6 casi d'uso per la sicurezza di rete

Le statistiche sulla sicurezza di rete rivelano che gli attacchi informatici hanno colpito oltre 350 milioni di persone negli Stati Uniti. In questo articolo, esploriamo casi d'uso ed esempi concreti di sicurezza di rete, dal rilevamento delle minacce interne alla gestione degli accessi privilegiati.

Per ulteriori informazioni sulla sicurezza di rete:

• Scopri quali tecnologie potrebbero utilizzare per prevenire i vettori di attacco informatico ,
• Valutare il software di sicurezza di rete sulla base di casi d'uso realistici.

1. Rilevamento e prevenzione automatizzati delle minacce interne

Le soluzioni di rilevamento e prevenzione delle minacce interne identificano chi ha un accesso legittimo alla rete e chi lo utilizza per danneggiare l'organizzazione.

Sfide aziendali

• Individuare gli insider malintenzionati: gli insider malintenzionati sono responsabili di circa il 40% di tutti gli incidenti di sicurezza segnalati. ¹ Per i sistemi di sicurezza è difficile distinguere tra attività legittime e attività dannose, poiché questi soggetti malevoli hanno già accesso interno ai sistemi e ai dati aziendali.
• Comportamento dinamico degli utenti : il comportamento degli utenti può cambiare frequentemente in base agli incarichi di lavoro, ai progetti o a fattori personali, complicando l'individuazione delle anomalie. Le organizzazioni con centinaia di flussi di lavoro potrebbero non visualizzare le attività degli utenti durante la gestione degli incidenti di sicurezza.

Come il rilevamento e la prevenzione automatizzati delle minacce interne aiutano

I sistemi di rilevamento delle minacce interne (ad esempio gli strumenti IPS ) possono identificare le modifiche nei dati degli utenti e inviare avvisi o visualizzare informazioni grafiche ai team di sicurezza, consentendo così alle organizzazioni di essere consapevoli dell'attività della propria rete.

Per saperne di più: Sicurezza delle reti basate sull'IA .

Caso di studio: Netskope

Netskope è un'azienda di sicurezza informatica di livello mondiale che serve oltre 2.000 clienti.

Sfide

Netskope si proponeva di ottenere informazioni precise sulle attività degli utenti che potessero indicare minacce interne ad alto rischio.

• Mancanza di automazione nella risposta alle minacce interne: Netskope utilizzava una tecnica manuale che richiedeva almeno cinque dipendenti, 10 strumenti e 90 minuti di lavoro per rispondere a ogni richiesta di sicurezza.
• Mancanza di informazioni sul comportamento degli utenti: Netskope necessitava di informazioni precise e in tempo reale sulle azioni degli utenti (ad esempio, cliccare su un link, creare un account) che potessero indicare minacce interne.

Soluzioni e risultati

Netskope ha implementato un sistema di gestione delle informazioni e degli eventi di sicurezza (SIEM) per l'analisi dei dati in tempo reale, fornendo visibilità sui comportamenti delle minacce interne.

• Rilevamento delle minacce interne: Netskope ha individuato tempestivamente le fughe di dati da parte di dipendenti interni automatizzando oltre 200 operazioni quotidiane del flusso di lavoro.
• Maggiore visibilità della rete : l'implementazione del SIEM ha aiutato Netskope a valutare i dati storici relativi alle attività interne e a monitorare l'attività degli utenti durante le indagini sulle minacce interne.
• Monitoraggio dei dati: Netskope ha sfruttato la funzionalità di gestione dei contenuti del SIEM cloud per identificare i download di dati. Ciò consente a Netskope di visualizzare i tentativi malevoli di scambio di dati con il personale o con i concorrenti. ²

2. Gestione centralizzata dei log

La gestione dei log è fondamentale in diverse funzioni IT e aziendali, fornendo informazioni preziose e abilitando numerosi casi d'uso, tra cui il rilevamento delle minacce, la business intelligence e il monitoraggio della rete.

Sfide aziendali

• Volume: I sistemi IT di grandi dimensioni generano un'enorme quantità di dati di log, rendendo difficile la manutenzione e la valutazione manuale.
• Complessità: i log vengono creati da molte fonti e in diversi formati, il che rende difficile aggregarli e analizzarli.
• Sicurezza: i log contengono informazioni importanti come le password degli utenti e l'architettura di rete, pertanto devono essere protetti da accessi non autorizzati.

