Kaspersky ha apportato dei miglioramenti alla piattaforma di threat intelligence CyberTrace per includere funzionalità aggiuntive come il triage dell’alert, l’analisi dei dati sulle minacce e le indagini sugli incidenti.
La nuova edizione a pagamento si integra con tutte le soluzioni SIEM (Security Information and Event Management) oltre che a piattaforme di controllo di sicurezza più comuni e fornisce una rappresentazione grafica che aiuta a rispondere agli eventi in modo efficiente.
La versione community edition di CyberTrace, invece, rimane disponibile gratuitamente.
Il concetto da cui è partita Kaspersky, infatti, è che esistono molteplici fonti di threat intelligence che elaborano costantemente grandi volumi di informazioni e generano milioni di avvisi. I dati vengono spesso proposti in formati differenti e frammentati e questa problematica rende molto difficile la prioritizzazione efficace, il triage e la convalida degli alert di sicurezza. Ecco perché l’identificazione delle minacce reali rimane una delle principali sfide per i team di sicurezza IT.
Threat Intelligence centralizzata per chi si occupa di incident response
Kaspersky ha, dunque, aggiornato la soluzione CyberTrace, trasformandola da strumento di fusione e analisi della threat intelligence a una piattaforma centralizzata di Threat Intelligence. L’obiettivo di questa evoluzione è quello di rendere più semplici ed efficaci tutte quelle attività di indagine e risposta alle minacce cosi come le operazioni di sicurezza IT per tutti i team che si occupano di sicurezza aziendale e di incident response.
La nuova edizione della soluzione è stata aggiornata con funzionalità avanzate che permettono ai team di sicurezza di condurre ricerche complesse su tutti gli Indicatori di Compromissione (IoC), di analizzare i rilevamenti ottenuti da eventi precedentemente esaminati e di misurare l’efficacia dei feed integrati grazie anche all’utilizzo di una matrice di intersezione dei feed. Il software offre anche un’API pubblica per l’integrazione con i flussi di lavoro automatizzati. Inoltre, la piattaforma supporta adesso le funzionalità Multiutente e Multitenancy per il controllo delle operazioni eseguite da diversi utenti e la gestione separata degli eventi che fanno capo a comparti diversi.
L’edizione a pagamento, adatta alle enterprise e agli MSSP (Managed Security Service Provider), supporta tutte queste caratteristiche e permette di elaborare e scaricare un numero illimitato di EPS e IoC. Come già accennato a inizio articolo, invece, la versione community edition di Kaspersky CyberTrace rimane invece gratuita. Questa versione comprende tutte le funzionalità fornite dalla soluzione a pagamento, così come le nuove funzioni aggiornate, tranne la possibilità di aggiungere account multiutenti e multitenancy. Elabora poi un numero limitato di eventi al secondo (fino a 250) e limita il numero di indicatori di compromissione scaricabili (fino a un milione massimo).
Approccio unico di integrazione
Kaspersky CyberTrace si integra con tutte le soluzioni SIEM e i controlli di sicurezza più comuni, supportando qualsiasi feed di threat intelligence nei formati STIX 2.0/2.1/1.0/1.1, JSON, XML e CSV. Per impostazione predefinita, la soluzione integra l’ampio portfolio del Kaspersky Threat Data Feeds sviluppato dagli esperti dell’azienda, tra cui i security analysts a livello globale e i team del GReAT e di R&D. La piattaforma risolve il problema dell’inserimento di molti Indicatori di Compromissione (IoC) nei SIEM che può portare a ritardi nell’elaborazione degli incidenti e a mancati rilevamenti. Kaspersky CyberTrace estrae automaticamente gli IoC dai log che arrivano ai SIEM e li analizza internamente tramite l’utilizzo di un motore interno, appositamente sviluppato. Questo permette di elaborare più rapidamente un numero illimitato di IoC senza peraltro sovraccaricare il SIEM.
Praticità d’uso
Una dashboard con dati statistici di rilevamento suddivisi per le diverse fonti di TI aiuta gli utenti a identificare e misurare quali flussi di threat intelligence sono più rilevanti per l’organizzazione, mentre la funzione multi-tenancy facilita la condivisione delle informazioni e il reporting in merito alle pratiche di threat intelligence per i decision-makers, consentendo agli utenti di gestire eventi da comparti diversi (tenants).
La capacità di etichettare gli IoC aiuta gli utenti a valutare l’importanza di un incidente. Gli IoC possono anche essere automaticamente ordinati e filtrati in base ai tag e alla loro importanza. Questa caratteristica semplifica la gestione dei gruppi di IoC e la loro rilevanza.
Strumenti pratici per la threat investigation
Per acquisire il quadro completo di un incidente e comprenderne l’entità il servizio ora include il Research Graph. Questo strumento aiuta gli analisti a studiare le relazioni tra gli indicatori e a tracciare una rappresentazione grafica del perimetro dall’incidente per rispondere con maggiore efficacia. Le relazioni sono costruite in base ai feed incorporati nel CyberTrace, alle integrazioni del Threat Intelligence Portal e agli indicatori inseriti manualmente. L’utilizzo delle API permette agli analisti di analizzare e gestire la threat intelligence o di integrare facilmente la piattaforma con strumenti di automazione e orchestrazione, spesso presenti in ambienti complessi.
Come sottolineato in una nota ufficiale da Ariel Jungheit, Senior Security Researcher di Kaspersky: «Data la crescente complessità del panorama delle minacce informatiche attuale, le organizzazioni hanno bisogno di soluzioni complete per rilevare, indagare e rispondere più velocemente e meglio alle minacce. La versione aggiornata di Kaspersky CyberTrace per le imprese e gli MSSP permette di avere una grande flessibilità oltre che una ricca funzionalità out-of-the-box. La flessibilità è data dalla personalizzazione applicabile ai singoli avvisi, dal triage e dalla valutazione sulla base di varie fonti di Threat Intelligence, che insieme permettono ai team di sicurezza di concentrarsi sulle notifiche più rilevanti».
Per avere maggiori informazioni sulle nuove funzionalità della piattaforma CyberTrace è possibile visitare il sito ufficiale.
A questo link è possibile acquistare la soluzione.