cyber threat concept

Gli attacchi informatici sono numerosi e non fanno distinzione tra aziende e singoli individui quando prendono di mira un bersaglio. Molto probabilmente avrai già sentito il temine “cyber threat” sui media ma esattamente di cosa stiamo parlando? Altri modi in cui puoi averlo sentito sono “minaccia informatica”, “cyberattacchi” o simili.

cyber threat malware

Cos’è un Cyber Threat?

Oggi il temine “cyber threat” è usato prevalentemente nel mondo della sicurezza informatica.

Un cyber threat è un atto malevolo concepito con lo scopo di danneggiare sistemi, rubare dati o qualsiasi finalità che ha lo scopo di arrecare danno di qualsiasi natura. Virus, violazioni di dati e attacchi DDoS ne sono compresi. Anche se la minaccia è virtuale, ciò che è reale è l’intento dell’aggressore così come il potenziale impatto. Mentre molti cyberattacchi sono semplici seccature, alcuni sono abbastanza seri. Alcuni, addirittura, minacciano potenzialmente anche vite umane.

Il potenziale impatto che questo genere di attacchi può arrecare è spesso sottovalutato. Il più delle volte, gli attacchi sono facilmente identificabili e non comportano grossi rischi. Invece, altre volte capita di imbattersi in alcune minacce più sofisticate, difficilmente identificabili, che rappresentano un grosso problema anche per molte realtà aziendali.

I cyber threat sono una problematica importante per le aziende. Gli attacchi informatici possono causare interruzioni elettriche, guasti alle attrezzature governative e violazioni di segreti di stato. Possono manipolare le reti telefoniche e informatiche o, come nel caso dei ransomware, possono paralizzare interi sistemi rendendo i dati non accessibili.

Ogni giorno nuove aziende ed organizzazioni mettono piede nel digitale con la consapevolezza dei rischi legati alle loro infrastrutture tecnologiche. In alcuni casi vengono sottovalutate le minacce informatiche e questo significa spesso un grosso danno economico e d’immagine per l’azienda che ha sottovalutato i cyber threat e la sicurezza.

L’aumento dei rischi legati al mondo IT è reale, come lo sono anche le soluzioni di sicurezza dei dati. La cosa migliore da fare è prendere subito le dovute misure di sicurezza.

Tipi di Cyber Threat

I tipi di cyber threat sono numerosi, e bisogna anche considerare che sono in continua evoluzione. L’intento degli hackers di solito è garantirsi un guadagno economico effettuando operazioni di sabotaggio, spionaggio o furto dei dati. Di conseguenza, ci si può aspettare che facciano tutto il possibile per raggiungere i loro scopi.

Praticamente ogni cyber threat rientra in uno sei seguenti dieci tipi di rischi. Gli hackers hanno un’abbondanza di opzioni tra cui scegliere per poter operare. Inoltre, l’alfabetizzazione infomatica è tutto sommato scarsa, quindi gli hacker hanno spesso vita facile, soprattutto per le piccole realtà locali.

I 10 tipi più comuni di minacce informatiche

Malware

È una tipologia di software che esegue un comando malevolo su un dispositivo o all’interno di una rete informatica, corrompendo i dati o prendendo il controllo del sistema.

Phishing

Il phishing è un attacco via e-mail che consiste nell’ingannare il destinatario, facendogli rivelare informazioni riservate o invitandolo a scaricare un malware cliccando su un collegamento presente nel corpo del messaggio. Si tratta di vere e proprie truffe, di cui abbiamo parlato ampiamente in altri articoli. Spesso non coinvolgono nemmeno grandi doti informatiche da parte di chi sferra gli attacchi, solo un po’ di ingegneria sociale.

Vishing

Il vishing è una forma più sofisticata di phishing in cui l’hacker sfrutta la tecnologia VoIP per contattare la vittima, tendando di raggirarla. Esiste anche una variante che invece sfrutta gli sms per attaccare, è chiamata smishing.

Man in the Middle

Come suggerisce il nome stesso, questa tipologia di attacchi si riferisce a quando un hacker si interpone in una conversazione fingendosi una delle due parti, con il fine di sottrare informazioni sensibili. Quello a cui spesso non si pensa, è che la conversazione è tra due macchine e quindi non immdiata da monitorare.

Virus Trojan

L’origine del suo nome prende spunto dal famoso Cavallo di Troia dell’antica Grecia. Il Trojan è un tipo di malware che si infiltra in un sistema informatico nascondendo la sua vera natura. Ad esempio potrebbe spacciarsi per un software conosciuto per poi rilasciare del codice maligno una volta all’interno del dispositivo ospitante.

Ransomware

I ransomware sono degli attacchi che sfruttano la crittografia per rendere inaccessibili le informazioni presenti in un sistema. Il fine è quello di richiedere un riscatto in cambio della possibilità di accedere nuovamente ai dati. Possibilità che a volte, in realtà, non è nemmeno assicurata.

Attacco DDoS

Si verifica quando l’attaccante utilizza molti dispositivi per sovraccaricare di richieste un bersaglio, come ad esempio un sito web, causandone il crash o delle instabilità.

Attacchi ai dispositivi IoT

Questo è un attacco sempre più diffuso per via della natura dei bersagli. Dispositivi come sensori o impianti industriali collegati alla rete sono vulnerabili a molteplici tipi di cyber threat. L’hacker potrebbe prendere il controllo del dispositivo per poi successivamente utilizzarlo in un attacco DDoS. Alternatuvamente potrebbe rubare le informazioni presenti nel dispositivo stesso ottenendo dati importanti per proseguire l’attacco. Dato il loro numero e i sistemi operativi spesso non aggiornati, i dispositivi IoT sono un obiettivo molto appetibile.