Come la gestione centralizzata dei log può essere d'aiuto

La gestione dei log consente un'analisi semplice e una correlazione sicura. Centralizzare i log può contribuire a migliorare il tempo medio di rilevamento (MTTD) e il tempo medio di risoluzione (MTTR) per i bug delle applicazioni e le violazioni della sicurezza.

Caso di studio: LaBella Associates

LaBella Associates è una società di ingegneria che offre servizi completi, con sede a New York, e conta oltre 1.500 architetti e dipendenti dislocati in 30 sedi.

Sfide

• Mancanza di visibilità dei dati: LaBella necessitava di un sistema di gestione dei log per monitorare i propri server di file sensibili, generare report sulla cronologia degli accessi e supportare le indagini forensi in caso di violazione dei dati.
• Mancanza di visibilità dei log: il responsabile di LaBella Associates ha affermato che avevano bisogno di una soluzione in grado di registrare l'attività del file system e monitorare gli accessi e le disconnessioni degli utenti per rilevare anomalie.
  
• Ricerca manuale delle attività di accesso: il responsabile di LaBella Associates ha affermato che per monitorare le attività del file system o di accesso dovevano visitare ogni server di file ed eseguire manualmente la scansione dei log, un'operazione che richiedeva molto tempo.

Soluzioni e risultati

LaBella Associates ha implementato una soluzione SIEM (Security Information and Event Management) con funzionalità di gestione dei log per controllare i log tra i domini.

• Gestione efficace dei log: il team di sicurezza informatica di LaBella Associates è in grado di ottenere informazioni su chi ha effettuato l'accesso ai server di file critici per eseguire analisi forensi dei log in caso di violazione.
  
• Gestione efficace degli accessi: LaBella Associates potrebbe visualizzare le modifiche illecite ai criteri di gruppo apportate da dipendenti e collaboratori con accesso alla rete interna. Per saperne di più: Gestione dei criteri di sicurezza di rete .
• Maggiore sicurezza del dominio: l'azienda ha identificato registri modificati o alterati sul controller di dominio.
  
• Semplificazione delle indagini sui registri: LaBella Associates ha eliminato la laboriosa procedura di identificazione e determinazione di chi ha effettuato modifiche all'appartenenza al gruppo. ³

3. Rilevamento di accessi utente anomali

Il rilevamento di accessi utente anomali, noto anche come rilevamento di accessi utente outlier, consiste nell'identificazione di punti dati di accesso utente che si discostano dalla norma, dallo standard o dalle aspettative, risultando incoerenti con il resto di un set di dati. Le statistiche sulla sicurezza di rete rivelano che circa il 70% degli attacchi informatici contro le aziende inizia con credenziali compromesse. Pertanto, valutare il comportamento degli utenti è fondamentale.

Sfide aziendali

• Elevato volume e varietà di dati : grandi quantità di dati provenienti da diverse fonti (blog web, log delle applicazioni, traffico di rete, ecc.) devono essere elaborate e analizzate.
  
• Flussi di dati in tempo reale : il rilevamento di anomalie o modelli in tempo reale richiede un'elevata potenza di elaborazione e algoritmi efficienti. Le organizzazioni prive di automazione potrebbero trascurare i punti di accesso ai dati anomali nei loro flussi di lavoro.
  
• Interazioni complesse con gli utenti : gli utenti interagiscono con i sistemi in modi complessi, difficili da modellare e prevedere. Questo rende le anomalie rare e difficili da rilevare.

Come il rilevamento di accessi utente anomali può essere d'aiuto

Gli strumenti di risposta agli incidenti possono identificare possibili violazioni degli utenti analizzando i tentativi di accesso non riusciti.

Figura 1: Rilevamento di accessi utente anomali in un set di dati

Fonte: Splunk ⁴

Caso di studio: un'azienda leader nel settore dei media

Una delle principali società di media si propone di individuare anomalie per proteggere le informazioni sensibili dai vettori di attacco informatico più comuni nei set di dati di diverse aziende.

Sfide

• Elevato rischio legato a terze parti: l'azienda che si affida a fornitori terzi per i servizi è esposta a maggiori vulnerabilità di sicurezza.
  
