Oggi parliamo di una soluzione molto interessante si tratta di XM Cyber , società fondata dai massimi dirigenti della comunità di cyber intelligence israeliana, leader nella sicurezza del cloud ibrido, che con la sua solozione sta trasformando il modo in cui le organizzazioni individuano e risolvono i rischi di sicurezza nel cloud ibrido. La soluzione analizza come gli aggressori sfruttano e combinano configurazioni errate, vulnerabilità, esposizioni di identità e altro ancora, in ambienti AWS, Azure, GCP.
In questa sede Boaz Gorodissky Co-Founder and CTO XM Cyber ci parlerà della soluzione.
Boaz Gorodissky veterano da 30 anni della comunità dell'intelligence israeliana, di recente ha ricoperto il ruolo di capo della tecnologia riorganizzando le divisioni tecnologiche. Gorodissky ha iniziato la sua carriera come ingegnere del software e poi ha fondato il primo dipartimento informatico offensivo. Boaz Gorodissky ha conseguito un B.Sc. in matematica e informatica e un M.Sc. in informatica presso l'università di Tel-Aviv.
Come e quando è nato XM Cyber?
XM Cyber è nato quando i miei ex colleghi della comunità dell'intelligence israeliana, Noam Erez e Tamir Pardo, e io abbiamo capito che c'era una lacuna all'interno dell'ecosistema degli strumenti di sicurezza informatica: c'erano molti strumenti che potevano mostrare gli attacchi una volta che si erano già fatti strada all'interno delle reti ma pochi che potrebbero mostrare come gli aggressori si muoverebbero attraverso i sistemi prima ancora di prendere piede. Questo ci ha portato al concetto di modellazione del percorso di attacco che aiuta le organizzazioni a vedere le loro esposizioni che portano a risorse critiche ben prima che gli aggressori possano sfruttarle. Con questa intuizione, questi punti deboli possono essere corretti in modo proattivo prima che si verifichino danni.
In che modo la tua esperienza nell'intelligence israeliana ha influenzato la concezione di XM Cyber?
Le agenzie di intelligence israeliane, come qualsiasi altra forte organizzazione di intelligence, si occupano di compiti di sicurezza informatica, sia di difesa che di offesa, e devono trovare modi creativi per raggiungere i propri obiettivi. Questa conoscenza ci ha permesso di comprendere meglio il divario tra lo stato d'animo dell'attaccante e l'approccio del difensore. Questo divario, che chiamiamo "la grande disconnessione", è la ragione principale di così tanti attacchi riusciti.
Quali sono i principali focus della soluzione? Come può aiutare le aziende a migliorare la loro sicurezza informatica?
I team di sicurezza stanno lottando per gestire enormi volumi di problemi di sicurezza e capire quali esposizioni stanno mettendo a rischio le risorse critiche. XM Cyber combina esposizioni tossiche come CVE (vulnerabilità), configurazioni errate, esposizioni di identità, lacune nei controlli di sicurezza e altro per ottenere la prospettiva dell'attaccante su come gli ambienti cloud ibridi possono essere compromessi.
Mappando tutti i possibili percorsi di attacco su un grafico di attacco ed eseguendo analisi intelligenti sul grafico, le organizzazioni ottengono un contesto di rischio rispetto alle risorse critiche che aiuta i team a capire cosa è più a rischio e deve essere risolto. E comprendendo il contesto, è possibile stabilire con precisione la priorità dei problemi, per concentrarsi sulla correzione delle esposizioni in cui convergono i percorsi di attacco. Ciò consente una riparazione produttiva che riduce i rischi nel modo più efficiente in termini di costi.
Come funziona la tua piattaforma? Quali sono i passaggi principali coinvolti nella simulazione degli attacchi e nella valutazione della resilienza dei sistemi? Quali tipi di attacchi può simulare la tua soluzione?
La piattaforma XM Cyber funziona internamente e automaticamente in più fasi per creare il miglior ROI per i nostri clienti.
- Nella prima fase troviamo tutte le esposizioni (CVE, credenziali, autorizzazioni errate, configurazioni errate...) nell'ambiente.
- Nella fase successiva, la piattaforma può calcolare i singoli movimenti laterali di diverse entità.
- La terza fase è quella in cui il sistema combina i singoli movimenti laterali per formare percorsi di attacco verso asset critici
- La quarta fase è quella in cui viene eseguita l'analisi dei grafici e vengono determinati i punti di strozzatura (luoghi in cui si incrociano molti percorsi di attacco).
- La quinta fase consiste nel calcolare le migliori correzioni possibili che possono essere eseguite per eliminare i punti di strozzatura con una chiara guida passo-passo per facilitare ai team l'implementazione della correzione che si adatta meglio a loro.
- L'ultima fase convalida che le correzioni hanno ridotto il rischio, segnala come la postura di sicurezza è migliorata e come questa tendenza nel tempo in modo che possa essere comunicata al consiglio di amministrazione e ai team operativi.
