Cyber Security Analytics

ADELean - ANOMALY DETECTION ENGINE

ADELean è un Anomaly Detection Engine real-time basato su Intelligenza Artificiale, che legge il traffico di rete e identifica comportamenti anomali degli host. Il suo scopo è segnalare all'operatore quelli che meritano maggiore attenzione, lasciandolo libero di interpretare il fenomeno e di scegliere la migliore contromisura.

ADELean non si sovrappone ai tool già utilizzati dai SOC, ma è di supporto. Si installa in “pochi passaggi”, ha un’invasività minima con l’ambiente operativo ed è subito funzionante.

ADELean è stata pensata, progettata e sviluppata con un’architettura Big Data scalabile e un motore di Machine Learning in grado di elaborare grandi quantità di dati con elevate performance. Non dispone di un motore a regole e rispetta la privacy perché non legge il contenuto dei pacchetti di traffico dati che analizza.

ADELean è un prodotto interamente sviluppato dal Gruppo CRISMA. È disponibile come appliance, ma può anche essere installata su piattaforme virtuali.


Security Analytics

Di base, la Security Analytics è l’analisi e la correlazione di grandi quantità di dati, non necessariamente di sicurezza, al fine di individuare potenziali minacce. Indipendentemente dalla propria natura, qualunque crimine ha nella propria scena tutte le informazioni necessarie per caratterizzarne i comportamenti. Il mondo dell’IT non è da meno. Infatti, tutte le minacce informatiche lasciano tracce in tutti gli strati tecnologici che attraversano e di conseguenza gli attuali strumenti di monitoraggio generano una grande quantità di dati avendo al proprio interno:
  • I comportamenti che anticipano un attacco informatico.
  • Le ragioni dettagliate che spiegano perchè è avvenuto un major incident di sicurezza.
Purtroppo, proprio per la grande quantità di dati, ci si trova spesso al punto che è indispensabile limitare o addirittura fermare sia l’acquisizione che l’analisi degli stessi.

CRISMA Security e CRISMA hanno sviluppato l’insieme di competenze necessario per ottenere i benefici indicati superando le difficoltà relative. Nel dettaglio tali competenze si riassumono in :

  • Competenze di sicurezza (Cyber/Phisical security).
  • Competenze analitiche (Data science).
  • Competenze tecnologiche in ambito Big Data.

Use case di interesse:
Predictive intelligence: individuare attacchi informatici prima che si concretizzino fornendo, in tempo utile indicazioni per contrastarli efficacemente. Individuazione di comportamenti di command and control (BotNet): attraverso la modellizzazione del comportamento di insieme vengono estratte e sottoposte agli analisti evidenze complesse. Individuazione di comportamenti di Data Leackage originata dall’interno della propria infrastruttura. Enhanced Root Cause Analysis: fornire agli analisti una visione completa e dettagliata dell’accaduto. Di base, i modelli utilizzati per la propagazione dei malware più efferati sono pressoché sempre simili tra di loro, ma i differenti ambiti di applicabilità e la forte mutevolezza del codice rendono ardua la sfida alla individuazione e ancora più ardua la relativa mitigazione in tempo utile.
L'approccio tipico consiste nell'individuare un “sito” con un congruo numero di postazioni client e analizzare tutto il traffico di rete attraverso un tap o una span port verso un server/appliance che ha il compito di effettuare una pre-elaborazione degli eventi ed inviare ad un server centrale le evidenze che a loro volta saranno correlate con i dati di origine applicativa e provenienti da i sistemi di sicurezza in uso. Di seguito due esempi di tecniche utilizzate per l'individuazione dei citati malware:
Link Analisys Behavioural Analisys

Link Analysis

L’utilizzo della Link Analysis permette di:
  • Costruire la mappa del traffico di rete del sito definito;
  • Caratterizzarne gli host ed il traffico (servizi, ecc.)
  • Studiarne le caratteristiche topologiche e dinamiche
al fine di:
  • Estrarre pattern anomali di traffico
  • Individuare pattern specifici di Command and Control
  • Individuare i “Rogue Behaviour”
Acquisendo i seguenti benefici:
  • Individuazione di Malware
  • Individuazione di BotNet
  • Data Leack Prevention
  • Effettuare “Predictive Blacklisting” di indirizzi di dominio su base di modelli predittivi

Behavioural Analytics

Dall’analisi dei log applicativi è possibile, tramite l’utilizzo di algoritmi di Anomaly Detection, modellizzare il comportamento genuino degli utenti e, poi, monitorarlo nel tempo al fine di segnalare pattern comportamentali sospetti. Queste tecniche producono score di anomalia per:
  • Accessi di utenti
  • Server
  • Componenti di rete
  • Applicativi
In sintesi, è possibile attribuire degli score di genuinità ad ogni entità presente all'interno della rete per tutte le operazioni che svolge a livello infrastrutturale e non.

Crisma Security News

Rimani sempre aggiornato sulle soluzioni e le tecnologie offerte da Crisma Security, iscriviti adesso alla newsletter, compila il form con i tuoi dati e scegli una o più aree di tuo interesse.

Go to top