Descrizione del prodotto ACSIA
ACSIA XDR Plus - Automated Cyber Security Intelligence Application - è un potente prodotto di cyberdefense sviluppato in Europa da 4Securitas che integra la nostra soluzione Extended Detection and Response (XDR) con una potente capacità di Threat Intelligence, che offre una protezione di cyberdefense predittiva, proattiva e risolutiva in tempo reale.
Il prodotto ACSIA XDR Plus incorpora funzionalità di Endpoint Detection and Response (EDR) con Intrusion Prevention (IPS) e Intrusion Detection Systems (IDS) in un'unica piattaforma, il tutto supportato dal nostro sistema Security Information and Event Management (SIEM) in tempo reale.
Abbiamo poi migliorato l'Extended Detection and Response (XDR) includendo un feed predittivo di Threat Intelligence che vieta l'accesso alla rete a indirizzi IP errati, nodi di uscita anonimi e fonti di malware, eliminando queste fonti di minaccia dalla possibilità di visualizzare la vostra rete, in modo che "se non possono trovarvi, non possono attaccarvi".
Includiamo anche una funzione anti-sorveglianza che rileva e impedisce l'esecuzione di attività di raccolta di informazioni, eliminando così le minacce alla sicurezza informatica prima che le informazioni di sorveglianza possano essere utilizzate per pianificare un attacco informatico.
Le nostre tecniche di monitoraggio e risoluzione altamente avanzate impediscono alla maggior parte dei cyberattacchi di essere pianificati o eseguiti, riducendo notevolmente il panorama delle minacce per ogni organizzazione.
Un moltiplicatore di forze per le operazioni di sicurezza
Integrando un feed di informazioni sulle minacce con una soluzione di rilevamento di ricognizione pre-attacco, che contiene anche il rilevamento degli endpoint, il monitoraggio a livello di kernel, un IDS e un IPS, abbiamo consolidato la telemetria condivisa di questi strumenti di sicurezza altrimenti disparati in un SIEM unificato, consentendo ad ACSIA XDR Plus di correlare e rimediare alle minacce con livelli di precisione forensi in tempo reale.
Utilizziamo l'intelligenza artificiale e il machine learning per l'automazione e la correzione delle minacce rilevate.
Obiettivi del design
Prima di esplorare i dettagli del prodotto, illustreremo innanzitutto alcuni dei principali obiettivi che avevamo per ACSIA XDR Plus, che a loro volta contribuiranno a spiegare alcune delle decisioni di progettazione e delle direzioni prese con il prodotto.
La nostra missione aziendale è "democratizzare la disponibilità di ACSIA come prossima piattaforma moderna di cyberdefense, fornendo i più alti livelli di protezione dei dati sul mercato, utilizzando la tecnologia open source a un prezzo accessibile".
Si tratta di una missione piuttosto impegnativa, che ci ha imposto di progettare e costruire una soluzione di cyberdefense da zero che fosse al tempo stesso altamente efficace e in grado di risolvere i punti deboli di altre piattaforme. Era inoltre obbligatorio che la soluzione fosse scalabile, robusta, semplice da utilizzare, facile da gestire e da implementare e che fosse accessibile. Il prodotto ACSIA XDR Plus presenta quindi le seguenti caratteristiche:
- Si tratta di un prodotto autonomo costruito e supportato interamente da 4Securitas che utilizza tecnologia open source e oltre 150 algoritmi unici
- Non utilizziamo prodotti di terze parti soggetti a licenza
- Le innovazioni del prodotto includono una tecnologia anti-sorveglianza altamente efficace e il monitoraggio a livello di Kernel e Registro per un alto livello di accuratezza
- I requisiti infrastrutturali del prodotto sono minimi e possono essere implementati in ambienti fisici, virtuali, cloud o container.
- ACSIA XDR Plus può essere implementato utilizzando un agente su ciascun endpoint o in modalità agentless.
ACSIA XDR Plus è stato progettato per proteggere dai seguenti tipi di attacco:
 Nodi di uscita anonimi (incluso il Darkweb) |
Tecniche di sorveglianza pre-attacco |
| Malware Firms |
Raccolta di informazioni |
| Port Scanning |
Vulnerability Scanning |
| URLs dannosi |
Compromissione di utenti e account |
| Privilege Escalations |
Manipolazione di file e dati |
| Minacce di SQL Injection |
Lateral Movements |
| Exploitation & Payloads |
Attacchi Men-In-The-Middle |
| Attacchi Ransomware |
Attacchi Drive-By |
| Cross Site Scripting |
Attacchi alle password |
| Rilevamento a livello di Kernel |
Rilevamento a livello di registro |
| Zero Day Attacks |
Kill Malicious Process |
| Elimina la connessione al comando e controllo degli attacchi informatici |
Risoluzione automatica e con un solo clic |
| Regolamentazione e conformità |
Blocco dei Botnets |
| Management Reporting |
Reporting forense |
Composizione del prodotto
Il presente documento illustra la composizione del prodotto ACSIA XDR Plus a partire dall'endpoint del cliente, attraverso i principali componenti della logica del prodotto, fino all'esperienza dell'utente finale e ai rapporti di gestione. Come illustrato nella figura 2, questo ciclo di vita è composto da sette elementi distinti, ognuno dei quali verrà discusso in dettaglio di seguito.
