Iron Dome è una piattaforma ideata e implementata dalla Digital Security di Var Group per migliorare il rilevamento e la risposta alle minacce e ottimizzare la gestione degli allarmi generati dagli asset delle aziende sotto il controllo del Security Operation Center.
Si tratta di un sistema modulare che risponde all’obiettivo di aumentare le capacità di detection e di supportare l’analista nella fase di raccolta informazioni, categorizzazione degli eventi e triage tramite l’ausilio di automation, machine learning e intelligenza artificiale.
Le aree di intervento di Iron Dome sono:
– Implementazione di un meccanismo di automazione per i casi più critici del SOC, mediante la raccolta automatizzata di informazioni dalle piattaforme di monitoraggio e l’interfacciamento con altri strumenti quali l’Active Directory, in grado di fornire all’analista una serie di informazioni precompilate;
– Evoluzione di una piattaforma di Security Orchestration Automation and Response (SOAR) per l’esecuzione di azioni di remediation e contenimento automatizzate sulla base di playbook definiti, al fine di fornire una risposta in tempi rapidi alle minacce di sicurezza, riducendo il tempo di esposizione al rischio;
– Estensione dei feed di intelligence per aumentare le capacità di riconoscimento degli IP di anonimizzazione, sempre più frequentemente utilizzati dagli attaccanti, con rilevazioni che combinano anomalie geografiche a reputazione degli IP per elevare il grado di affidabilità.
– Implementazione di un sistema proprietario di machine learning in grado di per costruire una baseline sul comportamento tipico di un utente, come supporto nell’identificazione di specifiche anomalie, con conseguente riduzione dei falsi positivi e MTTR.
– Estensione delle capacità di detection di attacchi su Active Directory tramite tool dedicati;
– Introduzione di capabilities di AI nel processo di prioritizzazione delle analisi e l’identificazione preventiva dei falsi positivi; il modello sulla base dello storico dei casi analizzati e delle informazioni di contesto aggiuntive assegna all’evento uno score che indichi il grado di affidabilità sul fatto che sia un falso positivo o meno, decisione che viene confermata o corretta dall’analista, in modo tale da garantire un training e un apprendimento continui del modello stesso.
Hai perso l’evento di presentazione di Iron Dome?
Rivedi qui la registrazione