le ricerche e le analisi effettuate sugli attacchi che sono andati a segno hanno dimostrato come gli attaccanti malevoli ripongano molta attenzione alle informazioni che collezionano; questo consente loro di eseguire piani di attacco molto ben strutturati che includono diverse fasi quali ad esempio una perfetta comprensione dell’ambiente da infiltrare, escalation dei privilegi, accesso alle risorse, movimenti laterali ed infine il furto delle informazioni sensibili.

Un tipico attacco solitamente include almeno alcuni dei seguenti step:

Attività di reconnaissance finalizzate all’individuazione di target interessanti;

– Ricerca di vulnerabilità che possono offrire dei buoni punti di ingresso;

– Furto di credenziali;

– L’accesso privilegiato alle risorse;

Exfiltrazione dei dati;

– Cancellazione delle tracce che indicano la propria presenza e che possono far risalire all’autore dell’attacco.

Tutto questo processo spesso viene chiamato “ciclo di vita di un attacco” o “kill chain” e il suo successo dipende in gran parte dallo sforzo e dalla capacità di coordinamento che si riesce ad ottenere durante tutte queste fasi: fasi che coinvolgono molti elementi all’interno dell’infrastruttura IT come ad esempio le mail, le reti, l’autenticazione, gli Endpoint, le istanze SaaS, i database e le applicazioni. L’hacker più scaltro ha l’abilità di pianificare con lungimiranza e utilizzare tattiche multiple lungo il suo cammino per raggiungere il prossimo step.

I team di Security d’altro canto hanno avuto il loro bel da fare negli ultimi vent’anni lavorando intorno alla costruzione di “security practice” molto robuste che includono sia processi che strumenti finalizzati al tracciamento di attività, generazione di alert e supporto all’investigazione sugli incidenti.  Questo quadro è stato dipinto nel tempo e nel suo percorso di raffinamento sono stati aggiunti strumenti informativi sempre nuovi per fronteggiare nuovi tool e tecniche di attacco.

Nello stesso tempo, il numero di utenti, applicazioni, modelli infrastrutturali e dispositivi sono aumentati sia in quantità che in tipologie. Le reti sono diventate sempre più decentralizzate mentre un numero sempre maggiore di applicazioni migravano verso il Cloud.  Nella maggior parte degli scenari di gestione della sicurezza all’interno delle organizzazioni oggi possiamo osservare non meno di 25 soluzioni distribuite tra on-prem e in cloud. In queste circostanze non è affatto semplice coordinare tutte le attività necessarie per identificare e bloccare la totalità delle minacce e gli attacchi Cyber.

Come diretta e principale conseguenza, le organizzazioni stanno riscontrando elevate difficoltà per ottenere quella visibilità necessaria all’interno del loro IT per mantenere un livello di efficacia e protezione associati a un rischio residuo accettabile. La quantità di tempo dedicata all’integrazione di prodotti da vendor diversi e agli sforzi per condividere le informazioni tra di essi è in aumento mentre diminuisce di pari passo il tempo di risposta e di reazione verso le funzioni di business.

Secondo noi di Cisco è arrivato il tempo di passare a un approccio decisamente più coordinato sulla Sicurezza IT che deve necessariamente assistere da un lato alla riduzione del numero di soluzioni utilizzate per semplificare le integrazioni dei processi di protezione.

Cisco Umbrella insieme alla sua integrazione con SecureX contribuisce a rendere i processi di security management più efficienti ed efficaci bloccando in anticipo un numero maggiore di minacce durante la fase di attacco, semplificando la fase di investigazione e gli step di remediation. Oggi Cisco Umbrella gestisce circa 200 miliardi di richieste Internet quotidianamente attraverso l’utilizzo di modelli AI e ML per individuare e bloccare milioni di minacce. Questo primo livello di difesa è fondamentale in quanto consente di minimizzare la superficie di attacco prima che raggiunga le nostre organizzazioni.

Cisco Umbrella oggi include le funzionalità di DNS Security, secure web gateway, cloud-delivered firewall, e cloud access security broker (CASB).