Fig 2. Componenti dell'applicazione di difesa informatica ACSIA XDR Plus.
I client possono essere configurati tramite agenti o in modalità Agentless.
ACSIA XDR Plus è un'architettura client-server e può essere configurata utilizzando un agente o in modalità Agentless. Il motore applicativo è dotato di uno stack Elastic integrato (Elasticsearch, Logstash e Kibana) e utilizza i Beats forniti da Elasticsearch come log shipper.
Qual è la differenza tra operare con un agente o in modalità agentless?
Quando si sceglie l’opzione con “agente”, i prerequisiti in termini di porte e risorse per il servizio sono minimi, cioè non c'è nessun prerequisito software/hardware per il servizio e l’unica porta utilizzata è la 443 (https). Inoltre, l'agente funzionerà autonomamente nel caso in cui il dispositivo non sia in grado di raggiungere il server ACSIA.
L'implementazione “agentless” richiede invece l'apertura di più porte sul firewall (sia in entrata che in uscita), così come la creazione di un utente di servizio con privilegi sui dispositivi collegati.
Sia che si implementi “ACSIA XDR Plus” con un agente o che lo si configuri in modalità Agentless, la funzione dei “Beats” è quella di inviare i seguenti log al Server ACSIA:
● System Logs
● Network Traffic
● Web Application Logs
● Kernel/Registry Logs
● Audit Logs
● Compliance Related Logs
Entrambi i modi di funzionamento Agent e Agentless sono descritti di seguito:
Configurazione Agentless Client
L'unico caso in cui ACSIA XDR Plus interagisce con un client connesso è quando l'applicazione vuole “bannare” un indirizzo IP dannoso o quando l'utente finale (amministratore di sistema) seleziona un'opzione di “remediation” fornita con gli avvisi (azioni immediate). Questo viene fatto da ACSIA tramite il suo account di servizio (SSH o RDP), quindi non è necessario alcun agente sul client per eseguire tale azione.
Operazioni come il ban di un IP vengono eseguite utilizzando playbook all'interno di ACSIA che vengono orchestrati attraverso il sistema di gestione della configurazione Ansible.
Client Agent
L’implementazione con “Client Agent” è disponibile a partire dalla v4 di ACSIA XDR Plus. Con la distribuzione in modalità agente, i suddetti Beats sono riuniti in un unico pacchetto per i sistemi operativi Windows, Linux e MAC OS. I bundle possono essere scaricati da ACSIA UI (vedi la guida ufficiale per i dettagli) e si installeranno automaticamente una alla prima installazione. A differenza della modalità senza agente, l'agente ACSIA consolida tutte le porte di comunicazione nella porta unificata 443 (HTTPS) e 444 (TCP/UDP). Con la versione con Agente non si richiede un utente di servizio per ACSIA.
Log Shipping
I “beats” forniti da Elastic search sono usati come “log shipper” per trasferire i vari file di log al Security Information Event Manager di ACSIA. I volumi di dati coinvolti sono minuscoli (pochi kilobit) quindi non c'è alcun sovraccarico di prestazioni sul client o sulla rete quando ACSIA opera.
Tutto il traffico client è criptato usando Transport Layer Security (TLS V1.2 o successivo) usando certificati client server.
Logica di rilevamento a più livelli
La logica di rilevamento all'interno di ACSIA XDR Plus è un modulo di sicurezza avanzato a più livelli e ad alte prestazioni, contenente sette componenti logici integrati di oltre 150 algoritmi unici, progettati e sviluppati dai nostri architetti della sicurezza di 4Securitas.
I sette componenti logici di ACSIA XDR Plus Multi-Layered Defense utilizzano tutti una telemetria condivisa per il rilevamento accurato delle minacce e la loro risoluzione.
Difesa informatica predittiva e proattiva
4Securitas ha sviluppato due funzioni proattive di Cybersecurity che sono esclusive di ACSIA XDR e per questo le abbiamo chiamate ACSIA XDR Plus.