Malware all’interno di applicazioni mobile

Cellulari e tablet sono vulnerabili ai malware proprio come ogni altro dispositivo. È possibile inserire malware all’interno di app, nei siti web o nelle e-mail sfruttando il phishing. Una volta compromesso, un dispositivo mobile può fornire l’accesso a informazioni personali, dati di localizzazione e conti finanziari.

Un esempio recente di questo tipo di eventualità è il software Pegasus, utilizzato per monitorare e raccogliere dati di giornalisti in tutto il mondo. (Fonte: The Guardian)

Soluzioni pratiche di difesa e prevenzione

I cyber threat sono sempre in continua espansione e miglioramento. Ogni anno ne vengono creati milioni, in molti seguono le caratteristiche sopracitate, però altri sono tecnologicamente più complessi e più potenti.

Fortunatamente però, ci sono anche sempre più aziende estremamente qualificate nell’ambito della sicurezza informatica che offrono strumenti e servizi all’avanguardia che aiutano a prevenire, identificare e bloccare tempestivamente ogni genere di attacco informatico.

Strumenti di rilevamento delle minacce

Gli strumenti di rilevamento delle minacce sono una parte essenziale dello stack tecnologico di cybersecurity di un’azienda. Il rilevamento delle minacce è anche la prima difesa contro ogni Cyber Threat.

Soluzioni specifiche, come ad esempio l’utilizzo di un SOCaaS, sono di vitale importanza per la salvaguardia di un′infrastruttura informatica, grazie anche all’integrazione del motore SIEM che include UBA e UEBA, garantendo un controllo completo anche sugli utenti.

Un altro strumento utile è sicuramente ACP. Acronis Cyber ​​Protect è una soluzione che integra protezione e gestione dei dati al fine di tutelare endpoint, dati e sistemi. Le sue capacità di automazione forniscono una protezione senza pari, permettendo alle aziende di aumentare la loro produttività e riducendo i rischi.

Vulnerability Assessment & Penetration Test (VA-PT)

I servizi come VA & PT sono test sul campo che mettono alla prova l’infrastruttura in un contesto concreto. I nostri team di hacker white hat trovano vulnerabilità all’interno del sistema per puntare il dito contro le debolezze da risolvere.

cyber threat concept

Conclusioni

Abbiamo appreso cos’è un cyber threat e le sue più comuni tipologie, scoprendo anche quali soluzioni è possibile adottare al fine di garantire una migliore sicurezza aziendale e dei suoi dipendenti.

La tua azienda quali contromisure ha preso per tutelare la tua sicurezza? Se desideri avere ulteriori informazioni a riguardo puoi contattarci premendo il pulsante qui in basso. Offriamo servizi e soluzioni ad hoc per rafforzare le difese aziendali.

Link utili

open data model cover

Estimated reading time: 5 minutes

Con l’avvento delle piattaforme di big data, le aziende che si occupano di sicurezza IT possono ora prendere decisioni guidate su come proteggere le loro risorse. Registrando il traffico di rete e i flussi di rete è possibile farsi un’idea dei canali sui quali scorrono le informazioni aziendali. Per facilitare l’integrazione di dati tra le varie applicazioni e per sviluppare nuove funzionalità analitiche, ci viene incontro l’Open Data Model di Apache.

L’Open Data Model comune per reti, endpoint e utenti ha diversi vantaggi. Per esempio, l’integrazione più semplice tra le varie applicazioni di sicurezza, ma anche le aziende sono facilitate nella condivisione delle analisi nel caso in cui vengono rilevate nuove minacce.

Hadoop offre strumenti adeguati per gestire un Security Data Lake (SDL) e l’analisi dei big data. Si possono anche rilevare eventi che di norma sono difficili da identificare, come ad esempio il lateral movment, fughe di dati, problemi interni o comportamenti furtivi in generale. Grazie alle tecnologie che ci sono dietro al SDL è possibile raccogliere i dati del SIEM per poterli sfruttare tramite SOCaaS dato che, essendo un Open Data Model libero, i log sono memorizzati in maniera tale da poter essere utilizzati da chiunque.

open data model nodi

Cos’è Hadoop Open Data Model

Apache Hadoop è un software gratuito e open source che aiuta le aziende a ottenere informazioni sui loro ambienti di rete. L’analisi dei dati raccolti porta all’individuazione di potenziali minacce di sicurezza o eventuali attacchi che avvengono tra le risorse in cloud.

Mentre i tradizionali strumenti di Cyber Threat Intelligence aiutano nell’identificazione delle minacce e degli attacchi in generale, un Open Data Model fornisce uno strumento che permettere alle aziende di rilevare connessioni sospette sfruttando l’analisi dei flussi e dei pacchetti.

Hadoop Open Data Model unisce tutti i dati relativi alla sicurezza (eventi, utenti, reti, ecc) in un’unica area visiva che può essere utilizzata per identificare le minacce in modo efficace. È possibile anche utilizzarli anche per creare nuovi modelli analitici. Infatti, un Open Data Model permette la condivisione e il riutilizzo dei modelli di rilevamento minacce.

Un Open Data Model, inoltre, fornisce una tassonomia comune per descrivere i dati telemetrici di sicurezza utilizzati per scovare le minacce. Utilizzando strutture e schemi di dati nella piattaforma Hadoop è possibile raccogliere, archiviare e analizzare i dati relativi alla sicurezza.

