Cyber attacks happen! Nell’era della digitalizzazione e della diffusione massiccia di applicazioni cloud, device mobili e IoT e dove sono sempre più protagonisti fenomeni quali lo smart working non si può negare la possibilità di essere colpiti da un attacco informatico.
Partendo da questo presupposto il system integrator Lantech Longwave (Zucchetti Group) offre il proprio supporto alle aziende che, inevitabilmente, devono dotarsi di tecnologie, strumenti e competenze per far fronte a eventuali problemi.
In particolare, le organizzazioni hanno bisogno di tutto il necessario che consente agli analisti che si occupano di sicurezza (ma sempre più anche a tante altre figure aziendali, dagli amministratori IT agli stessi utenti finali) di venire a conoscenza di possibili infezioni in tempo reale, o quasi, in modo da poter organizzare azioni di containment & remediation.
Cisco Threat Response (CTR) è la soluzione individuata da Lantech Longwave per rispondere a questa necessità: si tratta di una piattaforma centralizzata di visibility, investigation, response e incident management in grado di correlare le evidenze provenienti dalle singole piattaforme e agire quale cruscotto unico per pilotare le azioni di enforcement e risposta verso le soluzioni di management dedicate.
Il prodotto non funziona quindi a partire da un evento singolo e delocalizzato per avviare il processo di investigazione, ma effettua una correlazione di IOC (indicatori di compromissione, quali informazioni di contesto e di settore, hash, feeds di intelligence, behavioural analytics eccetera) in un solo pannello all’interno del quale gli operatori del SOC – Security operation center, così come chiunque esegua attività di analisi e investigazione su problemi di security, siano in grado di avere visibilità a 360°, completa e retrospettiva, su ciò che è accaduto all’interno dell’infrastruttura.
Come funziona Cisco Threat Response
Nello specifico, per ridurre il più possibile i processi e quindi i tempi di analisi e investigazione, CTR integra feeds esterni di threat intelligence e log interni generati da utenti, device e sistemi presenti nell’infrastruttura di riferimento.
La ricerca di occorrenze è facile e versatile grazie a un campo di ricerca che permette di inserire file hash, IP address, domini, MAC Address, URL, Syslog Messages, security alerts, email subject eccetera.
Oltre a tutto questo, l’integrazione nativa di soluzioni Cisco Security e portali di intelligence (per esempio Talos, Virus Total e così via) permette l’esecuzione di attività direttamente dal cruscotto CTR, per esempio per quanto riguarda la quarantena dei client, limitazioni di accesso verso IP malevoli o blocco di domini e-mail sospetti.
Cisco Threat Response è in grado, inoltre, di interfacciarsi con alcune soluzioni Siem – Security information and event management e Soar – Security orchestration, automation and response per le quali sono disponibili open API.
Il risultato finale offerto da CTR è un grafico relazionale in grado di fornire a colpo d’occhio l’interazione tra le parti. La visualizzazione grafica guida l’utente nell’analisi congiunta sulle varie fonti, al fine di fornire un quadro d’insieme su chi, cosa, come e dove sia interessato da un particolare evento.
In particolare, sotto la vista denominata “Incidents” è possibile avere visibilità di un summary di tutti gli eventi/alert la cui categorizzazione beneficia dell’apporto della threat intelligence per prioritizzare e, nel caso, scalare, eventi critici che magari da una semplice osservazione, lato console proprietaria, non sarebbero stati individuati. Grazie a questa feature è possibile avere una vera e propria dashboard di incident management per permettere all’analista di potersi focalizzare sugli eventi che meritano più attenzione.
In pratica, la vista aggregata da diverse fonti, unita alla possibilità di coordinare le azioni di remediation direttamente dalla console di CTR, permettono di incontrare l’esigenza di rispondere velocemente e con grande efficacia a un problema.
L’accesso a CTR è gratuito per gli utenti che hanno scelto almeno una delle soluzioni Cisco Security, tra cui: Amp for Endpoint, Threat Grid, Cisco Umbrella, Cisco E-Mail, Next-Gen Firewall e Stealthwatch Enterprise.