- Informazioni predittive sulle minacce
- Pre-attacco proattivo Anti-sorveglianza
- Rilevamento dei modelli di strumenti offensivi
La Predictive Threat Intelligence blocca miliardi di minacce attive dall'accesso informatico alla vostra azienda. Eliminando molti dei criminali informatici più prolifici e spietati di tutto il mondo dall'avvicinarsi alle vostre piattaforme, riducendo notevolmente i livelli di minaccia per l'azienda.
Proactive Pre-attack and Anti-Surveillance è un modulo attivo che fornisce una protezione di ricognizione alla periferia di un ambiente. Cattura tutte le richieste di informazioni e mette in relazione gli strumenti e le tecniche di exploit per impedire ai metodi di cyberattacco più offuscati di raccogliere informazioni. Le tecniche di sorveglianza e di raccolta di informazioni sono passi necessari per i criminali informatici prima di pianificare un attacco. ACSIA rileva queste attività e le blocca prima che possano essere utilizzate per pianificare un attacco informatico.
Protezione XDR
Le funzioni XDR di ACSIA contengono le seguenti caratteristiche chiave:
- Rilevamento di strumenti offensivi
- Monitoraggio del kernel
- Analisi del comportamento dell'utente
Le firme e il comportamento degli strumenti offensivi utilizzati durante le fasi di pre-attacco e di attacco sono una delle funzionalità chiave di ACSIA XDR Plus per bloccare in modo proattivo le potenziali minacce. Il sistema cattura gli strumenti offensivi utilizzati dai criminali informatici per raccogliere informazioni e scoprire i punti deboli di una difesa informatica prima di pianificare un attacco, ma identifica anche un aggressore che cerca di raccogliere informazioni dall'interno di un'organizzazione. Ciò avviene analizzando le tecniche e i metodi utilizzati, nonché i dati interrogati.
Il kernel analizza il nucleo del sistema operativo per rilevare anomalie e minacce. È molto efficiente quando si tratta di minacce insider (utenti legittimi) e/o di qualsiasi tipo di malware e rootkit. Questo livello di sicurezza opera indipendentemente dal tipo/maturità della minaccia e ha quindi la capacità unica di rilevare minacce attualmente sconosciute.
L'UEBA (analisi del comportamento dell'entità utente o Profiler) viene utilizzato per profilare le attività di routine quotidiana degli utenti, in modo da rilevare cambiamenti insoliti nello schema delle azioni eseguite, in particolare quando utenti interni o account compromessi accedono a dati o eseguono routine non associate alla loro routine quotidiana. Questa potente funzione viene utilizzata anche per l'audit delle attività del personale, in particolare per determinare "chi ha fatto cosa" in modo retrospettivo.
Correlazione
Mettiamo in relazione i log di tutti i punti di dati discussi in precedenza con il nostro Security Information and Event Management (SIEM) e con le seguenti fonti di dati:
- Endpoint Detection and Response
- Intrusion Detection System
- Intrusion Prevention System
Poiché ACSIA contiene un EDR (Endpoint Detection and Response) integrato con un IPS (Intrusion Prevention) e un IDS (Intrusion Detection System) in un'unica piattaforma, acquisiamo i log di questi moduli di sicurezza per la correlazione e l'analisi in tempo reale tramite il nostro sistema SIEM (Security Information and Event Management).
Il consolidamento di queste ricche fonti di dati in un SIEM rafforza la capacità di ACSIA XDR Plus di identificare le minacce attraverso molteplici strumenti di difesa informatica.
Automazione, correzione e miglioramenti continui
ACSIA XDR Plus utilizza l'apprendimento automatico e l'intelligenza artificiale per automatizzare e migliorare continuamente le risposte alle minacce, oltre a migliorare le informazioni di intelligence sulle minacce per individuare meglio le entità dannose prima che si infiltrino nell'asset monitorato.
I dati analizzati da ACSIA Detection Logic vengono passati al ML/AI per determinare automaticamente l'azione di rimedio più appropriata in base al tipo di minaccia e al livello di gravità. Queste azioni sono automatizzate tramite playbook che utilizzano Ansible per l'orchestrazione delle azioni di rimedio.
Amministrazione e gestione
L'interfaccia utente di ACSIA è accessibile tramite un browser web su qualsiasi dispositivo desktop standard o su uno smartphone. Per impostazione predefinita, ACSIA genera certificati SSL autofirmati per la navigazione HTTPS, ma ACSIA può essere distribuito con certificati SSL specifici per il cliente. Per l'accesso all'amministrazione e alla gestione viene utilizzata l'autenticazione a più fattori o l'autenticazione a due fattori.
La notifica degli avvisi è configurabile e può essere inviata tramite e-mail, sistema di messaggistica Slack o Microsoft Teams.