• Minacce interne : l'azienda ha dovuto affrontare sfide specifiche legate alle minacce interne, poiché i dipendenti del settore media dovevano accedere a informazioni e tecnologie sensibili.

Soluzioni e risultati

L'azienda mediatica ha implementato un software di analisi del comportamento di utenti ed entità (UEBA) per rilevare anomalie confrontando il comportamento attuale con i parametri di riferimento stabiliti.

• Analisi del comportamento di utenti ed entità (UEBA): l'azienda ha sfruttato l'UEBA per rilevare attività sospette in tempo reale e identificare anomalie nel comportamento degli utenti che potrebbero suggerire rischi per la sicurezza.
  
• Maggiore visibilità della rete : l'azienda ha acquisito una migliore comprensione del proprio livello di sicurezza monitorando e analizzando il comportamento degli utenti, il traffico di rete e le attività di sistema.
  
• Prevenzione avanzata delle minacce: il team di sicurezza dell'azienda ha monitorato comportamenti insoliti e anomalie, rilevando e segnalando attacchi mirati e identificando minacce sofisticate come i malware . ⁵

4. Gestione delle identità basata sul cloud

La sicurezza delle applicazioni basata sul cloud è un approccio volto a proteggere le applicazioni ospitate in ambienti cloud da potenziali minacce e vulnerabilità alla sicurezza.

Sfide aziendali

• Mancanza di visibilità: le organizzazioni con Molti servizi cloud sono accessibili al di fuori delle reti aziendali e tramite terze parti, e si può perdere il controllo di chi ha accesso ai propri dati.
  
• Multitenancy: le aziende con infrastrutture client multiple archiviate in ambienti cloud pubblici sono più vulnerabili agli attacchi informatici, poiché le infrastrutture client possono infettare i servizi ospitati come danno secondario.
  
• Gestione degli accessi e IT ombra: le organizzazioni che consentono l'accesso non filtrato ai servizi cloud da qualsiasi dispositivo o posizione potrebbero perdere il controllo sui punti di accesso negli ambienti cloud. Ad esempio, le organizzazioni con sistemi IT implementati da terze parti avranno uno scarso controllo sulla gestione degli accessi ai dispositivi. Ciò aumenterà l'IT ombra e potrebbe consentire agli aggressori di aggirare le limitazioni di rete.
  
• Conformità: le organizzazioni che non monitorano e registrano attivamente la sicurezza del cloud si trovano ad affrontare notevoli rischi in termini di governance e conformità nella gestione dei dati dei clienti.

Come la gestione delle identità basata sul cloud può essere d'aiuto

• Configurazioni di sicurezza flessibili : le piattaforme cloud consentono configurazioni di sicurezza flessibili che possono essere adattate rapidamente al variare dei requisiti. Ad esempio, i team di sicurezza possono regolare dinamicamente le regole del firewall in base alle informazioni sulle minacce in tempo reale. Per saperne di più: Piattaforme di threat intelligence .
• Aggiornamenti di sicurezza regolari : i fornitori di servizi di sicurezza cloud (CSP) aggiornano regolarmente l'infrastruttura aziendale per proteggerla dalle minacce più recenti. Ad esempio, i CSP possono eseguire l'applicazione automatica di patch all'infrastruttura cloud per mitigare le vulnerabilità note.
  
• Funzionalità di sicurezza avanzate : i fornitori di servizi cloud (CSP) offrono funzionalità di sicurezza avanzate come la crittografia, la gestione delle identità e degli accessi (IAM) e il rilevamento delle minacce, la cui implementazione in locale può risultare complessa. Questo permette alle organizzazioni di utilizzare servizi di crittografia integrati per proteggere i dati sia a riposo che in transito. Ad esempio, i team di sicurezza possono utilizzare l'IAM per semplificare l'accesso degli utenti, consentendo l'utilizzo di un unico set di credenziali per accedere a più applicazioni (ad esempio, i dipendenti che utilizzano le proprie credenziali aziendali per accedere a e-mail, sistemi HR, strumenti di gestione dei progetti, ecc.).
• Riduzione delle spese in conto capitale : sfruttando i servizi cloud, le organizzazioni possono ridurre le spese in conto capitale associate all'acquisto e alla manutenzione di hardware di sicurezza locale. Ad esempio, possono utilizzare firewall e gateway di sicurezza basati sul cloud anziché investire in costoso hardware fisico.

