Anomaly Detection Engine…Lean for an Assisted Cyber Security

 

     
 

È un assistente intelligente, "sempre attivo", basato su un “Motore di Machine Learning Non Supervisionato” che dal momento della sua installazione impara continuamente e, senza regole predeterminate, è in grado di rilevare anomalie e/o comportamenti sospetti sulla rete. 

Può essere considerato un importante strumento di ausilio per l’identificazione immediata delle problematiche di sicurezza e/o problemi sulla rete-IP assegnandogli un livello di criticità. Inoltre, a fronte delle informazioni e delle statistiche che mette a disposizione, permette una diagnosi accurata dell’anomalia individuata. Consente infatti di ottimizzare le fasi di “analisi, contrasto, mitigazione e rientro”, sottoponendo immediatamente agli analisti di sicurezza solo le evidenze che meritano attenzione rendendo così più efficiente ed efficace il loro operato.

     

 

 

     

Le Necessità/Requisiti:

  • Proteggere:
    • Dati ed informazioni sensibili
    • Soluzioni informatiche che supportano processi produttivi considerati business critical 
  • Prevenire le minacce informatiche prima che possano generare danni
  • Rilevare segnali di minacce sconosciute (ad esempio attacchi “0-day”)
  • Rendere più efficaci ed efficienti i processi di supporto alla sicurezza informatica, identificando tempestivamente situazioni di criticità e fornendo informazioni e dati per la diagnosi
  Come Lavora:
  • Identifica Near-Real-Time tutte le “condizioni” classificate “anomale” e/o sospette sulla rete-IP (protocollo Netflow)
  • Assegna uno “Score di Anomalia” che definisce il livello di criticità
  • Consente agli analisti di isolare rapidamente le criticità
  • Fornisce dati, informazioni e statistiche che consentono agli analisti di eseguire rapidamente Analisi e/o Diagnosi dei problemi
     
I Moduli:
  • Il Modulo Base è progettato per identificare tra tutte le sessioni di comunicazione (Netflow) degli host, quelle aventi comportamenti classificati “anomali”, ovvero significativamente diversi da quello medio e/o quello più comune
    • Con il Modulo Base vengono rilasciati Score di Anomalia ad ogni sessione
  • Il Modulo Olistico è progettato per eseguire l’analisi comportamentale della Rete IP nella sua interezza e quella di tutti i servizi TCP della rete. Con il Modulo Olistico vengono rilasciati:
    • Gli Score di Anomalia che misurano le mutazioni del grafo della rete (rete, subnet e client/server)
    • Gli Score di Anomalia che misurano i comportamenti dei servizi TCP
 
     
 

L’integrazione con Soluzioni di Service Management:

È stato integrato con sistemi di Service Management che ottemperano agli standard ITIL. Di seguito alcune funzioni:

  • Definire processi di supporto che fanno riferimento a definiti SLA e/o KPI
  • Disporre di una reportistica rilasciata su base periodica in linea con gli standard di servizio richiesto
  • Generare alert automatici su regole di ingaggio custom:
    • Ad es.: Per Score di Anomalia elevati, attraverso funzioni di triggering, garantire l’invio immediato ed automatico di notifiche complete di tutte le informazioni correlate all'anomalia
  • Gestire eventuali criticità basate su processi di escalation in accordo con le procedurre  interne del cliente
  • Eseguire l’analisi giornaliera delle evidenze
  • Eseguire First Level Analysis
  • Segnalare Early warning
  • Segnalare la Top Ten/Twenty in modo automatizzato
  • Ecc.
     
Punti di Forza ed Unicità:
  • Utilizza un approccio di tipo “data driven”, cioè identifica l’anomalia basandosi su criteri di analisi comportamentale
  • Disegnato con oltre 150 predittori che consentono di caratterizzare il comportamento della rete
  • Non è presente alcuna regola cablata poiché è 100% Motore Machine Learning Non Supervisionato
  • Concepito con architettura “Big Data” che garantisce per performance elevate
  • Lavora “Near-Real-Time” fornendo dati e statistiche ad ogni finestra temporale di 10 minuti
  • Basato su tecnologia “Open Source” che garantisce la facile integrazione con soluzioni di terze parti
  • Rispetta i criteri di privacy poiché il payload non viene ispezionato
  • Progettato per operare su reti ed ambienti eterogenei poiché è indipendente dalle dimensioni IT e dalla loro complessità
  • È di facile installazione
  • Progettato per soluzioni on-premise e/o cloud
  • 100% Made in Italy
  • Garantisce continuità dei servizi IT poiché non richiede:
    • Alcun intervento sulla rete (vedi attività di preparazione del network, aggiunta di componenti hardware, ecc.)
    • Installazione di agenti software sugli host della rete, in quanto è una soluzione agentless
    • Periodi lunghi di addestramento dei modelli, poichè al termine dell'installazione è immediatamente operativo
    • Alcuna preparazione dei dati, poiché il motore di Machine Learning impara esclusivamente sui dati prodotti dalla rete del cliente
    • Interventi amministrativi e/o sistemistici durante l’on-going
 

I Benefici:

  • Ottimizzare le attività degli analisti di sicurezza poiché consente di:
    • Focalizzare le loro attenzioni solo su sessioni considerate critiche in quanto risultano con score di anomalia elevati
    • Essere uno strumento d’ausilio alla diagnosi attraverso valori statistici e grafici 
    • Ridurre i tempi di identificazione di minacce sconosciute e/o comportamenti anomali, quando le soluzioni basate su motori a regole non sono in grado di individuarli
  • Incrementare i livelli di efficacia ed efficienza dei processi di supporto degli analisti di sicurezza
  • Ridurre i rischi di impatti finanziari:
    • Si possono prevenire più velocemente i danni economici causati da possibili minacce
     

 

Per maggiori informazioni scarica il White Paper cliccando qui