MITRE ATT&CK in Skyhigh Security's CASB - Difendere con precisione

3 giugno 2022

Di Rodman Ramezanian - Consulente per la sicurezza del cloud aziendale, Skyhigh Security

Come disse notoriamente l'antico stratega militare Sun Tzu: "Se conosce il nemico e conosce se stesso, non deve temere il risultato di cento battaglie".

Skyhigh Cloud Access Security Broker (CASB), la piattaforma di sicurezza multi-cloud per le aziende, include MITRE ATT&CK nel flusso di lavoro che consente agli analisti SOC di indagare sulle minacce del cloud e ai responsabili della sicurezza di difendersi con precisione dagli attacchi futuri.

La maggior parte delle aziende utilizza oltre 1.500 servizi cloud, generando milioni di eventi, dal login, alla condivisione di file, al download e un'infinità di azioni destinate alla produttività ma sfruttate dagli avversari. Finora, la ricerca di attività avversarie all'interno di questo pagliaio è stata un'impresa ardua, con così tanto rumore che molte violazioni di dati sono passate inosservate fino a quando non è stato troppo tardi.

Skyhigh Security Service Edge (SSE), che include Skyhigh CASB, adotta un approccio multilivello all'indagine sulle minacce del cloud, che può accelerare i tempi per rilevare l'attività degli avversari nei suoi servizi cloud, identificare le lacune e implementare modifiche mirate ai criteri e alla configurazione.

In primo luogo, il pagliaio di eventi viene elaborato continuamente rispetto a una linea di base di comportamenti buoni conosciuti da User and Entity Behavior Analytics (UEBA) per identificare le anomalie e le minacce effettive nel suo ambiente, valutando il comportamento su più servizi e account.

In questo modo il processo di indagine si riduce a una quantità gestibile di incidenti. Con questa versione, questi incidenti sono ora nella stessa lingua del resto del SOC - MITRE ATT&CK. Ogni incidente di sicurezza del cloud è mappato alle tattiche e alle tecniche ATT&CK, mostrando l'attività avversaria in corso nel suo ambiente.

Vista multi-cloud MITRE ATT&CK dell'attività avversaria in Skyhigh Cloud Access Security Broker (CASB)

All'interno di Skyhigh CASB ha a disposizione tre viste:

• Retrospettiva: visualizzare tutte le tecniche avversarie che si sono già verificate nel suo ambiente.
• Proattivo: visualizzazione degli attacchi in corso, che può agire per fermare.
• Catena di morte completa: visualizzare una combinazione di incidenti, anomalie, minacce e vulnerabilità in una serie olistica di infrazioni.

Più team della sua organizzazione beneficiano di questa aggiunta a Skyhigh Security Service Edge (SSE):

• I team SecOps passano dalla reattività alla proattività: Skyhigh CASB consente agli analisti di visualizzare non solo le minacce eseguite nel quadro ATT&CK, ma anche i potenziali attacchi che possono fermare in più ambienti Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) e Infrastructure-as-a-Service (IaaS).
• I team SecOps rompono i silos: i team SecOps possono ora portare gli incidenti di sicurezza del cloud pre-filtrati nelle loro piattaforme di Security Information Event Management (SIEM)/Security Orchestration, Automation and Response (SOAR) tramite API, mappate sullo stesso framework ATT&CK che utilizzano per le indagini sulle minacce endpoint e di rete.
• I responsabili della sicurezza si difendono con precisione: Skyhigh CASB porta il Cloud Security Posture Management (CSPM) a un nuovo livello, fornendo ai responsabili della sicurezza raccomandazioni sulla configurazione dei servizi cloud per gli ambienti SaaS, PaaS e IaaS, che affrontano specifiche tecniche avversarie ATT&CK.

Molti team SecOps utilizzano processi e framework ripetibili come ATT&CK per mitigare il rischio e rispondere alle minacce ai loro endpoint e reti, ma finora le minacce e le vulnerabilità del cloud hanno presentato un paradigma sconosciuto. Traducendo le minacce e le vulnerabilità del cloud nel linguaggio comune di ATT&CK, Skyhigh CASB consente ai team di sicurezza di estendere i loro processi e runbook al cloud, di comprendere e rispondere preventivamente alle vulnerabilità del cloud e di migliorare la sicurezza aziendale.

Per saperne di più su Skyhigh SSE.