Open Data Model Hadoop, i vantaggi per le aziende

  • Archiviare una copia dei dati telemetrici di sicurezza
  • Sfruttare le analisi out-of-the-box per rilevare le minacce che puntano a DNS, Flow e Proxy
  • Costruire analisi personalizzate in base alle proprie esigenze
  • – Permette a terzi di interagire con l’Open Data Model
  • Condividere e riutilizzare i modelli di rilevamento delle minacce, algoritmi, visualizzazioni e analisi provenienti dalla community Apache Spot.
  • Sfruttare i dati telemetrici di sicurezza per rilevare meglio le minacce
  • Utilizzo dei registri di sicurezza
  • Ottenere dati dagli utenti, endpoint e dalle entità di rete
  • Ottenere dati di intelligence sulle minacce

Open Data Model: tipi di dati raccolti

Per fornire un quadro completo sulla sicurezza e per analizzare efficacemente i dati relativi alle minacce informatiche, è necessario raccogliere e analizzare tutti i log e gli avvisi riguardanti gli eventi di sicurezza e i dati contestuali inerenti alle entità a cui si fa riferimento in questi log. Le entità più comuni comprendono la rete, gli utenti e gli endpoint ma in realtà sono molte di più, come ad esempio i file e i certificati.

Proprio per la necessità di raccogliere e analizzare gli avvisi di sicurezza, i log e i dati contestuali, i seguenti tipi di dati sono inclusi nel Open Data Model.

Avvisi su eventi di sicurezza in Open Data Model

Questi sono i log relativi agli eventi provenienti da fonti di dati comuni utilizzati per identificare le minacce e comprendere meglio i flussi di rete. Per esempio i log del sistema operativo, i log IPS, i log firewall, i log dei proxy, web e molti altri ancora.

Dati del contesto di rete

Questi includono le informazioni sulla rete che sono accessibili a chiunque dalla directory Whois, oltre che database di risorse e altri fonti di dati simili.

Dati del contesto dell’utente

Questo tipo di dati include tutte le informazioni relative alla gestione degli utenti e della loro identità. Sono incluse anche Active Directory, Centrify e altri sistemi simili.

Dati del contesto dell’endpoint

Comprende tutte le informazioni sui sistemi endpoint (server, router, switch). Possono provenire da sistemi di gestione delle risorse, scanner delle vulnerabilità e sistemi di rilevamento.

Dati contestuali sulle minacce

Questi dati contengono informazioni contestuali su URL, domini, siti web, file e molto altro ancora, sempre inerenti alle minacce conosciute.

Dati contestuali sulle vulnerabilità

Questi dati includono informazioni sulle vulnerabilità e sui sistemi di gestione delle vulnerabilità.

Articoli della RoadMap

Questi sono dati contestuali dei file, certificati, convenzione di denominazione.

open data model cover

Denominazione degli attributi

Una convenzione di denominazione è necessaria per un Open Data Model al fine di rappresentare gli attributi tra prodotti e tecnologie del fornitore. La convezione di denominazione è composta da prefissi (net, http, src, dst, etc) e da nomi di attributi comuni (ip4, usarname, etc).

È comunque opportuno utilizzare più prefissi in combinazione con un attributo.

Conclusioni

Abbiamo visto cos’è l’Open Data Model di Hadoop e come può essere impiegato grazie alla sua capacità di filtrare il traffico ed evidenziare potenziali attacchi informatici elencando i flussi sospetti, le minacce per gli utenti, i pericoli per gli endpoint e le principali minacce di rete.

Se hai dubbi o desideri avere ulteriori chiarimenti non esitare a contattarci premendo il pulsante qui in basso, saremo lieti di rispondere ad ogni domanda.

Useful links:

pass the ticket laptop

Estimated reading time: 5 minutes

Ogni anno cresce costantemente il numero di attacchi che minacciano la sicurezza di dispositivi, sistemi informatici, server e infrastrutture di rete. Questo avviene traendo vantaggio dalle vulnerabilità presenti in questi sistemi. Tra le tante tipologie di attacchi, bisogna prestare particolarmente attenzione all’attacco pass the ticket (PTT).

Con un attacco pass the ticket è possibile sfruttare il protocollo di rete Kerberos, presente in tutti i principali sistemi operativi, per accedere alla sessione di un utente pur non avendo le sue credenziali d’accesso. Un attacco di questo tipo può essere difficile da rilevare e solitamente è in grado di aggirare i più comuni controlli d’accesso al sistema.

pass the ticket laptop

Pass The Ticket: cos’è e come funziona

Kerberos

Prima di capire nel dettaglio cos’è e come funziona un attacco PTT è opportuno fare un po’ di chiarezza sul protocollo di rete Kerberos dato che un attacco di questo tipo, sfrutta proprio questo protocollo. Kerberos è un protocollo di rete progettato dal MIT negli anni ’80 ed è diventato uno standard IETF nel 1993. Viene usato per l’autenticazione forte tra diversi terminali tramite un sistema di crittografia a chiave simmetrica, senza trasmettere alcuna password.

Il vantaggio nell’utilizzare il protoccolo Kerberos sta nel suo sistema di autenticazione forte tra client e server. Questo lo rende molto efficace contro i tentativi di phishing e contro gli attacchi “man in the middle“.
Kerberos è integrato in tutti i principali sistemi operativi appartenenti ad aziende note come Microsoft, Apple, Red Hat Linux e molte altre ancora.

Con un attacco pass the ticket è possibile sfruttare l’autenticazione Kerberos per ottenere l’accesso ad un account utente. Le conseguenze che potrebbe comportare un avvenimento del genere non sono da sottovalutare. Tra i tanti scenari immaginabili ad esempio, ci potrebbe essere la possibilità che l’account compromesso goda di elevati privilegi amministrativi garantendo così all’hacker pieno accesso alle risorse.

L’attacco

Un attacco pass the ticket permette di ottenere un accesso privilegiato alle risorse di rete senza dover utilizzare alcuna password utente. Ecco come: in Active Directory, un Ticket Granting Ticket (TGT) ha la funzione di dimostrare che un utente è proprio chi dice di essere. Tramite alcuni strumenti e tecniche, un hacker potrebbe raccogliere questi ticket e utilizzarli per richiedere dei Ticket Granting Service (TGS) con il fine di accedere alle risorse presenti in altre parti della rete.

