{"id":14734,"date":"2023-11-30T07:00:00","date_gmt":"2023-11-30T06:00:00","guid":{"rendered":"https:\/\/www.cyberfero.com\/?p=14734"},"modified":"2023-11-29T10:43:56","modified_gmt":"2023-11-29T09:43:56","slug":"uso-socaas-aziende-parte-1","status":"publish","type":"post","link":"https:\/\/www.cyberfero.com\/it\/uso-socaas-aziende-parte-1\/","title":{"rendered":"Casi d’uso di un SOCaaS per le aziende parte 1"},"content":{"rendered":"\n

<\/path><\/svg><\/span><\/span>Estimated reading time: <\/span>7<\/span> minuti<\/span><\/p>\n\n\n\n

Le applicazioni di Cyber Threat Analytics monitorano i log di sicurezza e il network per rilevare in maniera tempestiva eventuali infezioni malware<\/strong> (per esempio, gli attacchi zero day<\/a> e i ransomware<\/a>), la compromissione del sistema, le attivit\u00e0 di \u201clateral movement<\/a>\u201d, pass-the-hash<\/a>, pass-the-ticket<\/a> e altre tecniche avanzate d\u2019intrusione. L\u2019uso di un SOCaaS permette di estrapolare dati da sorgenti come firewalls, proxy, VPN, IDS, DNS, endpoints, e da tutti i dispositivi connessi alla rete con lo scopo di identificare modelli dannosi come il \u201cbeaconing\u201d, connessioni a domini generati digitalmente, azioni eseguite da robot e tutti i comportamenti anomali.<\/p>\n\n\n\n

Il nostro sistema SOCaaS<\/a> \u00e8 dotato di intelligenza artificiale che arricchisce e trasforma gli eventi SIEM<\/a>, in modo da identificare le minacce nell’intero ambiente IT, includendo anche le applicazioni aziendali critiche.<\/strong><\/p>\n\n\n\n

Quali sono i vantaggi a livello aziendale?<\/h2>\n\n\n\n

L\u2019uso di un SOCaaS. Qui sotto \u00e8 riportata una lista con soltanto alcuni dei vantaggi che l\u2019uso di un SOCaaS pu\u00f2 comportare<\/strong> un rapido rilevamento delle violazioni, la riduzione dell’impatto di queste. Inoltre, un SOCaaS fornisce risposte e indagini complete sulle minacce, diminuisce i costi di monitoring e gestione, cos\u00ec come i costi di conformit\u00e0.<\/p>\n\n\n\n

L’uso di un SOCaaS permette, inoltre, di ricevere segnalazioni quantificate e non soggettive su minacce e rischi.<\/p>\n\n\n\n

\"uso<\/a><\/figure>\n\n\n\n

Casi d\u2019uso SOCaaS<\/h2>\n\n\n\n

Dopo una panoramica generale sui vantaggi che potrebbe offrire all\u2019azienda l\u2019uso di un SOCaaS, vediamo in quali contesti viene normalmente impiegato<\/strong>. <\/p>\n\n\n\n

Un SOCaaS \u00e8 costituito da elementi che sono molto idonei per essere applicati in caso di esecuzioni anomale di applicazioni, cos\u00ec come nell’analisi del traffico bot verso un sito web dannoso.<\/p>\n\n\n\n

In altri casi il SOCaaS individua query DNS insolite, una possibile attivit\u00e0 di comando e controllo a distanza, analizza gli spike in byte verso destinazioni esterni e quindi controlla anche il traffico, relazionandolo in un contesto applicazione\/porta.<\/p>\n\n\n\n

Altri scenari in cui l’uso di un SOCaaS \u00e8 ideale sono i rilevamenti di exploit, di sessioni dalla durata insolita, ma anche di connessioni a IP o domini in blacklist e di attivit\u00e0 anomale in genere.<\/p>\n\n\n\n

Infine, \u00e8 in grado anche di individuare attacchi di SPAM mirato e i tentativi di phishing<\/a>.<\/p>\n\n\n\n

Threat Models<\/h2>\n\n\n\n

Analizzando gli indicatori di minaccia \u00e8 possibile rilevare comportamenti correlati su pi\u00f9 origini di dati, per rilevando anche tutte quelle minacce che solitamente passano inosservate. Molteplici indicatori di minaccia che si verificano in uno schema e che coinvolgono entit\u00e0 simili tendono a presentare un maggior rischio di costituire una minaccia reale.<\/p>\n\n\n\n

I Threat Models<\/em> definiscono questi schemi e combinano le policy e gli indicatori di minaccia per rilevare i comportamenti correlati su pi\u00f9 sorgenti di dati, identificando le minacce che potrebbero passare inosservate.<\/strong> In seguito sono riportati alcuni dei Threat Models pi\u00f9 comuni che sono inclusi nell’uso di un SOCaaS<\/p>\n\n\n\n

Rilevamento dei Lateral Movement<\/strong><\/h3>\n\n\n\n

Questo Threat Model rileva i possibili scenari di \u201clateral movement<\/a>\u201d, impiegati dagli aggressori per diffondersi progressivamente in una rete alla ricerca di risorse e dati chiave.<\/strong> I segnali di un attacco del genere possono essere vari e li possiamo dividere in tre categorie: Autenticazione anomala, privilegi sospetti, processo anomalo.<\/p>\n\n\n\n

Autenticazione anomala<\/strong> \u00e8 solitamente individuabile tramite alcuni indizi. Per esempio se un account accede a un host mai raggiunto prima. Oppure se vengono usate credenziali esplicite su pi\u00f9 host, oppure ancora se viene rilevato un tipo\/processo di autenticazione sospetto. <\/p>\n\n\n\n

Per quello che riguarda<\/strong> i privilegi sospetti, ecco alcuni indicatori rilevabili con l’uso di un SOCaaS:<\/p>\n\n\n\n