Kiratech lavora in tre principali aree della Security:

  • Network Security
  • Host/System Security
  • SIEM and User Behavioural Analysis (UBA)

La nostra mission è quella di proteggere i dati aziendali affinché le informazioni non escano dai confini aziendali.

In un datacenter moderno, l’approccio migliore è quello dell’IT Security Driven by Data: maggiori sono le informazioni, più le correlazioni tra di esse diventano possibili, maggiore è il valore che ne può essere estratto.

 

Questo è fondamentale per trovare uno 0-day o un APT che non rispetta gli standard IDS/IPS, ma non è abbastanza: i sistemi e i network devono essere monitorati e protetti. Per questo Kiratech ha costruito un Sistema di Advanced SIEM (Security Information and Event Management) utilizzando i migliori software e le migliori soluzioni disponibili.
L’utilizzo di un Sistema di SIEM non è però sufficente per mantenere un’azienda in sicurezza: siamo infatti specializzati nello Security Assessment, Penetration Test, Network Forensic e nell’ Endpoint Security.

La nostra mission è comprendere l’attuale stato di security dell’azienda cliente, analizzare il livello di rischio e creare un piano al fine di correggere gli errori e regolare il livello di vulnerabilità.

Problematiche riscontrate:

Al giorno d’oggi gli aggressori sono più agili dei programmi di security quindi, per evitare intrusioni da parte degli stessi, un’architettura a castello impenetrabile non è più utilizzabile. 

Come disse Dan Geer, visionario del mondo della security: “Arriva un momento in cui gli investimenti fatti per evitare gli attacchi esterni evitano il manifestarsi di perdite economiche”.

In particolare i principali problemi che si verificano sono:

  • Molti programmi di security implementati contro gli attacchi non vengono mantenuti nel tempo
  • I team aziendali in un ambiente in espansione faticano a contenere i rischi. Con l’incremento dei device utilizzati, le aziende hanno aumentato la produttività, attraverso l’accesso alle risorse ovunque e in qualsiasi momento.
  • Non vi è alcuna visibilità all’interno dei servizi cloud e gli stessi non sono molto spesso nemmeno ufficialmente autorizzati. Il 69% dei dipendenti dichiara di poter ancora accedere ai dati aziendali attraverso servizi cloud, dopo aver lasciato l’azienda.
  • Gli intruders sono soliti appropriarsi di account di utilizzatori regolari attraverso credenziali compromesse.
  • I team interni e i professionisti della security sono sepolti da centinaia di migliaia di alert falsi-positivi; di conseguenza, la maggior parte dei programmi di sicurezza non riescono a rilevare i comportamenti anomali e gli attacchi laterali da parte degli intrusi passano inosservati.
  • Non appena le aziende spostano l’attenzione dalla prevenzione all’individuazione e alla reazione, esse realizzano che lo sblocco delle informazioni memorizzate nei data-repository legati agli utenti offre agli analisti della sicurezza il contesto più adatto per comprendere meglio gli alert e le minacce con cui si interfacciano giornalmente.

Approccio Kiratech:

Kiratech segue un approccio Analytics – Driven Security o Security driven by Data; la sicurezza IT proviene dall’analisi dei dati e può essere migliorata ed implementata attraverso gli stessi. Con il termine “data” intendiamo log data, network data, data prodotti dai sistemi, il gioco non cambia.

Analizziamo inoltre user-related data, che rientrano naturalmente in un Sistema di SIEM (Security Information and Event Management) ben disegnato: combinando l’abilità di un Sistema di SIEM di raccogliere tutti i dati in un unico luogo, ed utilizzando la UBA (User Behavioural Analytics) per correlarli, arricchirli e fare riferimenti incrociati, miglioriamo automaticamente le probabilità di ottenere risultati più rapidamente.

Benefici:

L’approccio Analytics-Driven Security si basa sulla connessione tra persone e dati, sul concetto di rischio, inoltre tiene in considerazione il contesto e le differenti tipologie di intelligenza.

Il Risk-Based Analytics allinea la security operation al Business, in particolare:

  • L’architettura basata sul Risk scoring abilita il decision making assegnando un punteggio di rischio ad ogni dato.
  • Assegna in modo semplice e veloce dei KSI o dei KPI ad ogni evento per allinearlo alle priorità attuali.
  • Espone i fattori che contribuiscono al Risk scoring per una maggiore comprensione.

 

La funzione di Visualizzazione ed analisi delle relazioni garantisce una più rapida individuazione ed investigazione ed è basata su:

  • Dati visivamente fondibili, il contesto, l’utilizzo della threat-intelligence lungo lo stack ed il tempo per discernere le relazioni.
  • La creazione di correlazioni, di alert e di dashboard per la rilevazione, investigazione e compliance.
  • Workflow actions e ricerche automatiche che migliorano la creazione del contesto.

 

L’arricchimento delle Security Analysis con la Threat intelligence (informazioni sulle minacce) permette di:

  • Applicare automaticamente le informazioni sulle minacce provenienti da un numero qualsiasi di fornitori
  • Applicare la threat intelligence anche sui dati evento e sui wire data.
  • Effettuare analisi storiche utilizzando le nuove informazioni sulle minacce su tutti dati.

User Behavior Analytics (UBA): è fondamentale investire sempre più risorse nella raccolta e nell’analisi di grandi quantità di eventi e nell’accesso ai log che promettono maggiori benefici in termini di sicurezza, piuttosto che provare a costruire un perimetro di difesa più forte. I benefici assicurati saranno:

  • Rapida identificazione di comportamenti anomali da parte dell’utente
  • Possibilità di indagare un elenco prioritario di potenziali minacce.
  • Utilizzo di tecniche di apprendimento automatiche per isolare le minacce in continua evoluzione
  • Fare meno affidamento su regole predefinite o euristiche.
  • Rilevare e rispondere alle minacce degli insider in modo molto più rapido

 

Casi d’uso sulla Security intelligence:

  • Indagine forense e degli incidenti
  • Report di sicurezza e conformità
  • Monitoraggio Real-time delle minacce conosciute
  • Rilevamento di minacce sconosciute
  • Intercettazione di frodi
  • Minacce interne