Progettazione e implementazione EDR per tutti gli endpoint aziendali

[Versione italiana di seguito]

Disclaimer: Many of our customers have confidentiality agreements safeguarding their brand names from commercial purposes. Hence, you may encounter references such as “Client Name Confidential”, or the customer’s industry instead of the customer’s brand name.

The Challenge

Following an infrastructure assessment and making the appropriate market evaluations, a series of tests and POCs were carried out as to identify the best product that would satisfy company's needs. The results of these evaluations helped us to choose and deploy a high-performance EDR on all endpoints to actively monitor threats and be timelier in detection and Incident Response.

The Solution

After deployment on all endpoints, we proceeded to:

• Configure the EDR according to company policies
• Create an automation system to convert detections into tickets
• Develop scripts to be used during the Incident Response phase to speed up the process of evidence collection and forensic analysis of the endpoint.

This allowed us to have a real-time visibility of the threats directed towards endpoints and the possibility to isolate them from the network and analyzing them in depth if needed.

Implementation

Each ticket related to a safety event generated by the EDR is taken in charge as to proceed with the necessary analysis to establish the criticality of the event (Triage)

Identification

Once we have identified the offending file or the anomalous behavior that triggered the detection, we begin a series of tests and analyses aimed at finding the cause.

Containment, Investigation & Forensic:

Once the general criticality has been identified, a choice will be made as to whether to operate with the endpoint in isolation from the network until it is completely certain that it poses no threat to it.

In-depth analysis involves checking the file itself, the processes in use on the endpoint following detection, scanning with antivirus on the machine, checking malicious patterns against YARA rules and reconstructing the incident timeline, even involving the end user

Further checks are performed by analyzing access logs to the VPN and Sorint applications to detect any anomalies and unauthorized access attempts.

Eradication & Recovery

Once the threat is contained, the components involved are eradicated, such as eliminating the malware, resetting the hacked user accounts, and mitigating any vulnerabilities exploited. Finally, systems are restored from clean backups or systems are rebuilt from scratch, compromised files are replaced with clean versions, patches are installed, passwords are changed, and network perimeter security is strengthened.

Maintenance:

The EDR is under continuous maintenance and proactivity by the SecOps team to keep up with new and possible future threats.

Avviso: Molti dei nostri clienti hanno stipulato accordi di riservatezza che tutelano i loro marchi da scopi commerciali. Pertanto potresti incontrare diciture come “Nome Cliente Riservato” oppure vedrai riportato il settore del cliente invece del suo nome.

Progettazione ed implementazione di una soluzione EDR per tutti gli endpoints aziendali

La Sfida

A seguito dell’assestment dell'infrastruttura e facendo le opportune valutazioni di mercato si è proceduto a una serie di test e PoC per individuare il miglior prodotto in base alle esigenze dell'azienda. I risultati di queste valutazioni ci hanno aiutato a scegliere e distribuire un EDR performante su tutti gli endpoints per monitorare attivamente le minacce ed essere più tempestivi nella fase di detection ed Incident Response.

La Soluzione

Effettuato il deployment su tutti gli endpoints si è proceduto a :

• Configurare l’EDR in base alle policy aziendali
• Creare un automation che convertisse le detection in ticket
• Sviluppare degli script da utilizzare durante la fase di Incident Response per velocizzare il processo di raccolta delle evidenze e l’analisi forense dell’endpoint.

Questo ci ha permesso di avere visibilità in tempo reale delle minacce dirette verso gli endpoints, la possibilità di isolarli dalla rete e analizzarli in profondità in caso di bisogno

Implementazione

Ogni ticket relativo a un evento di sicurezza generato dall’ EDR viene preso in carico per procedere con le analisi necessarie a stabilire la criticità dell’evento (Triage)

Identification

Una volta identificato il file incriminato o il comportamento anomalo che ha fatto scattare la detection, iniziamo una serie di test e analisi mirate alla ricerca della causa.

Containment, Investigation & Forensic

Individuata la criticità generale si sceglierà se operare con l’endpoint in isolamento dalla rete fino alla completa certezza che esso non rappresenti una minaccia per la stessa

Le analisi approfondite coinvolgono la verifica del file stesso, i processi in uso sull’endpoint a seguito della detection, la scansione con l’antivirus sulla macchina, il controllo di pattern malevoli confrontati con le YARA rules e la ricostruzione temporale dell’accaduto, anche coinvolgendo l’utente finale

Ulteriori controlli si effettuano analizzando i log di accesso alla VPN e agli applicativi Sorint per riscontrare eventuali anomalie e tentativi di accesso non autorizzati

Eradication & Recovery

Contenuta la minaccia si procede all’eradicazione delle componenti coinvolte, come l’eliminazione del malware, il reset degli account utente violati, nonché la mitigazione tutte le vulnerabilità sfruttate.

In ultimo si procede al ripristino dei sistemi da backup puliti o la ricostruzione dei sistemi da zero, la sostituzione dei file compromessi con versioni pulite, l'installazione di patch, la modifica delle password e il rafforzamento della sicurezza del perimetro di rete

Maintenance

L’EDR è sotto continua manutenzione e proattività da parte del team SecOps per stare al passo di nuove ed eventuali future minacce