Un attacco PTT potrebbe comportare dei rischi anche se l’account compromesso non gode di particolari privilegi amministrativi dal momento che l’hacker, tramite il Lateral Movment, potrebbe riuscire ad ottenere l’accesso ad altri account e dispositivi.

La differenza tra il pass the ticket e un attacco pass the hash sta nel fatto che il primo sfrutta i ticket TGT che hanno una scadenza di poche ore, mentre il secondo utilizza gli hash NTLM che cambiano solo nel caso in cui un utente decida di cambiare la sua password. Un ticket TGT deve essere utilizzato entro i tempi della sua scadenza oppure va rinnovato per un periodo di tempo più lungo.

Come difendersi e prevenire un attacco Pass The Ticket

Mantenere sicura una rete e i dispositivi ad essa connessi è un fattore molto importante. Bisogna sempre avere protocolli e software che riescano a garantire una protezione efficace da ogni tipo di minaccia, con sistemi aggiornati che mantengano le informazioni sensibili al sicuro. Le aziende possono avvalersi di tecnologie di rilevamento e risposta degli endpoint. Sarà possibile il rilevamento locale di più ticket utilizzati per la stessa sessione.

Caso account senza privilegi

Nel caso in cui avvenga un attacco pass the ticket, se l’account compresso a cui è stato sottratto il TGT o il TGS era un account con privilegi limitati, la mitigazione potrebbe essere abbastanza semplice. Basta reimpostare la password di Active Directory dell’utente. Un’azione simile invaliderebbe il TGT o il TGS, impedendo all’hacker di generare nuovi ticket.

Caso account con privilegi

Al contrario, se l’attacco PTT ha compromesso un account privilegiato, limitare il danno è molto più difficile. In questi casi, le aziende potrebbero rispondere all’attacco reimpostando il servizio Kerberos TGT in modo da generare una nuova chiave di firma, assicurandosi di eliminare la chiave compromessa.

Successivamente è necessario analizzare nel dettaglio i registri Kerberos e le informazioni di Active Directory per investigare e scoprire a quali risorse di rete sono state compromesse. In questo modo si ha anche modo di capire quali dati potrebbero essere stati sottratti. La tecnologia SIEM ​​consente alle organizzazioni di assimilare, analizzare e analizzare questi dati.

Pass the ticket User privileges

Protezione dall’attacco

Per garantire una protezione completa ad una infrastruttura, impedendo anche attacchi pass the ticket, è bene usare tecnologie di rilevamento valide come UEBA e SIEM. Infatti, è possibile prevenire attacchi Pass The Ticket analizzando il comportamento degli utenti e delle entità. La soluzione UEBA, in questi casi, assicurerebbe l’identificazione rapida di qualsiasi account compromesso, bloccandolo in modo da mitigare i danni.

Alcuni software SIEM inoltre, permettono non solo di analizzare i tradizionali logs ma sono in grado anche di fornire un’analisi accurata della sicurezza, analizzando il comportamento della rete e degli utenti in modo da rilevare tempestivamente la presenza di eventuali minacce all’infrastruttura.

Conclusioni

Abbiamo visto cos’è un attacco pass the ticket e in che modo le aziende possono adottare soluzioni specifiche per intercettare i pericoli e le anomalie di un’intera infrastruttura informatica. Possiamo così mitigare più efficacemente le minacce.

Una soluzione completa, come abbiamo visto, coinvolge un monitoring costante e granulare delle comunicazioni. La soluzione che proponiamo a questo scopo è un SOCaaS.

Se vuoi conoscere i nostri servizi dedicati alla sicurezza, non esitare a contattarci. Puoi usare il pulsante qui sotto, saremo lieti di rispondere a qualsiasi tua domanda.

Useful links:

auomazione sicurezza informatica team

Estimated reading time: 6 minutes

I continui progressi in ambito di automazione della sicurezza informatica hanno permesso agli analisti di potersi dedicarsi maggiormente all’analisi delle minacce più importanti. Questo evitando di sprecare energie eseguendo operazioni ripetitive.

Anche se questi progressi tecnologici portano benefici in termini di tempo, è fondamentale avere il controllo completo su tutti i processi integrati dai sistemi automatizzati. Proprio per questo è importante utilizzare strumenti che semplificano il compito, come ad esempio un SOAR.

SOAR è l’acronimo di Security Orchestration, Automation and Response e descrive l’insieme delle funzionalità impiegate per proteggere i sistemi informatici dalle minacce.

Le funzioni di automazione della sicurezza informatica consentono di alleggerire il carico di lavoro delle organizzazioni, automatizzando i comportamenti consueti di basso valore. Il grado di automazione dev’essere regolato adeguatamente e i team di sicurezza devono stabilire quali azioni debbano includere l’interazione umana, che rappresenta l’aspetto fondamentale nei processi di analisi.

I vantaggi che comporta l’impiego di un SOAR sono sostanzialmente due: riduzione del tempo di risposta agli incidenti informatici e miglioramento dell’efficienza del SOC.

auomazione sicurezza informatica

SOAR: progetti di automazione per la sicurezza informatica

È necessario effettuare alcune analisi preliminari prima di poter avviare un progetto di automazione di sicurezza SOAR.

Fase 1: Identificazione delle Procedure Standard Operative (SOPs) da attivare in risposta delle minacce

Prima di avviare un progetto di automazione, è opportuno effettuare delle analisi delle Procedure Standard presenti in azienda, ovvero dei processi di risposta e di investigazione degli incidenti che si vuole automatizzare. È importante identificare quali casi d’uso si vogliono implementare e migliorare prima di passare al passaggio successivo.

Fase 2: Analisi degli strumenti da orchestrare all’interno dei processi

Questa seconda fase consiste nell’analisi degli strumenti che bisogna orchestrare all’interno dei processi per poter effettuare indagini ed eseguire azioni correttive.

Fase 3: Verifica e creazione di connettori API

La terza fase consiste nel verificare che tutti i connettori API per effettuare le singole azioni identificate al punto due siano disponibili o sviluppabili.