Ma nessuna soluzione riuscirà mai a bloccare tutte le minacce che potranno arrivare. È per questo motivo che diventa fondamentale un approccio che preveda la correlazione dei dati provenienti da sorgenti multiple al fine di ottenere una vista coordinata di ciò che sta accadendo nel nostro ambiente.

Ecco dove Cisco SecureX entra in gioco.

Cisco SecureX integra la profondità del portfolio di security Cisco – incluso Umbrella – insieme ad altri strumenti di terze parti regalando una visibility experience finalmente in grado di unificare e correlare in un’unica dashboard le informazioni in merito alla protezione della rete, gli endpoint, il cloud e le applicazioni. Ed ora andiamo ad esplorare insieme alcune delle capabilities di SecureX, la nuova Cisco security Platform approfondendo il suo ruolo nell’ottica di un rafforzamento della breach defense.

Visibility: La piattaforma SecureX offre Visibilità attraverso una panoramica consolidata dell’intero ambiente. La dashboard di SecureX può essere personalizzata per visualizzare metriche di operations insieme a feed che riportano informazioni su threat activity e threat intelligence. Ciò consente anche di risparmiare tempo prezioso, necessario in genere per passare da una console ad un’altra, accelerando i tempi di investigazione e operando azioni correttive con pochi click.

-Automation: Attraverso l’automazione di SecureX è possibile aumentare l’efficienza e la precisione dei workflow preesistenti e anticipando l’evoluzione delle minacce. I playbooks già presenti in SecureX, completamente personalizzabili, consentono di costruire workflow che includono use case legati a fenomeni di phishing e threat hunting, con step di approvazione per aumentare la co-operazione all’interno del team e anche tra diversi team quali SecOps, ITOps e NetOps al fine di armonizzare le policy ICT Security

-Integration: Con SecureX, è possibile incrementare il livello di maturità dell’infrastruttura di Sicurezza ICT collegando sia le componenti già presenti Cisco che anche di terza parti out-of-the-box, integrazioni che nel tempo verranno arricchite attraverso il continuo sviluppo evolutivo della soluzione.

Utilizzando l’interfaccia intuitive e dotata di funzionalità drag-and-drop è possibile costruire in maniera semplice un numero elevato di playbooks dai più comuni use cases, fino ai più personalizzati.

Un classico esempio di coordinamento e integrazione tra SecureX e Umbrella è rappresentato dalle aree di phishing protection e investigation. Umbrella offre una protezione contro una ampia gamma di attacchi phishing bloccando le connessioni verso i domini DNS e URLs malevoli.

SecureX estende questo tipo di protezione attraverso l’utilizzo di un workflow di investigation che consente agli utenti di inoltrare le mail di phishing direttamente dalla loro casella di posta. Inoltre, viene attivato un processo di investigazione e arricchimento dedicato alla mailbox che include informazioni provenienti da diverse soluzioni già implementate quali Umbrella, e-mail security, endpoint protection, threat response e tool di malware analysis. Le e-mail sospette vengono ispezionate attraverso la soluzione di sandboxing Threat Grid e, nel caso venissero rilevati malicious artifacts viene azionato automaticamente e in maniera coordinata un processo di risposta in linea con le procedure di operation in essere.

La piattaforma SecureX è inclusa in bundle insieme alle soluzioni Cisco security e contribuisce ad elevare il valore dell’investimento di acquisizione delle soluzioni o del servizio gestito. SecureX si collega con il portafoglio di sicurezza Cisco e con soluzioni di terze parti attraverso un’interoperabilità out-of-the-box garantendo un’esperienza consistente che unifica visibilità e automazione elevando i livelli di protezione e resilienza attraverso il monitoraggio e la gestione della sicurezza ICT degli ambienti di rete, degli endpoint, del cloud e delle applicazioni.

——————————————-

Su Cisco.com/go/SecureX è possibile iscriversi
alla waiting-list per ricevere informazioni
in merito alla
disponibilità in General Availability

——————————————-

 

Authors

Alfredo Di Gennaro

Technical Security Architect

EMEAR Channels

Lascia un commento