Qualys, fornitore di soluzioni di sicurezza e compliance basate sul cloud, ha apportato importani aggiornamenti ad Indication of Compromise (IOC), una app integrata disponibile sulla Qualys Cloud Platform.
Le nuove funzionalità di rilevamento, analisi e risposta di Qualys IOC 2.0 includono:
· Engine di valutazione basato sul comportamento, per prioritizzare la risposta agli incidenti
I responsabili della sicurezza spesso sprecano tempo prezioso nel valutare falsi allarmi, avvisi fantasma e infezioni malware che non hanno alcun impatto con soluzioni che forniscono una sola metrica di valutazione.
Il nuovo engine di valutazione degli incidenti di Qualys IOC aggiunge informazioni comportamentali, tra cui analisi del file, stato del processo e connessioni alla rete per assegnare priorità agli interventi in base al modo in cui l’attacco si comporta nel network. Ciò permette al team di sicurezza di prioritizzare la risposta agli attacchi più critici.
· Rilevamento degli attacchi migliorato utilizzando un Threat Feed completo per la reputazione dei file
Qualys IOC effettua il rilevamento di attacchi dannosi, sospetti e fileless – spesso non rilevati da antivirus – grazie all’integrazione nativa a livello di piattaforma di un provider leader di threat feed per la reputazione dei file.
In questo modo si migliora il rilevamento di attacchi, eliminando complessità e costi di altri prodotti necessari a correlare gli eventi nelle soluzioni SIEM esterne, che non garantiscono la scalabilità necessaria per gestire grandi volumi di eventi e individuare anche gli attacchi più moderni.
· Vedere i modelli di attacco in tempo reale e consultare lo storico velocizza analisi e intervento
Alimentato dai cluster Elasticsearch altamente scalabili della piattaforma Qualys, IOC memorizza i dati di telemetria degli eventi e gli indicatori relativi agli attacchi già processati, su molteplici dimensioni: serie temporali e indici di stato attuali.
Questo permette agli specialisti di rispondere a due delle domande più importanti per velocizzare le attività di analisi e risposta agli incidenti: “L’attacco è ancora in essere all’interno del mio network?” e “Quando si è già verificato in passato?”.
· Piattaforma di risposta in tempo reale per attività di segnalazione e intervento
Gli analisti possono configurare avvisi e notifiche, recapitati da un nuovo micro-servizio della piattaforma di risposta per distribuire le informazioni critiche necessarie ad analizzare e correggere gli incidenti, non appena questi di verificano.
Gli avvisi sono facili da gestire, utilizzano lo stesso linguaggio QQL (Qualys Query Language) già utilizzato dagli analisti della sicurezza per la visibilità immediata nei risultati di ricerca delle minacce, per le dashboard e per i widget. Le risposte iniziali includono avvisi via e-mail, integrazione con i sistemi di ticketing, pubblicazione sui canali Slack e creazione di incidenti PagerDuty. Ulteriori modalità di intervento verranno annunciate nel corso dell’anno.
· API ed integrazione con ecosistemi
L’API pubblica di Qualys IOC consente l’integrazione con SIEM di terze parti, nelle piattaforme di intelligence per le minacce, nei sistemi di gestione/risposta agli incidenti, nelle piattaforme di orchestrazione di security ed automazione risposta e nei sistemi di ticketing IT per automatizzare la condivisione rapida delle minacce con i responsabili della sicurezza e delle piattaforme operative IT.