Fase 4: Creazione dei connettori API mancanti

Alcune soluzioni SOAR presenti sul mercato sono molto chiuse e per poter effettuare qualche modifica è necessario rivolgersi al produttore. La flessibilità dev’essere una caratteristica chiave di un SOAR, così come la possibilità di poter scrivere e modificare in autonomia i connettori.

Fase 5: Miglioramento dei processi utilizzando workflow grafici

Con la logica dei playbook è possibile creare workflow grafici, in modo da avere sotto controllo tutti quei processi che devono essere eseguiti da un SOAR nell’automazione della sicurezza informatica.

Fase 6: Automazione progressiva

È importante decidere come dev’essere eseguita ogni singola azione dei processi. Qui sotto elenchiamo tre tipologie di azioni:

Totalmente automatiche: tutte quelle azioni eseguite direttamente dal SOAR senza l’ausilio dell’intervento umano.

Semi automatiche: le azioni che necessitano un’attivazione da parte di un analista.

Manuali: tutti i task che un analista deve svolgere manualmente, utilizzando altre tecnologie.

Automazione sicurezza informatica e orchestrazione: le differenze

Quando parliamo di orchestrazione, ci riferiamo alla possibilità di poter gestire tutti gli strumenti di cui gli analisti hanno bisogno, permettendo loro di replicare i processi di risposta alle minacce e di ottenere tutte le informazioni di cui hanno bisogno per poter prendere le giuste decisioni.

Un’automazione della sicurezza informatica, invece, permette di accelerare l’implementazione dei processi, dato che l’operatore interviene solo quando bisogna prendere delle decisioni gestionali.

Automazione della sicurezza informatica in un SOAR

Il SOAR è uno strumento che permette alle organizzazioni di poter replicare i propri processi operativi di sicurezza in un flusso di lavoro che consenta di orchestrare diverse tecnologie esistenti col fine di identificare, tracciare e rispondere agli incidenti informatici in maniera efficace e tempestiva. Gli analisti, in genere, hanno un’infinità di compiti da svolgere e l’automazione dei compiti e dei processi svolge un ruolo fondamentale, permettendo loro di concentrarsi sulle minacce più importanti.

Il SOAR non sostituisce l’intervento umano ma aiuta a velocizzare in modo significativo le attività degli analisti, essendo uno strumento che permette di far dialogare tra loro più tecnologie in un’unica piattaforma.

Quali sono i processi di sicurezza informatica che possono essere automatizzati

Il SOAR è progettato per gestire gli incidenti di sicurezza in un ambiente IT, in considerazione all’enorme quantità di strumenti adottati per rispondere alle minacce. Negli ultimi anni, il numero di reati informatici è salito vertiginosamente. Sono sempre più comuni i tentativi di phishing, smishing, doxing, ransomware e altre tipologie di intrusione più sofisticate.

Un numero maggiore di attacchi comporta un incremento dei processi, e conseguenzialmente anche degli strumenti e delle risorse umane impiegate per eseguire tutte le operazioni necessarie per garantire una corretta protezione di un sistema IT. Grazie al SOAR, gli analisti hanno la possibilità di ricevere notifiche e task fondamentali, permettendo loro di verificare tutte le informazioni raccolte e attivare le contromisure di contenimento.

Il SOAR non solo gestisce gli incidenti di sicurezza informatica, ma è utile anche a svolgere tutte quelle operazioni ripetitive.

Aumentare la velocità di risposta agli incidenti

Il SOAR permette di far seguire le Procedure Operative Standard (SOP), assegnando task e aumentando la collaborazione tra macchine e il team di sicurezza. L’esecuzione di procedure all’interno delle SOP può richiedere molto tempo come, ad esempio, tutte quelle attività ripetitive come l’analisi degli alert e la generazione reportistica.

Per i team di sicurezza, è inaccettabile sprecare energie dietro tutte queste procedure. Un SOAR aiuta ad automatizzare tutte quelle attività ripetitive che presentano minori rischi, consentendo agli analisti di lavorare in modo coordinato.

Una volta individuata e analizzata una minaccia, assegna il task agli operatori e, grazie all’automatizzazione dei compiti ripetitivi, gli analisti ottengono tempestivamente tutte le informazioni necessarie da utilizzare nei processi decisionali in modo da contenere la minaccia.

Il SOAR analizza automaticamente gli alert, documentandone le caratteristiche e classificando la loro natura. I dati collezionati vengono trasmessi agli analisti che, non avendo più la necessità di dover accedere a tanti diversi strumenti, possono focalizzare la loro attenzione sulle minacce reali in modo da sfruttare le loro competenze nelle attività che necessitano dell’analisi da parte dell’uomo e nelle attività di lateral movment.

Senza SOAR, la fase di analisi e le risposte a tutti gli alert vengono eseguite manualmente dagli analisti, con gran dispendio di tempo ed energie, aumentando significativamente il tempo di risposta ad un incidente informatico.

auomazione sicurezza informatica team

SOAR:soluzione per tutte le aziende

Inizialmente il SOAR era principalmente adottato dalle grandi organizzazioni e aziende che avevano creato ambienti SOC interni con molteplici dipendenti.

Un SOAR ben progettato e implementato è in grado di essere scalato sia verticalmente che orizzontalmente. Considerando che anche le piccole e medie aziende hanno bisogno di un SOAR, è possibile adottare un modello scalabile che offre alle organizzazioni più piccole gli stessi vantaggi che offrono alle organizzazioni più grandi.

Conclusioni

Abbiamo visto cos’è un SOAR e il suo impiego come strumento di automazione della sicurezza informatica, utilizzato per alleviare il carico di lavoro degli analisti, automatizzando un’ampia gamma di attività ripetitive.

