Centro Assistenza ACSIA

ACSIA SOS Software Product Description v6.x.x

Claudio Proietti
Claudio Proietti
  • Aggiornato

1. Descrizione del prodotto ACSIA

ACSIA SOS - Automated Cyber Security Intelligence Application - è un potente prodotto di cyberdefense sviluppato in Europa da Dectar che integra la nostra soluzione Extended Detection and Response (XDR) con una potente capacità di Threat Intelligence, che offre una protezione di cyberdefense predittiva, proattiva e risolutiva in tempo reale.   

Se dovessi confrontare ACSIA SOS con i tradizionali prodotti di sicurezza informatica, verrebbe descritto come un prodotto di sicurezza informatica che incorpora funzionalità di Endpoint Detection and Response (EDR) con Intrusion Prevention (IPS), Intrusion Detection Systems (IDS), DNS-Shield , Host Insight e End Point Protection (EPP) in un'unica piattaforma, tutte supportate dal nostro sistema SIEM (Security Information and Event Management) in tempo reale. Il nostro progetto prende i dati di telemetria da tutti gli strumenti di monitoraggio nel nostro SIEM per la correlazione e l'analisi delle minacce in tempo reale.

ACSIA SOS esegue queste capacità di rilevamento reattivo spietatamente e in tempo reale. Sappiamo anche che è possibile proteggere in modo proattivo un numero significativo di minacce prima che si manifestino nell'infrastruttura di sicurezza perimetrale o in un dispositivo endpoint.

L'approccio tradizionale di un dispositivo/agente di sicurezza di rete consiste nel bloccare le minacce una volta che vengono rilevate sul perimetro dell'infrastruttura di un'azienda o quando superano le misure di sicurezza perimetrale e vengono rilevate su un dispositivo endpoint.

Aumentiamo le funzioni di rilevamento e risposta estese con un feed di Threat Intelligence predittivo che vieta l'accesso alla rete a indirizzi IP errati, nodi di uscita di rete anonimi e fonti di malware. Eliminare queste fonti di minacce dalla possibilità di avvicinarsi alla tua rete significa che "se non riescono a trovarti, non possono attaccarti".

Il feed ACSIA SOS Threat Intelligence è uno strumento predittivo di difesa informatica DNS Shield blocca le richieste a domini dannosi prima che venga stabilita la connessione. Questo approccio aiuta a prevenire il phishing o minacce più avanzate come la richiamata Command & Control (C&C) su qualsiasi protocollo e porta. La nostra End Point Protection blocca il download degli eseguibili portatili sul disco rigido della vittima.

Host Insight monitora continuamente le risorse digitali con funzionalità quali la valutazione e la gestione della conformità, la valutazione e la gestione delle vulnerabilità e la ricerca di configurazioni errate del software. Fornisce inoltre visibilità e un report completo delle risorse monitorate rilevanti per la valutazione del rischio.

Includiamo anche una funzione anti-sorveglianza che rileva e impedisce l'esecuzione di attività di raccolta di informazioni, rimuovendo così le minacce alla sicurezza informatica prima che le informazioni di sorveglianza possano essere utilizzate per pianificare un attacco informatico.

Le nostre tecniche di monitoraggio e correzione altamente avanzate impediscono la pianificazione o l'esecuzione della maggior parte degli attacchi informatici, riducendo notevolmente il panorama delle minacce per ogni organizzazione.

 

Un moltiplicatore di forze per le operazioni di sicurezza

Integrando un feed di informazioni sulle minacce con una soluzione di rilevamento di ricognizione pre-attacco, che contiene anche il rilevamento degli endpoint, il monitoraggio a livello di kernel, un IDS e un IPS, abbiamo consolidato la telemetria condivisa di questi strumenti di sicurezza altrimenti disparati in un SIEM unificato, consentendo ad ACSIA SOS di correlare e rimediare alle minacce con livelli di precisione forensi in tempo reale.

Utilizziamo l'intelligenza artificiale e il machine learning per l'automazione e la correzione delle minacce rilevate. 

