Il vettore principale di attacco è la mail, confezionata e diretta a utenti target, spesso distratti da più attività svolte contemporaneamente.
Può capitare che anche un utente preparato e formato sui rischi legati all’apertura delle email, a causa dei ritmi di lavoro intensi, in alcuni casi non ponga la giusta attenzione alle attività che sta svolgendo.

Durante l’incontro dell’8 ottobre mostreremo come la distrazione dell’utente – e l’apertura di una email di phishing contenente come allegato una falsa fattura – possa essere individuata e risolta efficacemente grazie alle attività di un CSOC e la tecnologia IBM.
Gli attaccanti possono rimanere in un’organizzazione fino a 8 – 9 mesi prima di esser scoperti: si muovono lentamente e in silenzio, ricercando dati preziosi e coprendo le loro tracce.
I team di sicurezza devono avere la capacità di coglierei segnali e gli indicatori di compromissione (IoC) attraverso una piattaforma in grado di correlare ed interpretare gli eventi di sicurezza sulla rete aziendale in tempo reale. IBM QRadar Security Intelligence Platform è la soluzione in grado di analizzare i dati di sicurezza, correlarli, comprendere il contesto in cui si sta verificando l’attacco attraverso l’analisi di eventi, flussi di rete ed elementi di reputazione degli indirizzi IP, comprendere le azioni svolte dagli utenti per dare la capacità di gestire il rischio e reagire agli attacchi.
Sfruttando Qradar e l’intelligenza di Watson che permette di velocizzare le attività di analisi, è possibile svolgere un primo controllo su eventi e flussi che caratterizzano l’allarme appena generatosi.
Le analisi sfruttano i feed di intelligence di x-force per individuare l’indirizzo IP da dove proviene la minaccia. Grazie a QNI inoltre si possono avere delle informazioni di contesto per un’analisi più dettagliata dell’email ricevuta.

Tecnologie

IBM® QRadar® SIEM rileva le anomalie, scopre le minacce più sofisticate e rimuove i falsi positivi. Accorpa i dati degli eventi di log e di flusso di rete da migliaia di dispositivi, endpoint e applicazioni distribuiti in una rete. Utilizza quindi un motore Sense Analytics avanzato per normalizzare e correlare tali dati e identifica gli attacchi alla sicurezza che richiedono un’indagine. Può integrare in modo opzionale IBM X-Force® Threat Intelligence, che fornisce un elenco degli indirizzi IP potenzialmente sospetti, inclusi: host malware, fonti di spam e altre minacce. QRadar SIEM è disponibile on-premises e in un ambiente cloud.

  • Fornisce visibilità praticamente in tempo reale
  • Riducie e prioritizza gli alert
  • Ottimizza il rilevamento delle minacce
  • Gestisce facilmente la conformità

Cognitive security con Watson
La cognitive security è l’intelligenza artificiale progettata per aumentare l’intelligenza umana, l’apprendimento attraverso ogni interazione per individuare, analizzare e fornire insight utili sulle minacce in tempi rapidi.

IBM MaaS360 with Watson™
Mobile devices: per migliorare la produttività e la sicurezza dei dati aziendali con IBM MaaS360.
IBM MaaS360 with Watson™ fornisce insight cognitivi, analitica contestuale e funzionalità di benchmarking in cloud per rendere rilevanti i piccoli dettagli quotidiani in ambito mobile – proteggendo al tempo stesso da una singola piattaforma endpoint, utenti, app, documenti e i loro dati.

IBM BigFix
Identifica e fornisce informazioni accurate e in tempo reale sugli endpoint – indipendentemente dal sistema operativo, dall’ubicazione o dalla connettività –
Interroga gli endpoint e riceve le risposte in pochi secondi.
Avere degli endpoint sani è fondamentale per la strategia di sicurezza.
Senza un sistema di rilevamento, implementazione e attuazione efficace la probabilità di un attacco agli endpoint con esito positivo cresce in modo esponenziale.

Cisco Stealthwatch
Si avvale della telemetria dell’infrastruttura di rete esistente per il rilevamento avanzato delle minacce, l’analisi forense approfondita e la segmentazione della rete semplificata.

Cisco Advanced Malware Protection (AMP)
offre intelligence globale sulle minacce, sandbox avanzata e blocco del malware in tempo reale per prevenire le violazioni.

Cisco Umbrella – secure internet gateway
E’ una piattaforma di sicurezza che fornisce una prima linea di difesa per proteggere i dipendenti dentro e fuori la rete aziendale. Umbrella blocca le minacce verso tutte le porte e i protocolli, garantendo così una protezione totale. Blocca l’accesso a domini, URL, IP e file maligni prima che venga stabilita la connessione o scaricato un file, garantendo copertura di tutto il traffico. 

Cisco Network Admission Control (NAC)
La soluzione NAC di Cisco permette di delegare al network la verifica e il controllo della conformità alle policy di sicurezza per tutte le periferiche che cercano di accedere alla rete. L’accesso è permesso solamente a dispositivi conformi e affidabili (inclusi PC, server, telefoni IP e stampanti), mentre può essere negato a periferiche non conformi che in tal caso vengono reindirizzate ad un’area di quarantena ed eventuale remediation.

Cisco SD-WAN vAnalytics
Disponibile semplicemente come uno dei livelli di licenza di Cisco SD-WAN, è basata sulla tecnologia Viptela, si tratta di una soluzione Saas di dati, analisi e suggerimenti correttivi con una visibilità a 360 gradi su tutta la WAN, dalle filiali, agli endpoint multicloud, anche su diversi service provider. Gli utenti possono prevedere anche le conseguenze di eventuali cambiamenti nelle policy della WAN senza implementarli, per simulare nei nuovi scenari il comportamento delle applicazioni.
Per esempio è possibile analizzare la risposta dell’infrastruttura WAN sulle prestazioni delle telecamere di videosorveglianza su IP o di un’applicazione basata su cloud estesa su più filiali. Siamo di fronte quindi a uno strumento che avvicina alla realizzazione di una rete intuitiva end-to-end, anche in una “porzione” di rete, la WAN che con la sua centralità è particolarmente difficile da gestire e controllare.

Cisco Meraki 
Rende disponibile gli Insight; si tratta in questo caso di uno strumento integrato nel pannello di controllo Meraki per aiutare l’IT a migliorare l’esperienza degli utenti finali. La soluzione fornisce visibilità end-to-end prestazionale su applicazioni e prestazioni WAN. Grazie a Meraki Insight, i clienti possono comprendere e risolvere problemi interni ed esterni che avrebbero impatto negativo sull’esperienza dell’utente per le applicazioni ospitate in un data center remoto o nel cloud.