A differenza di molte altre aziende, la nostra soluzione SOCaaS include anche la possibilità, per il cliente, di utilizzare il SOAR. Se desideri saperne di più, non esitare a contattarci, siamo pronti a rispondere a tutte le tue domande.

Useful links:

Uso di un socaas cover

Estimated reading time: 5 minutes

Nell’articolo precedente abbiamo visto i più comuni casi d’uso di un SOCaaS, spiegando in che modo può essere utile per le aziende avvalersi di questo strumento per prevenire attacchi informatici e spiegando inoltre quali sono i Threat Models più comuni.

In questo articolo, invece, vedremo più da vicino alcuni dei più comuni indicatori di compromissione (IOC). Prima vedremo brevemente i modelli di minaccia malware che l’uso di un SOCaaS può prevenire e bloccare. Per come funziona, un SOCaaS può essere molto duttile e analizzare molti dati contemporaneamente, fornendo così risultati approfonditi e precisi.

uso di un socaas network

Malware Threat Models

È importante saper distinguere e classificare le diverse tipologie di malware per capire in che modo possono infettare sistemi e dispositivi, il livello di minaccia che rappresentano e come proteggersi da essi. Noi di SOD consigliamo di adottare l’uso di un SOCaaS in modo da poter classificare l’intera gamma di malware o di oggetti potenzialmente indesiderati. I malware vengono catalogati in base all’attività che svolgono sui sistemi infetti.

Rilevamento malware Wannacry

Grazie a questo modello di minaccia è possibile rilevare il comportamento del noto malware Wannacry.
Il malware Wannacry è un ransomware che attacca il sistema crittografando file di particolare importanza per un’organizzazione in modo da renderli illeggibili.

Il rilevamento tempestivo di un ransomware è probabilmente l’azione più efficace che si possa svolgere per difendersi. Esistono anche servizi che riescono a bloccare l’azione del malware e ripristinare gli eventuali file già cifrati con quelli di un backup, per esempio Acronis Cyber Protect Cloud.

Anomalia del network seguita da infiltrazioni di dati

Identifica i tentativi di aggregazione dei dati di rete che hanno avuto successo, seguiti da segni di infiltrazione dei dati. Qui di seguito vediamo alcune delle anomalie e di come l’uso di un SOCaaS possa individuare indizi importanti per contrastare le minacce.

Durante una scansione della rete è possibile notare enumerazioni di account e privilegi AD, conteggio dei servizi LDAP fuori dalla rete aziendale e un numero sospetto di richieste di ticket al protocollo Kerberos. Inoltre, altri indicatori possono essere un picco nel traffico LDAP e l’enumerazione dei servizi SMB.

Per quello che riguarda le anomalie dell’unità di rete, l’uso di un SOCaaS è in grado di controllare gli accessi allo sharepoint in modo da individuare un numero insolito di accessi ad elementi condivisi. Questo anche in relazione agli utenti e al loro livello di accesso.

Sotto l’aspetto di Data Aggregation e di infiltrazione di dati, sono monitorati le quantità di byte scaricati dalle porte dei server e tramite protocolli FTP, così come una quantità inconsueta di byte trasmessi verso l’esterno.

Rilevamento Petrwrap/Goldeneye/Amalware

Questo modello di minaccia ha lo scopo di rilevare il malware Petrwrap. L’uso di un SOCaaS può rilevare attività di network scanning tramite il monitoring del numero di attività SMBv1, così come le anomalie in queste attività. Anche il tentativo di raggiungere un host mai raggiunto prima potrebbe essere un indicatore.

Un altro modo in cui è possibile individuare queste minacce con l’uso di un SOCaaS è il controllo delle attività con privilegi sospette. Per esempio si verifica che non ci sia un’escaletion di privilegi, un accesso insolito in una zona admin o anche la manomissione dei file di log.

Indicatori di rischio in generale

Gli indicatori di rischio sono metriche utilizzate per mostrare che l’organizzazione è soggetta o ha un’elevata probabilità di essere soggetta a un rischio.

Questi indicatori vengono usati per classificare il tipo di comportamento o minaccia per una policy e possono essere utilizzati in più policy per diverse funzionalità in base all’origine dei dati. Gli indicatori di rischio possono essere concatenati con i modelli di minaccia per identificare attacchi sofisticati su più fonti di dati.

Si tratta, in sostanza, di indizi o campanelli di allarme che indicano eventi a cui gli operatori di sicurezza di un’azienda dovrebbero prestare particolare attenzione. L’uso di un SOCaaS può aiutare a individuare questi indizi grazie all’analisi di grandi quantità di dati e log in tempi ridotti.

Qui di seguito vediamo un elenco non esaustivo di alcuni degli indicatori di minaccia più comuni che sono individuabili tramite l’uso di un SOCaaS. Li divideremo in diversi ambiti, per chiarezza.

Accessi

Le anomalie che riguardano l’accesso o comunque l’account includono il rilevamento di accesso allo sherepoint amministrativo anomalo ma anche tempi di caricamento delle applicazioni anomali. Anche applicazioni che utilizzano una quantità inconsueta di memoria potrebbero essere indicatori di compromissione.

Per quello che riguarda gli account, ovviamente, il blocco di un account risulta un campanello di allarme, così come un numero inconsueto di account creati o un numero spropositato di autenticazioni fallite. Infine, l’uso di un SOCaaS potrebbe indicare come IOC un numero sospetto di account in esecuzione contemporaneamente.

Uso di un socaas cover

Reti

I campanelli di allarme che riguardano le reti sono, ovviamente, quelli più comuni. Essendo le reti come “le strade” di un’infrastruttura aziendale, è normale che i comportamenti anomali in queste siano particolarmente rilevanti.