 

2. Obiettivi del design

Prima di esplorare i dettagli del prodotto, illustreremo innanzitutto alcuni dei principali obiettivi che avevamo per ACSIA SOS, che a loro volta contribuiranno a spiegare alcune delle decisioni di progettazione e delle direzioni prese con il prodotto.

La nostra missione aziendale è "democratizzare la disponibilità di ACSIA come la prossima piattaforma di difesa informatica moderna preferita, fornendo i più alti livelli di protezione dei dati sul mercato, utilizzando la tecnologia open source a un prezzo accessibile".

Questa è una dichiarazione di missione alquanto carica che ci ha richiesto di progettare e costruire una soluzione di difesa informatica da zero che fosse sia altamente efficace che mirata ai punti ciechi sinonimo di altre piattaforme. Era inoltre obbligatorio che la soluzione fosse scalabile, robusta, semplice da utilizzare, facile da gestire e distribuire e conveniente. Il prodotto ACSIA SOS nasce con le seguenti caratteristiche:

 

  • È un prodotto autonomo costruito e supportato interamente da Dectar utilizzando la tecnologia open source e oltre 150 algoritmi unici.
  • Non utilizziamo prodotti soggetti a licenza di terze parti.
  • Le innovazioni di prodotto includono una tecnologia anti-sorveglianza altamente efficace e il monitoraggio a livello di kernel e registro per una precisione granulare.
  • I requisiti dell'infrastruttura del prodotto sono minimi e possono essere implementati in ambienti fisici/virtuali/cloud o container.
  • ACSIA SOS può essere implementato utilizzando un agente su ciascun endpoint o in un modello di implementazione senza agente.

 

ACSIA_characteristics.png

 

 

ACSIA SOS è stato progettato per proteggere dai seguenti tipi di attacco:

 

✔ Nodi di uscita anonimi (incluso il Darkweb) ✔ Tecniche di sorveglianza pre-attacco
✔ Malware Firms ✔ Raccolta di informazioni
✔ Port Scanning ✔ Vulnerability Scanning
✔ URLs dannosi ✔ Compromissione di utenti e account
✔ Privilege Escalations ✔ Manipolazione di file e dati
✔ Minacce di SQL Injection
✔ Lateral Movements
✔ Exploitation & Payloads ✔ Attacchi Men-In-The-Middle
✔ Attacchi Ransomware ✔ Attacchi Drive-By
✔ Cross Site Scripting ✔ Attacchi alle password
✔ Rilevamento a livello di Kernel ✔ Rilevamento a livello di registro
✔ Zero Day Attacks ✔ Kill Malicious Process
✔ Elimina la connessione al comando e controllo degli attacchi informatici ✔ Risoluzione automatica e con un solo clic 
✔ Regolamentazione e conformità ✔ Blocco dei Botnets
✔ Management Reporting ✔ Reporting forense
✔ Blocco del download degli eseguibili portatili ✔ Blocco dei domini malevoli
✔ MITRE ATT&CK mapping ✔ Host Insight completo

 

3. Composizione del prodotto

Il presente documento illustra la composizione del prodotto ACSIA SOS a partire dall'endpoint del cliente, attraverso i principali componenti della logica del prodotto, fino all'esperienza dell'utente finale e ai rapporti di gestione. Come illustrato nella figura 2, questo ciclo di vita è composto da sette elementi distinti, ognuno dei quali verrà discusso in dettaglio di seguito.

img_3.jpg

Fig 2. Componenti dell'applicazione di difesa informatica ACSIA SOS.

 

I client devono essere distribuiti utilizzando gli agenti

ACSIA SOS è un'architettura client-server con agenti distribuiti su tutti gli endpoint monitorati. Il motore dell'applicazione dispone di uno stack OpenSearch integrato e utilizza i beat forniti come log shipper. Quando si distribuisce l'agente, i prerequisiti per le porte e i requisiti dell'utente del servizio sono minimi, ovvero non esiste alcun prerequisito dell'utente del servizio. Le porte sono consolidate nelle porte unificate 443 (HTTPS) e 444 (TCP/UDP) e ). L'agente funzionerà autonomamente se il dispositivo non riesce a raggiungere il motore/server ACSIA.