Al fine di fornire i risultati più accurati, il nostro team di ricerca mantiene continuamente un enorme arsenale di attacco, contenente tutti i possibili attacchi che possono essere utilizzati. I tipi di tecniche di attacco che copriamo vanno da quelli che un utente malintenzionato meno sofisticato potrebbe eseguire a quelli che potrebbero essere eseguiti dai più sofisticati gruppi di criminali informatici APT.
In termini di gestione della resilienza del sistema, ci concentriamo su un programma in 3 parti di riparazione continua, composto da:
1. Quick Wins – Queste sono cose che possono essere risolte rapidamente ma avranno un impatto significativo sulla postura della sicurezza.
2. Progetti a medio termine – Ad esempio, audit di configurazione, che richiedono tempo per essere affrontati correttamente.
3. Progetti a medio-lungo termine: si tratta di problemi olistici, alla radice e problemi organizzativi che creano un rischio elevato. Richiedono una notevole quantità di tempo per essere risolti, ma avranno un impatto molto ampio sulla posizione di sicurezza.
Questo approccio, che utilizziamo da anni, combacia con il framework CTEM (Continuous Threat Exposure Management) recentemente rilasciato da Gartner ed è stato fondamentale per aiutare i nostri clienti a diventare più resilienti su base continuativa.
Quali sono le principali minacce contrastate da questa soluzione?
Ci concentriamo sulla riduzione delle esposizioni che creano rischio. Molti strumenti/approcci si concentrano su CVE e vulnerabilità, ma questo approccio lascia molti problemi irrisolti. Esaminiamo problemi di credenziali, infrastruttura e configurazioni errate di Active Directory, autorizzazioni eccessivamente eccessive oltre ai tradizionali CVE per comprendere l'ambiente e i percorsi di attacco creati da questi problemi. In questo modo le organizzazioni possono andare oltre i problemi che possono essere sfruttati in natura per comprendere cosa esiste effettivamente sui percorsi di attacco nel loro ambiente e devono essere risolti.
In che modo le vostre soluzioni si integrano con gli ambienti IT esistenti delle aziende? Ci sono requisiti o sfide speciali che devi affrontare durante l'implementazione? In che modo il tuo team di supporto affronta queste sfide e supporta i clienti durante il processo di adozione?
L'implementazione della soluzione è molto semplice e abbiamo un team che è lì per supportare ogni fase del processo. La nostra piattaforma è uno strumento SaaS, quindi non è necessaria alcuna installazione complessa sugli ambienti dei clienti. Per comprendere gli ambienti on-premise, utilizziamo sensori leggeri e analizziamo gli ambienti cloud tramite API. Supportiamo Windows, Linux, MacOS, AD, AWS, AZURE e GCP. La piattaforma funziona continuamente ed è in grado di analizzare gli effetti di qualsiasi cambiamento nell'ambiente ed è operativamente silenziosa e sicura.
Abbiamo una comprovata esperienza nel lavorare senza soluzione di continuità con organizzazioni complesse e prestigiose su larga scala all'interno di ambienti ibridi.
Quali sono i tuoi piani futuri per il miglioramento e lo sviluppo di XM Cyber? Ci sono nuove funzionalità o caratteristiche che stai lavorando per introdurre?
Lavoriamo sempre per il miglioramento continuo e l'espansione delle capacità. Può sembrare un cliché, ma in XM Cyber lo intendiamo davvero: ad esempio, meno di un anno fa abbiamo acquisito Cyber Observer, un fornitore di Cloud Security Posture Management. E solo pochi mesi fa abbiamo acquisito Confluera, un fornitore di Cloud Extended Detection and Response (CxDR).
In generale, crediamo molto nella capacità della gestione del percorso di attacco di migliorare notevolmente il modo in cui le organizzazioni si proteggono, quindi investiamo continuamente nel miglioramento della nostra tecnologia di base e continuiamo a essere leader in questo mercato. Ma allo stesso tempo, aggiungiamo continuamente più funzionalità per creare una piattaforma con più funzionalità che possono essere utilizzate per la valutazione e la gestione delle vulnerabilità ed essere una piattaforma di sicurezza cloud completa.
Come vedi il futuro della Cyber Security?
Non c'è dubbio che la sicurezza informatica continuerà ad essere uno dei temi più importanti. Il mondo continuerà ad essere sempre più digitalizzato e connesso. Apre maggiori opportunità per il crimine informatico, senza un enorme investimento da parte dell'attaccante. Allo stesso tempo, può essere utilizzato da gruppi sostenuti dallo stato-nazione per raggiungere i propri obiettivi. La sfida che dovranno affrontare i difensori sarà più grande: sistemi enormi e complessi, rapidi cambiamenti, mancanza di risorse umane qualificate e altro ancora.