Caso di studio: B. Braun

B. Braun è un'azienda del settore sanitario con sede in Germania e oltre 60.000 dipendenti. L'obiettivo di B. Braun era migliorare la sicurezza, garantire la conformità e gestire l'accesso a dati affidabili in un ambiente IT ibrido.

Sfide

• L'elevato turnover del personale causa una gestione complessa degli accessi: il panorama del personale di B. Brauons è in continua evoluzione a causa di cambi di ruolo, turnover e nuove assunzioni.
  
• Gestione manuale dei dati: i processi manuali di B. Braun rallentavano la creazione e la cancellazione degli account utente. Ciò aumentava il rischio di accesso non autorizzato ai dati e di mancato rispetto delle normative sulla sicurezza dei dati .
  
• Trasformazione digitale: B. Braun cercava un sistema di gestione delle identità per promuovere la trasformazione digitale. Pertanto, l'azienda necessitava di una soluzione in grado di comunicare sia con l'infrastruttura on-premise che con i servizi cloud come Office 365.

Soluzioni e risultati

B. Braun in Germania automatizza l'identificazione e la gestione degli accessi per migliorare la sicurezza.

• Garantire l'accesso appropriato alle persone giuste: B. Braund ha sfruttato la creazione e la chiusura automatizzate degli account. Ad esempio, si consideri il reparto Risorse Umane che inserisce le informazioni sui nuovi assunti (nome, posizione, reparto, data di inizio). La soluzione IAM ha aiutato l'azienda a creare automaticamente account utente per i nuovi assunti in diversi sistemi, come Active Directory (AD), il sistema di posta elettronica e l'archiviazione dei file.
  
• Controllo degli accessi migliorato: l'implementazione ha migliorato la conformità alle norme di sicurezza dei dati, riducendo il rischio di utilizzo non autorizzato. Ad esempio, il sistema IAM ha assegnato a ciascun utente un ruolo in base alla sua funzione lavorativa all'interno del dipartimento finanziario:
  
  • Responsabile finanziario : accesso completo a tutti i report finanziari, le transazioni e le funzioni amministrative.
  • Contabile : accesso ai registri delle transazioni giornaliere, ma non alle impostazioni amministrative.
• Notifiche digitali di accesso per gli utenti: B. Braun ha integrato la propria infrastruttura locale con servizi cloud come Office 365. I dipendenti potevano così monitorare lo stato di accesso delle proprie richieste. ⁶
  

5. Monitoraggio e analisi del traffico di rete dannoso

Il monitoraggio e l'analisi del traffico di rete dannoso possono aiutare le aziende a identificare attività anomale o sospette all'interno del traffico di rete che potrebbero indicare una minaccia o un attacco alla sicurezza.

Sfide aziendali

• Complessità e volume dei dati : i dati sul traffico di rete possono essere enormi, comprendendo milioni di pacchetti e connessioni al minuto. Analizzare questa vasta quantità di dati in tempo reale o quasi in tempo reale richiede algoritmi di rilevamento e infrastrutture scalabili ed efficienti.
• Variabilità dei modelli di traffico : i modelli di traffico di rete legittimi possono variare notevolmente in base all'ora del giorno, al comportamento dell'utente e all'utilizzo delle applicazioni. Distinguere tra variazioni normali e modelli effettivamente dannosi richiede tecniche sofisticate di rilevamento delle anomalie.
• Crittografia e problemi di privacy : il crescente utilizzo della crittografia (ad esempio, HTTPS, TLS) nelle comunicazioni di rete oscura il contenuto dei pacchetti, rendendo difficile l'ispezione del traffico alla ricerca di payload o schemi dannosi.

Come il monitoraggio e l'analisi del traffico di rete dannoso possono essere d'aiuto

Le funzionalità di monitoraggio e analisi del traffico di rete dannoso possono identificare rapidamente comportamenti anomali o sospetti all'interno del traffico di rete. Le organizzazioni possono utilizzare strumenti di audit della sicurezza di rete o strumenti di monitoraggio della rete in grado di identificare picchi nel traffico di rete o di porta. Questi sistemi possono:

• Monitorare la sicurezza della rete per individuare potenziali esfiltrazioni di dati.
• Analizzare le comunicazioni tramite proxy per identificare i valori anomali.
• Rileva i vettori di attacco, inclusi gli attacchi di negazione del servizio distribuiti (DDoS), l'attività delle botnet e i malware.