Il Client Agent utilizza Beats per inviare i seguenti registri all'applicazione ACSIA:

  • System Logs
  • Web Application Logs 
  • Audit Logs 
  • Network Traffic
  • Kernel/Registry Logs
  • Compliance Related Logs

 

4. Client Agent 

I suddetti Beats sono raggruppati in un unico agente client per sistemi operativi Windows, Linux e MAC OS e possono essere scaricati dall'interfaccia utente ACSIA (vedere la guida ufficiale) e si installeranno automaticamente una volta eseguito l'eseguibile scaricato. L'agente ACSIA consolida tutte le porte di comunicazione in un'unica porta che è 443 (HTTPS) e 444 (TCP/UDP). L'agente non richiede un utente del servizio per ACSIA.

 

5. Log Shipping

I “beats” forniti da OpenSearch sono usati come “log shipper” per trasferire i vari file di log al Security Information Event Manager di ACSIA. I volumi di dati coinvolti sono minuscoli (pochi kilobit) quindi non c'è alcun sovraccarico di prestazioni sul client o sulla rete quando ACSIA opera.

Tutto il traffico client è criptato usando Transport Layer Security (TLS V1.2 o successivo) usando certificati client server.

 

6. Logica di rilevamento a più livelli

La logica di rilevamento all'interno di ACSIA SOS è un modulo di sicurezza avanzato a più livelli e ad alte prestazioni, contenente sette componenti logici integrati di oltre 150 algoritmi unici, progettati e sviluppati dai nostri architetti della sicurezza di Dectar. 

 

Multi_Layered_Detection.png

 

I sette componenti logici di ACSIA SOS Multi-Layered Defense utilizzano tutti una telemetria condivisa per il rilevamento accurato delle minacce e la loro risoluzione.

 

7. Difesa informatica predittiva e proattiva

Dectar ha sviluppato due funzioni proattive di Cybersecurity che sono esclusive di ACSIA SOS:

  • Informazioni predittive sulle minacce
  • Pre-attacco proattivo Anti-sorveglianza
  • Rilevamento dei modelli di strumenti offensivi

Predictive Threat Intelligence impedisce a miliardi di minacce attive di ottenere qualsiasi accesso informatico ai tuoi dati. Eliminare molte delle minacce informatiche più prolifiche e dannose dalla contaminazione del tuo sistema IT, riducendo notevolmente i livelli di minaccia per l'azienda.

Proactive Pre-attack and Anti-Surveillance è un modulo attivo che fornisce protezione di ricognizione alla periferia di un ambiente. Cattura tutte le richieste di informazioni e correla gli strumenti e le tecniche di sfruttamento per negare metodi di attacco informatico complessi e offuscati dalla raccolta di informazioni. Le tecniche di sorveglianza e raccolta di informazioni sono passaggi necessari che i criminali informatici devono eseguire prima di pianificare un attacco. ACSIA rileverà e bloccherà tali attività; i dati raccolti possono essere utilizzati per pianificare un attacco informatico.

 

8. Protezione XDR 

Le funzioni XDR di ACSIA contengono le seguenti caratteristiche chiave:

  • Rilevamento di strumenti offensivi
  • Monitoraggio del kernel
  • Analisi del comportamento dell'utente

Le firme e il comportamento degli strumenti offensivi utilizzati durante le fasi di pre-attacco e attacco sono una delle funzionalità chiave di ACSIA SOS per bloccare le minacce in modo proattivo. Cattura gli strumenti offensivi utilizzati dai criminali informatici per raccogliere informazioni per scoprire i punti deboli di una difesa informatica prima di pianificare un attacco. Identificherà inoltre un utente malintenzionato che tenta di raccogliere informazioni all'interno di un'organizzazione analizzando le sue tecniche e metodi e i dati oggetto di query.