La pagina "Hosts" contiene una tabella degli host client monitorati da ACSIA, dove è possibile aggiungere nuovi client mediante una semplice procedura guidata.
La pagina "Notifiche in tempo reale" contiene l'elenco di tutti gli avvisi attivi e in sospeso, che possono essere esaminati o gestiti.
"Insights" è la pagina in cui sono elencate le dashboard predefinite e personalizzate. Queste sono particolarmente utili per le indagini forensi e comprendono:
- Dashboard Controllo Accessi
- User Activity Dashboard
- General Network Traffic Dashboard
- IP Address Activity Dashboard
- All Traffic Dashboard
Nella sezione "Compliance" sono disponibili le analisi e le dashboard relative alla conformità e ai quadri normativi:
- Security Events Dashboard
- Integrity Monitoring Dashboard
- PCI DSS Compliance Dashboard
- GDPR Compliance Dashboard
- NIST 800-53 Framework Dashboard
- Mitre Attack Framework Dashboard
- Vulnerabilities Dashboard
- Policy Monitoring Dashboard
- HIPAA Compliance Dashboard
- System Auditing Dashboard
- Trusted Services Criteria Dashboard
Tutte le analytics e le dashboard hanno funzionalità di reporting che possono essere esportate nei principali formati standard.
La sezione "Policies" contiene tutti gli eventi che sono stati attivati, come ad esempio:
- IP Blacklist
- IP Whitelist
- Locked Users
- Muted Notifications
- Location Based Access
Nella sezione "Cronologia eventi" vengono registrate tutte le attività dell'interfaccia utente di ACSIA e le risposte di mitigazione. Ad esempio, chi ha autorizzato un utente, chi ha bloccato un account, chi ha bannato un indirizzo IP e così via, tutto questo viene registrato per avere la traccia di chi ha fatto cosa.
Viene utilizzata una "Lista di distribuzione" in cui più membri vengono avvisati quando viene generato un avviso. Tutti gli avvisi in sospeso sono elencati nella sezione "Notifiche in tempo reale", dove sono richieste azioni correttive da parte dell'utente finale.
In "Impostazioni" vengono gestite tutte le impostazioni dell'interfaccia utente:
Log Retention
Integrazione
Update
Install
2FA
Users
Notifiche
License
Configurazione Email
Caratteristiche e vantaggi principali del prodotto
Le caratteristiche e i vantaggi del prodotto riportati di seguito sono tutti componenti fondamentali del nostro set di prodotti ACSIA. Sono il risultato di anni di ricerca e sviluppo da parte del nostro team di 4Securitas e rappresentano l'ultimo progresso tecnologico e innovativo nel campo della cybersecurity sul mercato.
| Rilevamento delle minacce |
| Include una risposta di rilevamento degli endpoint |
Contiene una funzione di analisi del kernel per identificare ed eliminare i processi anomali |
| Include un sistema di rilevamento delle intrusioni |
Contiene una tecnologia anti-sorveglianza preventiva per prevenire gli attacchi prima che possano essere pianificati |
| Include un sistema di prevenzione delle intrusioni |
Fornisce protezione per i server e i desktop Windows |
| Include un sistema di gestione delle informazioni e degli eventi di sicurezza |
Fornisce protezione per i server e i desktop Linux. |
| Include la risoluzione di tutte le minacce alla sicurezza informatica |
Fornisce un controllo di integrità a livello di file |
| Vantaggi tecnici |
| Compatibile con i server fisici e virtuali |
Scalabile fino a 1000 endpoint |
| Compatibile con Container e ambienti Cloud |
Requisiti tecnici ridotti (2 core, 16 GB di memoria, 1 GB di file da scaricare) |
| Compatibile con i server fisici e virtuali |
Contiene un'interfaccia utente sia web che mobile |
| Include intelligenza artificiale e Machine Learning |
Funziona in una rete Air-gapped |
| Costruito con tecnologie open source |
Facile installazione (7 minuti) |
| Implementa il controllo dell'accesso basato sui ruoli (RBAC) per gli utenti interni. |
Piena visibilità sugli account privilegiati |
| Vantaggi commerciali e per gli utenti |
| Elimina oltre il 99% dei falsi allarmi positivi |
Configurazione del client con agenti o in modalità Agentless |
| Automatizza e semplifica le operazioni di cybersecurity |
Elimina la necessità di aggiornamenti quotidiani della sicurezza |
| Commercialmente competitivo e può essere implementato come parte di un piano di riduzione dei costi |
Contiene un'interfaccia utente sia web che mobile |
| Tutte le funzionalità del prodotto sopra elencate sono incluse nel prodotto di base - nessun costo extra |
Prodotto disponibile con un abbonamento annuale |
| Fornisce reportistica di gestione |
Fornisce reportistica forense |