Andare oltre il concetto di endpoint come perimetro di controllo e trasformare tutti quelli presenti in azienda in sensori di rete distribuita, offre una visibilità pervasiva sull’intera infrastruttura consentendo di monitorare i carichi di lavoro, le reti e gli utenti in un ecosistema scalabile e aperto, riducendo i punti ciechi e fornendo una protezione completa: tutto ciò è possibile grazie a una piattaforma come VMware Carbon Black XDR in grado di combinare eventi di sicurezza con i flussi di rete e preservando ed estendendo i contesti di gestione di endpoint, rete e utenti durante l’analisi e la visualizzazione.
In questo modo è possibile rafforzare la cosiddetta sicurezza laterale ed estendere il rilevamento della rete dell’EDR aziendale.
VMware Carbon Black XDR rappresenta una soluzione di eXtended Detection and Response che può essere implementa senza modifiche all’infrastruttura e unifica gli strumenti di sicurezza per migliorare la visibilità dei pacchetti e dei processi, facendo di SOC e NOC un connubio eterogeneo di verifica e analisi.
L’agilità di funzionamento e il deploy pressoché immediato, con le opportune licenze, lo rendono un prodotto adatto a piccole e medie aziende oltre che a grandi realtà.
Indice degli argomenti
VMware Carbon Black XDR: piena visibilità per la sicurezza aziendale
VMware Carbon Black XDR è la più recente evoluzione degli strumenti di sicurezza dalla casa VMware. Il processo di estensione del rilevamento e della risposta degli endpoint con la telemetria di rete e dell’utente offre un miglioramento significativo rispetto alla telemetria accessibile da un singolo pannello di controllo, fornendo la visibilità completa necessaria per ottenere il massimo livello di profondità nelle azioni di risposta intraprese in tutto l’ambiente.
VMware Carbon Black XDR aggiunge le funzioni di Identity Intelligence, Intrusion detection e visibilità di rete al Carbon Black Cloud (CBC), rafforzando la sicurezza laterale e la visibilità complessiva.
Le funzionalità di Identity Intelligence fornisce visibilità agli eventi incentrati sull’utente che sono indicativi di attività dannose e correlano questi dati utente con la visibilità dei processi e della connessione di rete. Il sensore di rete è integrato con un eventuale sensore Carbon Black Cloud già esistente; quindi, non è necessario agire sulla rete o distribuire software aggiuntivo.
Inoltre, non sono necessarie modifiche alla configurazione preesistente per ottenere una visibilità integrale.
Differenza tra Carbon Black XDR e Carbon Black EDR
EDR si riferisce a una soluzione di sicurezza che rileva e risponde alle minacce sugli endpoint, come desktop, laptop e carichi di lavoro. Carbon Black Enterprise EDR raggiunge questo obiettivo registrando e memorizzando continuamente i dati di attività degli endpoint (processi ed eseguibili binari), consentendo ai professionisti della sicurezza di rilevare le minacce per attività anomale utilizzando l’intelligenza delle minacce e i rilevamenti personalizzabili in tempo reale e visualizzano la catena di eliminazione degli attacchi al completo.
La versione XDR, invece, rappresenta una soluzione di sicurezza integrale che va oltre gli endpoint e comprende i dati da più punti di controllo.
Estendendo Carbon Black Enterprise EDR, VMware Carbon Black XDR offre la modernizzazione del SOC (Security Operation Center) consentendo un rilevamento, una visualizzazione e analisi rapidi e accurati di endpoint, rete, carico di lavoro e dati degli utenti nel contesto.
Carbon Black XDR evidenzia nuovi risultati preservando ed estendendo i contesti endpoint e di rete durante l’analisi e la visualizzazione. Oltre all’Identità, alla visualizzazione interattiva ed espandibile della catena di attacco e al rilevamento del comportamento personalizzabile che si ottiene con Carbon Black Enterprise EDR, si aggiunge IDS, visibilità di rete e tag XDT.
Rilevamento delle intrusioni IDS
Poiché le difese di rete e i perimetri tradizionali perdono visibilità a causa del lavoro remoto, gli analisti SOC possono ora utilizzare gli endpoint con il sistema di rilevamento delle intrusioni basato su Host (IDS) per colmare le lacune.
Gli avvisi IDS identificano istantaneamente i comportamenti di rete dannosi senza aprire un caso o cambiare contesto.
Lo scopo del sistema IDS è quello di rilevare e rispondere alle attività dannose. Se stiamo monitorando l’attività su un host per segni di comportamenti sospetti, tentativi di accesso non autorizzati o traffico di rete insolito, si utilizzano un mix di rilevamento e analisi comportamentale basati su firma per identificare potenziali minacce alla sicurezza.