Il livello del kernel analizza il nucleo del sistema operativo per rilevare anomalie e minacce. È molto efficiente nel rilevare minacce interne da utenti legittimi e distribuzioni di malware o rootkit. Questo livello di sicurezza opera indipendentemente dal tipo/maturità della minaccia e pertanto ha la capacità unica di catturare minacce precedentemente sconosciute (attacchi zero-day).

L'UEBA (analisi del comportamento dell'entità utente o Profiler) viene utilizzato per profilare le attività di routine quotidiane degli utenti per rilevare cambiamenti insoliti nel modello di azioni eseguite, in particolare quando utenti interni o account compromessi accedono ai dati o eseguono routine non associate con le loro attività quotidiane. Questa potente funzionalità è utile per controllare le attività del personale, in particolare quando si determina "chi ha fatto cosa" in modo retrospettivo.

 

9. Correlazione

Mettiamo in relazione i log di tutti i punti di dati discussi in precedenza con il nostro Security Information and Event Management (SIEM) e con le seguenti fonti di dati:

  • Endpoint Detection and Response
  • Intrusion Detection System
  • Intrusion Prevention System

Poiché ACSIA contiene un EDR (Endpoint Detection and Response) integrato con un IPS (Intrusion Prevention) e un IDS (Intrusion Detection System) in un'unica piattaforma, acquisiamo i log di questi moduli di sicurezza per la correlazione e l'analisi in tempo reale tramite il nostro sistema SIEM (Security Information and Event Management). 

Il consolidamento di queste ricche fonti di dati in un SIEM rafforza la capacità di ACSIA SOS di identificare le minacce attraverso molteplici strumenti di difesa informatica.

 

10. Automazione, remediation e miglioramenti continui

ACSIA SOS utilizza Machine Learning/Intelligenza artificiale per automatizzare e migliorare continuamente le risposte alle minacce e migliorare le informazioni di intelligence sulle minacce per rilevare meglio i malintenzionati prima che possano compromettere la risorsa monitorata.

I dati analizzati da ACSIA Detection Logic vengono trasmessi a ML/AI per determinare automaticamente l'azione correttiva più appropriata in base al tipo di minaccia e al livello di gravità. Questi sono automatizzati utilizzando i playbook Ansible per l'orchestrazione delle azioni correttive.

 

11. Amministrazione e gestione

L'interfaccia utente di ACSIA è accessibile tramite un browser web su qualsiasi dispositivo desktop standard o su uno smartphone. Per impostazione predefinita, ACSIA genera certificati SSL autofirmati per la navigazione HTTPS, ma ACSIA può essere distribuito con certificati SSL specifici per il cliente. Per l'accesso all'amministrazione e alla gestione viene utilizzata l'autenticazione a più fattori o l'autenticazione a due fattori.

La notifica degli avvisi è configurabile e può essere inviata tramite e-mail, sistema di messaggistica Slack o Microsoft Teams.

La pagina "Hosts" contiene una tabella degli host client monitorati da ACSIA, dove è possibile aggiungere nuovi client mediante una semplice procedura guidata.

La pagina "Notifiche in tempo reale" contiene l'elenco di tutti gli avvisi attivi e in sospeso, che possono essere esaminati o gestiti.

"Insights" è la pagina in cui sono elencate le dashboard predefinite e personalizzate. Queste sono particolarmente utili per le indagini forensi e comprendono:

  • Dashboard Controllo Accessi
  • User Activity Dashboard
  • General Network Traffic Dashboard
  • IP Address Activity Dashboard
  • All Traffic Dashboard

Nella sezione "Compliance" sono disponibili le analisi e le dashboard relative alla conformità e ai quadri normativi:

  • Security Events Dashboard
  • Integrity Monitoring Dashboard
  • PCI DSS Compliance Dashboard
  • GDPR Compliance Dashboard
  • NIST 800-53 Framework Dashboard
  • Mitre Att&ck® Framework Dashboard
  • Vulnerabilities Dashboard
  • Policy Monitoring Dashboard
  • HIPAA Compliance Dashboard
  • System Auditing Dashboard
  • Trusted Services Criteria Dashboard

Tutte le analytics e le dashboard hanno funzionalità di reporting che possono essere esportate nei principali formati standard.

