Valutare e monitorare l'infrastruttura con un framework Zero Trust

  • 4 minuti

La valutazione dell'infrastruttura, detta anche monitoraggio dell'infrastruttura, è un processo che consente di valutare, gestire e analizzare la capacità e le prestazioni dell'infrastruttura IT, ad esempio server, applicazioni, macchine virtuali, database, contenitori e altri componenti IT back-end. Le organizzazioni implementano la gestione della configurazione per definire le impostazioni e le configurazioni per tutto il software e l'hardware. L'obiettivo principale della gestione della configurazione è consentire alle organizzazioni di pianificare, monitorare, controllare e determinare i requisiti e le configurazioni per l'infrastruttura.

Monitoraggio dell'infrastruttura

Il corretto monitoraggio dell'infrastruttura richiede che le organizzazioni dispongano di parametri chiaramente definiti per ciò che viene misurato e monitorato e come ciò viene eseguito. L'implementazione di procedure consigliate e l'uso degli strumenti appropriati disponibili per un monitoraggio efficace dell'infrastruttura consentono alle organizzazioni di risparmiare tempo e ridurre i costi. Per ottimizzare le operazioni di sicurezza e avere una chiara visibilità, è possibile implementare le tecnologie seguenti che offrono monitoraggio e analisi in tempo reale.

Security Information Event Management

La Security Information Event Management (SIEM) è una combinazione di Security Information Management (SIM) e Security Event Management (SEM). Le soluzioni SIEM migliorano la consapevolezza della sicurezza identificando le minacce e le vulnerabilità in base alle anomalie del comportamento degli utenti. Il software SIEM tiene traccia, registra e raccoglie dati da vari dispositivi di sicurezza a scopo di conformità e controllo. Segnala alle organizzazioni potenziali minacce, violazioni della sicurezza o problemi normativi e di conformità.

Security Orchestration, Automation and Response

La Security Orchestration, Automation and Response (SOAR) combina in un'unica piattaforma la gestione delle minacce e delle vulnerabilità (orchestrazione), l'automazione delle operazioni di sicurezza e la risposta agli eventi imprevisti di sicurezza. La tecnologia SOAR orchestra e automatizza le attività manuali di analisi e risposta alle minacce.

  • L'orchestrazione dellasicurezza coordina e integra vari strumenti di sicurezza e produttività, ad esempio scanner di vulnerabilità, firewall, statistiche sul comportamento degli utenti, sistemi di rilevamento e prevenzione delle intrusioni e piattaforme SIEM.
  • L’automazione della sicurezza analizza i dati raccolti dall'orchestrazione della sicurezza e automatizza i flussi di lavoro e le attività standard, ad esempio l'analisi delle vulnerabilità, l'analisi dei log e il controllo. Attiva avvisi di sicurezza e potenziali intrusioni.
  • La risposta alla sicurezza funziona con processi automatizzati e manuali per pianificare, gestire, monitorare e segnalare gli eventi imprevisti per supportare una risposta tempestiva alle minacce alla sicurezza.

Sia le piattaforme SOAR che SIEM raccolgono, monitorano e analizzano i dati da più origini. Esistono tuttavia alcune differenze sul modo in cui ogni piattaforma implementa ed esegue i processi di sicurezza. Ad esempio, i sistemi SIEM raccolgono dati, determinano anomalie, valutano le minacce e inviano avvisi agli analisti della sicurezza quando si verifica una potenziale minaccia. I sistemi SOAR integrano una gamma più ampia di strumenti ed applicazioni interni ed esterni e gestiscono allo stesso tempo le stesse attività. La tecnologia SOAR usa l'intelligenza artificiale per automatizzare il rilevamento delle minacce e la risposta agli eventi imprevisti. Ciò consente l'invio di un avviso relativo a un evento imprevisto di sicurezza prima che si verifichi. Entrambe le piattaforme possono essere usate insieme per le operazioni di sicurezza complessive.

Rilevamento e risposta di endpoint

Endpoint Detection and Response (EDR) è una tecnologia che monitora e rileva potenziali minacce o attività sospette che si verificano negli endpoint. L'obiettivo principale delle soluzioni EDR è fornire avvisi in tempo reale e visibilità sulle minacce e sull'impatto sull'organizzazione, in caso di attacco.

Valutazione del comportamento del carico di lavoro

L'approccio Zero Trust garantisce una sicurezza proattiva contro le minacce per carichi di lavoro locali, cloud e ibridi.

Contrassegna automaticamente il comportamento sospetto

Esempi di comportamento sospetto possono essere un orario di accesso insolito o una posizione di un utente o un modo insolito di usare un'applicazione o un software. Le organizzazioni implementano intelligence sulle minacce e gli strumenti di risposta, allineate alla strategia Zero Trust, per difendersi dagli utenti malintenzionati. La Threat Intelligence e gli strumenti di risposta segnalano eventuali comportamenti o attività sospette che si verificano nelle risorse. Questa operazione viene eseguita generando avvisi quando viene rilevato un evento imprevisto di sicurezza o un problema di conformità.

Blocco automatico del comportamento rischioso

Con tendenze come bring your own device (BYOD) e lavoro in remoto, i cambiamenti nel comportamento degli utenti sono usuali e destinati a verificarsi sempre più. Il principio Zero Trust di non fidarsi mai e verificare sempre, incoraggia le organizzazioni a implementare strategie di gestione dei rischi, che includono l'identificazione e la valutazione del comportamento umano. L'applicazione di configurazioni sicure e l'abilitazione di opzioni di rifiuto o blocco possono attenuare la minaccia di importanti eventi imprevisti relativi alla sicurezza.