Inoltre, gli analisti beneficiano dell’etichettatura tattica TAG delle procedure (TTP), in cui la mappatura a TTP all’interno del framework MITRE ATT&CK è automatica. Carbon Black XDR aggiunge anche tag TTP agli eventi di visibilità di rete.
Visualizzazione e ricerca della catena di attacco
VMware nel suo prodotto EDR fornisce una visualizzazione intuitiva della catena di attacco per rendere le cause principali di identificazione rapida e facile.
Gli analisti possono saltare rapidamente attraverso ogni fase di un attacco per ottenere informazioni sul comportamento dell’attaccante, colmare le lacune di sicurezza e imparare da ogni nuova tecnica di attacco per evitare di cadere vittima dello stesso attacco due volte.
VMware Carbon Black XDR, invece, estende questa visualizzazione offrendo visibilità di rete all’interno della stessa console. L’analista, quindi, non ha bisogno di cambiare contesto o aprire un caso con il proprio IT.
I vantaggi di VMware Carbon Black XDR
In sintesi, sono la riduzione del tempo medio di rilevamento (MTTD) e il tempo medio alla risposta (MTTR).
Uno dei principali vantaggi di questo XDR è la distribuzione dinamica. VMware Carbon Black XDR offre la telemetria di rilevamento e risposta estesa (XDR) senza modifiche all’infrastruttura o agli endpoint. Tutto ciò che serve è la licenza corretta e la distribuzione del sensore 3.9.x+.
Altro pregio è la “visibilità istantanea degli endpoint attraverso gli endpoint” usando questi come sonde per i carichi di lavoro, la rete e le attività degli utenti. Attraverso un Cloud appositamente costruito si raccolgono tutti i dati di processo, di rete e utente da un singolo sensore.
Con VMware Carbon Black XDR si ha il potere di rispondere e rimediare in tempo reale, arrestando gli attacchi attivi e riparando rapidamente i danni. Ridurre la complessità, accelerare le indagini e ridurre notevolmente il tempo di permanenza e, infine, ridurre il tempo di rilevamento medio e il tempo medio per la risposta.
Le principali capacità di VMware Carbon Black XDR
VMware Carbon Black XDR offre le seguenti funzionalità di base che gli consentono di fornire visibilità istantanea, rafforzando al contempo la sicurezza laterale, accelerando il rilevamento e la risposta e riducendo i tempi di permanenza.
La visibilità della connessione di rete consente ai clienti di visualizzare e analizzare i dati di rete nel contesto, utilizzando Carbon Black Cloud (CBC).
La telemetria della rete XDR include l’acquisizione e l’analisi continua delle impronte digitali di rete, dei dati di flusso e TLS e dei dati del protocollo delle applicazioni.
VMware Carbon Black XDR fornisce anche visibilità agli eventi incentrati sull’utente che sono indicativi di attività dannose, come varie forme di uso improprio dell’account, comportamento di autenticazione anomalo e minacce interne.
L’intelligenza dell’identità fornisce informazioni sull’attività dell’account utente per il contesto, la correlazione e l’analisi. Approfondimenti come accesso, modifiche dell’account, escalation dei privilegi e modalità di utilizzo degli account di dominio locale sulla rete. Sebbene queste attività possano essere di normale routine, talvolta possono anche indicare un comportamento dannoso.
Open Ecosystem XDR come booster del prodotto
VMware Carbon Black XDR partecipa all’Open Ecosystem XDR attraverso la XDR Alliance (xdralliance.com), un gruppo di fornitori di tecnologia di sicurezza e informazioni di best-in-class organizzato per aiutare i team di sicurezza a progettare e implementare facilmente funzionalità di rilevamento, indagine e risposta efficaci.
Gli approcci XDR dell’ecosistema aperto sfruttano i migliori dati di visibilità possibili da una varietà di sistemi, collegandosi tra i punti di controllo e facilitando l’automazione della sicurezza. Open XDR è “vendor agnostic” e flessibile che consente la migliore sicurezza a livello globale, sfrutta gli strumenti esistenti senza bisogno di fare giochi di brand.
Questo approccio “aperto” contrasta con approcci chiusi o solo SIEM. gli XDR dell’ecosistema chiuso costringono i team IT a rimanere nell’infrastruttura esistente, e stare bloccati in un singolo fornitore, il che significa che i team di sicurezza molte volte non sono in grado di sfruttare al meglio le potenzialità dei prodotti.
Conclusioni
Un prodotto che, grazie alle sue interessanti funzionalità si colloca sul podio della sua categoria.
In poche parole, si tratta di un incrocio tra XDR, intelligenza artificiale, vantaggi Cloud e tanto altro.
Abbiamo cercato di trovare alcune note negative senza riuscirci: un’ammiraglia di tutto rispetto e di altissima qualità.