La sezione "Policies" contiene tutti gli eventi che sono stati attivati, come ad esempio:

  • IP Blacklist
  • IP Whitelist
  • Locked Users
  • Muted Notifications
  • Location Based Access

Nella sezione "Cronologia eventi" vengono registrate tutte le attività dell'interfaccia utente di ACSIA e le risposte di mitigazione. Ad esempio, chi ha autorizzato un utente, chi ha bloccato un account, chi ha bannato un indirizzo IP e così via, tutto questo viene registrato per avere la traccia di chi ha fatto cosa.

Viene utilizzata una "Lista di distribuzione" in cui più membri vengono avvisati quando viene generato un avviso. Tutti gli avvisi in sospeso sono elencati nella sezione "Notifiche in tempo reale", dove sono richieste azioni correttive da parte dell'utente finale.

In "Settings" vengono gestite tutte le impostazioni dell'interfaccia utente:

✔ Preferences

✔ Notifications

✔ Integration

✔ DNS Shield

✔ Log Retention

✔ License

✔ Users

✔ E-mail

✔ 2FA

✔ Software Update

✔ Clients Uninstall

 

12. Caratteristiche e vantaggi principali del prodotto

Le caratteristiche e i vantaggi del prodotto riportati di seguito sono tutti componenti fondamentali del nostro set di prodotti ACSIA. Sono il risultato di anni di ricerca e sviluppo da parte del nostro team di Dectar e rappresentano l'ultimo progresso tecnologico e innovativo nel mercato di cybersecurity.

 

Rilevamento delle minacce
✔ Include una risposta di rilevamento degli endpoint
✔ Contiene una funzione di analisi del kernel per identificare ed eliminare i processi anomali
✔ Include un sistema di rilevamento delle intrusioni
✔ Contiene una tecnologia anti-sorveglianza preventiva per prevenire gli attacchi prima che possano essere pianificati
✔ Include un sistema di prevenzione delle intrusioni
✔ Fornisce protezione per i server e i desktop Windows
✔ Include un sistema di gestione delle informazioni e degli eventi di sicurezza ✔ Fornisce protezione per i server e i desktop Linux.
✔ Include la risoluzione di tutte le minacce alla sicurezza informatica ✔ Fornisce un controllo di integrità a livello di file

 

 

Vantaggi tecnici
✔ Compatibile con i server fisici e virtuali
✔ Scalabile fino a 1000 endpoint 
✔ Compatibile con Container e ambienti Cloud
✔ Requisiti tecnici ridotti (8 core, 16 GB di RAM libera, 200 GB SSD liberi, 1 GB di file da scaricare)
✔ Compatibile con i server fisici e virtuali
✔ Contiene un'interfaccia utente sia web che mobile 
✔ Include intelligenza artificiale e Machine Learning
✔ Funziona in una rete Air-gapped
✔ Costruito con tecnologie open source
✔ Facile installazione (7 minuti)
✔ Implementa il controllo dell'accesso basato sui ruoli (RBAC) per gli utenti interni. ✔ Piena visibilità sugli account privilegiati

 

 

Vantaggi commerciali e per gli utenti
✔ Elimina oltre il 99% dei falsi allarmi positivi
✔ Configurazione del client con agenti
✔ Automatizza e semplifica le operazioni di cybersecurity 
✔ Elimina la necessità di aggiornamenti quotidiani della sicurezza
✔ Commercialmente competitivo e può essere implementato come parte di un piano di riduzione dei costi 
✔ Contiene un'interfaccia utente sia web che mobile 
✔ Tutte le funzionalità del prodotto sopra elencate sono incluse nel prodotto di base - nessun costo extra
✔ Prodotto disponibile con un abbonamento annuale
✔ Fornisce reportistica di gestione ✔ Fornisce reportistica forense