La visibilità a livello 7 (nello stack di riferimento di rete Osi), che permette di identificare e mappare i flussi generati dalle applicazioni, non è più sufficiente per distinguere i traffici legittimi da quelli illeciti. Ne è convinta Intel Security McAfee che, nel suo recente white paper “Oltre la visibilità del Livello 7: un percorso più semplice verso l'intelligence degli endpoint”, afferma che “la segmentazione dei flussi di traffico per applicazione non è molto utile nello scoprire i contenuti delle singole sessioni, specialmente quando gli eseguibili malevoli possono efficacemente impersonare i processi delle applicazioni legittime”.
Per ovviare a questi limiti, Intel Security McAfee propone un’architettura, McAfee Endpoint Intelligence, che innalza la visione oltre il livello delle applicazioni e la estende agli specifici processi applicativi che avviano una connessione. In questo modo, secondo il fornitore di security, “diventa molto più facile capire gli eventi legati alla sicurezza” ed è possibile approfondire lo “lo stato della sicurezza degli endpoint”.
Questione di reputazioni e comportamenti
L’architettura combina l’analisi dell’attività sulla rete con quella del comportamento dell’applicazione, senza entrare nel contenuto dei messaggi. Uno dei principali protagonisti di questo modello è McAfee Endpoint Intelligence Agent, un agente leggero che associa ogni sessione con il sistema host, l'utente e il processo applicativo.
Ogni qualvolta un processo applicativo in un endpoint protetto richiede una connessione di rete, questo plug-in invia un pacchetto di metadati a McAfee Network Threat Behavior Analysis, un servizio di correlazione delle minacce che associa le attività degli eseguibili negli endpoint alle connessioni di rete e ai flussi di traffico. McAfee Network Threat Behavior, inoltre, effettua correlazioni alle informazioni sulla reputazione fornite da McAfee Global Threat Intelligence, un servizio cloud-based che raccoglie e correla dati provenienti da una rete mondiale di nodi-prodotto distribuiti. Per meglio comprendere le caratteristiche e il funzionamento della soluzione, scarica il white paper.
Normalità e anomalie da affrontare
La soluzione McAfee Endpoint Intelligence permette di elaborare, per usare le parole degli autori del white paper, “una linea di fondo dell’osservazione, che rappresenta il normale comportamento in rete, e permette di individuare rapidamente le eccezioni, indice di rischi e minacce”. Le anomalie sono inviate alla soluzione McAfee Network Security Manager, che le raggruppa ed evidenzia nella dashboard del malware, per essere valutati dal team di sicurezza. I responsabili della security possono, con l’aiuto di McAfee Network Threat Behavior Analysis, impostare dei filtri per ignorare o mettere in evidenza eventi per elaborare white o black list, bloccare attacchi e correggere gli host compromessi.