Caso di studio: Micron21

Micron21 è un distributore di prodotti per data center con sede a Melbourne.

Sfide

• Rete e larghezza di banda enormi: con la crescita della rete di Micron21 e l'aumento della quantità di larghezza di banda utilizzata, è diventato sempre più difficile valutare e classificare i modelli di traffico.
• Fonti di dati frammentate : i dati di Micron21 sono sparsi in diversi sistemi, dipartimenti e piattaforme, il che rende difficile ottenere una visione unificata.

Soluzioni e risultati

Micron21 ha implementato una soluzione di sicurezza di rete per monitorare la propria rete.

• Analisi del traffico di rete: Micron21 ha iniziato ad analizzare le cronologie delle aperture, i registri del traffico e i dati analitici accessibili.
• Monitoraggio della rete basato su gruppi IP: Micron 21 consente ai clienti di accedere e analizzare il proprio traffico all'interno del proprio gruppo IP, fornendo metriche di rete per il traffico che transita attraverso l'intervallo IP del cliente. ⁷

6. Gestione degli accessi privilegiati

La gestione degli accessi privilegiati (PAM) si riferisce alle pratiche e alle tecnologie utilizzate dalle organizzazioni per proteggere e controllare l'accesso agli account privilegiati, che dispongono di autorizzazioni e privilegi di accesso elevati all'interno di sistemi e reti IT.

Sfide aziendali

• Elevato numero di account: le organizzazioni possono gestire decine o addirittura centinaia di account privilegiati per consentire agli amministratori di svolgere compiti critici. Queste credenziali privilegiate rappresentano un rischio significativo per la sicurezza, poiché possono essere sfruttate dai loro proprietari o sottratte da intrusi a causa della mancanza di controllo degli accessi e di visibilità.
  • Controllo degli accessi : garantire che solo gli utenti autorizzati abbiano accesso agli account privilegiati e che tali utenti dispongano del livello minimo di accesso necessario per i loro ruoli.
  • Visibilità : Monitoraggio di tutti gli account privilegiati, inclusi quelli creati per impostazione predefinita, manualmente o tramite applicazioni.
• Gestione e revoca degli accessi: senza flussi di lavoro automatizzati o una soluzione di gestione degli accessi privilegiati (PAM), le organizzazioni avranno difficoltà a garantire la tempestiva attivazione e revoca degli account privilegiati per evitare accessi non autorizzati.

Come l'assegnazione della valutazione degli account privilegiati aiuta

L'assegnazione di autorizzazioni privilegiate a utenti, processi aziendali e sistemi può dimensionare correttamente i controlli di accesso. Ciò garantirà l'applicazione del principio del minimo privilegio e limiterà i diritti di accesso degli utenti al minimo indispensabile, mitigando i danni causati da minacce esterne e interne.

Per saperne di più: esempi di RBAC .

Caso di studio: un'azienda sanitaria regionale

Un'azienda sanitaria regionale con oltre 8.000 dipendenti in California.

Sfide

• Accumulo e sovra-assegnazione di privilegi: man mano che i dipendenti delle aziende ampliano le proprie mansioni, assumono nuovi compiti e privilegi, pur mantenendo l'accesso a quelli precedenti. Ciò determina un eccesso di privilegi ereditati.
• Informazioni incoerenti e obsolete relative a utenti, account, risorse e credenziali: l'azienda presentava diverse backdoor che consentivano l'accesso agli aggressori, inclusi ex dipendenti che avevano ancora accesso agli account aziendali.

Soluzioni e risultati

L'organizzazione ha implementato uno strumento di gestione degli accessi privilegiati (PAM) e ha effettuato verifiche sulle connessioni Secure Shell (SSH) tra ambienti UNIX e Linux per migliorare i controlli di accesso degli utenti.

