Chi ci segue da un po’ sa ormai che crediamo fortemente nella “filosofia di FireEye” e per filosofia intendiamo il loro modo di fare sicurezza che non solo adotta un’ottima tecnologia ma in più porta con sé il grande valore aggiunto dato dall’intelligence di Mandiant.
Mandiant, acquisita da FireEye nel 2013, è la società di servizi di sicurezza scelta da gran parte delle Fortune 100 e da svariati enti governativi nel mondo, quasi sempre presente nelle fasi di remediation dopo grandi attacchi di cyber security che sentiamo ogni giorno nei notiziari: proprio per questo disporre dell’intelligence derivante dai loro interventi è un grande valore aggiunto.
Helix, l’ultima novità annunciata da FireEye riunisce la tecnologia di sicurezza che previene analizza e blocca gli attacchi persistenti sconosciuti e l’intelligence che aiuta a riconoscere comportamenti anomali degli utenti e non solo.
Si tratta di un vero e proprio SIEM 3.0 un monitoraggio che raccoglie log da server, firewall, endpoint ecc ma che, a differenza di un comune software, non solo li correla ma identifica eventuali attività sospette e blocca le minacce in corso.
In particolare è in grado di rilevare attività come il furto di dati, comportamenti anomali degli utenti o ancora movimenti laterali: se ad esempio una macchina viene attaccata potrebbe essere utilizzata dal malintenzionato come prima rampa per muoversi poi all’interno della rete lateralmente.
Si può quindi identificare come una consolle che automatizza la gestione dei log, fornisce un’idea chiara di cosa sta succedendo sulla rete grazie a pochi alert ben qualificati e soprattutto una volta identificato un evento sospetto analizza e blocca l’eventuale minaccia.
Giorgio Giussani – 7/07/2017