Come indicatori comuni ci sono i trasferimenti anomali di zone DNS o le richieste non riuscite fatte al firewall. Ma anche un numero anomalo di host in esecuzione o di connessioni ICMP. Tramite l’uso di un SOCaaS è controllato anche il traffico in generale, in modo che ogni movimento sospetto di dati sia analizzato o comunque verificato. Un esempio di questo sono i movimenti di pacchetti verso porte critiche, i tentativi di connessione RDP, SSH o a un server DHCP. Questi eventi indicano spesso dei tentativi anomali di connessione a oggetti o a condivisioni di rete.

Tramite l’uso di un SOCaaS è molto semplice anche controllare il comportamento degli account che spesso mostrano di per sé dei campanelli di allarme. Per esempio, un account che accede a un host per la prima volta, la creazione di un account o l’aggiunta di privilegi.

Conclusioni

Affidarsi alla fortuna per catturare le minacce è una follia, come ci ha dimostrato l’attacco SolarWinds.

Create la vostra fortuna con la nostra soluzione SOCaaS, assicurandovi di individuare le minacce prima che accadano incident e di essere abbastanza “fortunati” da contrastarle.

Contattaci per sapere come i nostri servizi possono rafforzare le difese della tua azienda, saremo lieti di rispondere a ogni domanda.

Useful links:

uso socaas cover

Estimated reading time: 7 minutes

Le applicazioni di Cyber Threat Analytics monitorano i log di sicurezza e il network per rilevare in maniera tempestiva eventuali infezioni malware (per esempio, gli attacchi zero day e i ransomware), la compromissione del sistema, le attività di “lateral movement”, pass-the-hash, pass-the-ticket e altre tecniche avanzate d’intrusione. L’uso di un SOCaaS permette di estrapolare dati da sorgenti come firewalls, proxy, VPN, IDS, DNS, endpoints, e da tutti i dispositivi connessi alla rete con lo scopo di identificare modelli dannosi come il “beaconing”, connessioni a domini generati digitalmente, azioni eseguite da robot e tutti i comportamenti anomali.

Il nostro sistema SOCaaS è dotato di intelligenza artificiale che arricchisce e trasforma gli eventi SIEM, in modo da identificare le minacce nell’intero ambiente IT, includendo anche le applicazioni aziendali critiche.

Quali sono i vantaggi a livello aziendale?

L’uso di un SOCaaS. Qui sotto è riportata una lista con soltanto alcuni dei vantaggi che l’uso di un SOCaaS può comportare un rapido rilevamento delle violazioni, la riduzione dell’impatto di queste. Inoltre, un SOCaaS fornisce risposte e indagini complete sulle minacce, diminuisce i costi di monitoring e gestione, così come i costi di conformità.

L’uso di un SOCaaS permette, inoltre, di ricevere segnalazioni quantificate e non soggettive su minacce e rischi.

uso socaas

Casi d’uso SOCaaS

Dopo una panoramica generale sui vantaggi che potrebbe offrire all’azienda l’uso di un SOCaaS, vediamo in quali contesti viene normalmente impiegato.

Un SOCaaS è costituito da elementi che sono molto idonei per essere applicati in caso di esecuzioni anomale di applicazioni, così come nell’analisi del traffico bot verso un sito web dannoso.

In altri casi il SOCaaS individua query DNS insolite, una possibile attività di comando e controllo a distanza, analizza gli spike in byte verso destinazioni esterni e quindi controlla anche il traffico, relazionandolo in un contesto applicazione/porta.

Altri scenari in cui l’uso di un SOCaaS è ideale sono i rilevamenti di exploit, di sessioni dalla durata insolita, ma anche di connessioni a IP o domini in blacklist e di attività anomale in genere.

Infine, è in grado anche di individuare attacchi di SPAM mirato e i tentativi di phishing.

Threat Models

Analizzando gli indicatori di minaccia è possibile rilevare comportamenti correlati su più origini di dati, per rilevando anche tutte quelle minacce che solitamente passano inosservate. Molteplici indicatori di minaccia che si verificano in uno schema e che coinvolgono entità simili tendono a presentare un maggior rischio di costituire una minaccia reale.

I Threat Models definiscono questi schemi e combinano le policy e gli indicatori di minaccia per rilevare i comportamenti correlati su più sorgenti di dati, identificando le minacce che potrebbero passare inosservate. In seguito sono riportati alcuni dei Threat Models più comuni che sono inclusi nell’uso di un SOCaaS

Rilevamento dei Lateral Movement

Questo Threat Model rileva i possibili scenari di “lateral movement”, impiegati dagli aggressori per diffondersi progressivamente in una rete alla ricerca di risorse e dati chiave. I segnali di un attacco del genere possono essere vari e li possiamo dividere in tre categorie: Autenticazione anomala, privilegi sospetti, processo anomalo.

Autenticazione anomala è solitamente individuabile tramite alcuni indizi. Per esempio se un account accede a un host mai raggiunto prima. Oppure se vengono usate credenziali esplicite su più host, oppure ancora se viene rilevato un tipo/processo di autenticazione sospetto.

Per quello che riguarda i privilegi sospetti, ecco alcuni indicatori rilevabili con l’uso di un SOCaaS:

  • attività di provisioning anomala
  • escalation sospetta dei privilegi
  • accesso anomalo agli oggetti della condivisione della rete

Un processo anomalo viene individuato in questo modo tramite l’uso di un SOCaaS: un codice processo inconsueto, oppure la creazione sospetta di attività pianificate. Alternativamente possono essere rilevati dei cambiamenti sospetti alle impostazioni del registro di sistema.

Rilevamento di host compromessi

Questo modello viene impiegato nell’uso di un SOCaaS per rilevare gli host che mostrano segni di infezione e compromissione mettendo in relazione le anomalie basate su host e rete sulla stessa entità.

Un possibile allarme è dato dalle anomalie nel traffico in uscita. Questo si verifica quando il traffico si dirige verso domini casuali o host notoriamente malevoli. In altri casi, invece, un numero anomalo di domini contattati è un altro campanello di allarme rilevabile tramite l’uso di un SOCaaS.