• Controlli di accesso privilegiato robusti: l'implementazione ha semplificato l'attuazione di complesse modifiche alle mansioni, come la disabilitazione dell'accesso quando le persone con privilegi elevati lasciano l'azienda.
• Regole basate su criteri: l'azienda ha creato delle regole che consentono l'accesso agli account privilegiati in base a criteri specifici.
• Gestione delle sessioni privilegiate (PSM): l'azienda prelevava automaticamente le credenziali privilegiate da una cassaforte e registrava tutte le sessioni. ⁸

Software chiave per la sicurezza informatica per garantire processi aziendali sicuri

• Strumenti di microsegmentazione: consentono di segmentare una rete in unità più piccole e di applicare criteri di sicurezza specifici per ciascuna zona di rete.
• Strumenti di audit per la sicurezza di rete : identificano vulnerabilità e comportamenti dannosi per aiutare le aziende a mitigare gli attacchi informatici.
• Fornitori di DSPM : consentono di ottenere informazioni dettagliate sulla rete, in particolare sulla posizione, i livelli di accesso e l'utilizzo dei dati sensibili in tutto il cloud.
• Soluzioni per la gestione delle politiche di sicurezza di rete (NSPM): Sviluppare politiche e procedure per proteggere la rete e i dati di un'organizzazione da accessi, utilizzi, divulgazioni e interruzioni illegali.
• Software SDP : nasconde l'infrastruttura connessa a Internet (server, router, ecc.) in modo che terze parti e malintenzionati non possano vederla, sia che sia ospitata in locale o nel cloud.
• Software di audit del firewall : offre visibilità sugli accessi e le connessioni correnti del firewall.
• Analizzatori di traffico di rete (NTA) : raccolgono e analizzano i dati di flusso di rete per fornire informazioni sul volume, il tipo di traffico e le prestazioni dei dispositivi di rete.

Collegamenti di riferimento

1.

Tessian is Now Proofpoint | Proofpoint US

Proofpoint

2.

Automazione del monitoraggio delle minacce interne

3.

LaBella leverages Log360 to enhance its security posture

4.

Security Use Cases Enhanced by AI and ML - Thanks | Splunk

5.

Azienda leader nel settore dei media

6.

Una soluzione ai problemi della gestione degli accessi legacy

7.

Securing Datacenter Using NetFlow Analyzer - A case study

8.

IAM Healthcare Case Study : Deploying an Integrated PAM and IGA Solution - Integral Partners

Integral Partners LLC

Cem Dilmegani

Analista principale

Segui

Cem è analista principale presso AIMultiple dal 2017. AIMultiple fornisce informazioni a centinaia di migliaia di aziende (secondo SimilarWeb), tra cui il 55% delle aziende Fortune 500, ogni mese. Il lavoro di Cem è stato citato da importanti pubblicazioni globali come Business Insider, Forbes, Washington Post, società globali come Deloitte e HPE, ONG come il World Economic Forum e organizzazioni sovranazionali come la Commissione Europea. È possibile consultare l'elenco di altre aziende e risorse autorevoli che hanno citato AIMultiple. Nel corso della sua carriera, Cem ha lavorato come consulente tecnologico, responsabile acquisti tecnologici e imprenditore nel settore tecnologico. Ha fornito consulenza alle aziende sulle loro decisioni tecnologiche presso McKinsey & Company e Altman Solon per oltre un decennio. Ha anche pubblicato un report di McKinsey sulla digitalizzazione. Ha guidato la strategia tecnologica e gli acquisti di un'azienda di telecomunicazioni, riportando direttamente al CEO. Ha inoltre guidato la crescita commerciale dell'azienda deep tech Hypatos, che ha raggiunto un fatturato annuo ricorrente a 7 cifre e una valutazione a 9 cifre partendo da zero in soli 2 anni. Il lavoro di Cem in Hypatos è stato oggetto di articoli su importanti pubblicazioni tecnologiche come TechCrunch e Business Insider. Cem partecipa regolarmente come relatore a conferenze internazionali di settore. Si è laureato in ingegneria informatica presso l'Università di Bogazici e ha conseguito un MBA presso la Columbia Business School.

Visualizza il profilo completo

Sii il primo a commentare

Il tuo indirizzo email non verrà pubblicato. Tutti i campi sono obbligatori.

Nome

Indirizzo e-mail

Commento

0/450

Pubblica un commento