Sono trovate anomalie nell’endpoint quando si trovano processi rari o un uso sospetto di porte o protocolli da parte del processo stesso. Una possibilità è anche quella di rilevare un agente inconsueto.

Rilevazione APT tramite uso di un SOCaaS

La rilevazione APT individua gli attacchi alle reti informatiche sanitarie, in cui lo scopo dell’aggressore solitamente è quello di ottenere un accesso non autorizzato a una rete con l’intenzione di rimanere inosservato per un periodo prolungato.

Questo include tentativi di phishing, l’individuazione di una scansione di rete o un’elusione dei controlli. In fase di delivery, invece, potrebbe essere individuato traffico verso domini casuali, un’anomalia nel traffico DHCP o traffico destinato verso host notoriamente dannosi.

In fase di exploit, gli indicatori possono essere: la rilevazione di attività da account terminati, traffico DNS anomalo, ma anche un processo di autenticazione sospetto. Un altro possibile indicatore individuabile con l’uso di SOCaaS è un’anomalia nella velocità della rete.

Tramite l’uso di un SOCaaS possono essere individuati anche casi di esfiltrazione di dati. I segnali in questo caso sono l’upload non autorizzato di dati sulla rete.

Modello rilevamento Phishing tramite uso di SOCaaS

Questo modello è in grado di rilevare possibili tentativi di phishing verso utenti all’interno dell’organizzazione. Ne abbiamo parlato anche in altri articoli, ed ecco alcuni indicatori di questo tipo di attacchi. Un campanello di allarme è sicuramente il rilevamento di campagne di phishing note. Non è raro, inoltre, che si individuino attacchi di spear phishing.

L’uso di un SOCaaS è in grado anche di individuare possibili tentativi di phishing o Campagne di phishing persistenti, grazie al confronto con email da mittenti/domini/indirizzi IP noti nelle blacklist. Come al solito, bisogna fare attenzione agli allegati e-mail sospetti, ma l’uso di un SOCaaS potrebbe automatizzare, almeno in parte, i controlli.

È poi possibile individuare delle anomalie del traffico in uscita, per esempio quello verso domini casuali, anch’esso possibile segnale di phishing. Possono essere indicatori anche il classico traffico verso host malevoli, un numero anomalo di domini rari a cui si è acceduto.

uso socaas cover

Enumerazione di Host/Account su LDAP

Utilizzato, solitamente, per identificare potenziali asset o enumerazioni di account sulla rete da parte di entità maligne.

Esecuzione di processi sospetti

  • Processo/MD5 anomalo rilevato
  • Uso di possibili set di strumenti di enumerazione AD (Active Directory)
  • Rilevato l’uso di strumenti e utilità malevoli

Scansione della rete

  • Possibili account AD/privilegi di enumerazione
  • Conteggio dei servizi LDAP o SMB
  • Numero anomalo di richieste di ticket di servizio Kerberos
  • Port scanning

Anomalie di autenticazione

  • Account che accedono a un host per la prima volta
  • Uso di account mai visti prima sulla rete
  • Numero anormalo di richieste di autenticazione fallite

Ricognizione seguita da un potenziale sfruttamento

Questo modello di minaccia mira a identificare i tentativi di ricognizione della rete che hanno avuto successo, seguiti da indicatori di sfruttamento.

Scansione esterna

  • Scansione delle porte da host esterni
  • Enumerazione di host da host esterni

Scansione della rete

  • Possibile conteggio di account/privilegi AD
  • Enumerazione di servizi LDAP
  • Numero insolto di richieste di ticket di servizio Kerberos
  • Picchi nel traffico LDAP
  • Enumerazione di servizi SMB

Anomalie nei processi

  • Rilevamento dei processi o MD5 anomali
  • Creazione sospetta di attività pianificate
  • Rilevati cambiamenti sospetti alle impostazioni del registro di sistema

Conclusioni

Abbiamo visto quali sono i maggiori casi d’uso SOCaaS, dando uno sguardo ad alcuni dei modelli di minaccia più comuni che include nel suo sistema di protezione. Per avere informazioni sui modelli di minaccia relativi ai malware e sugli identificatori di minaccia visitate questo articolo.

L’uso di un SOCaaS è una soluzione aziendale solida e di grande valore, chiedici cosa può fare per la tua azienda, saremo lieti di rispondere a ogni domanda.

Useful links:

NIST Cybersecurity Framework

Il NIST Cybersecurity Framework è un insieme di linee guida sviluppato per ridurre i rischi legati alla sicurezza informatica. Elenca delle attività specifiche associate alla gestione del rischio di sicurezza informatica basandosi su standard e linee guida già esistenti. È uno dei più popolari framework dedicati alla sicurezza informatica ed è impiegato in modo diffuso perché fornisce un aiuto sotto l’aspetto della gestione del rischio.

Redatto dal National Institute of Standards and Technology (NIST), questo quadro di cybersecurity affronta la mancanza di standard quando si tratta di cybersecurity. Infatti, fornisce un insieme uniforme di regole, linee guida e standard per le organizzazioni da utilizzare nei vari settori. Il NIST Cybersecurity Framework (a volte abbreviato NIST CSF) è ampiamente considerato come il gold-standard per costruire un programma di cybersecurity.

Sia che tu abbia appena iniziato a stabilire un programma di cybersecurity o che tu stia già eseguendo un programma abbastanza maturo, il framework può fornire valore aggiunto. Agisce come uno strumento di gestione della sicurezza di alto livello che aiuta a valutare il rischio di cybersecurity in tutta l’organizzazione.

NIST Cybersecurity Framework

La struttura del NIST Cybersecurity Framework

Il NIST Cybersecurity Framework è strutturato principalmente in tre parti:

Core: contiene una serie di attività, risultati e riferimenti su aspetti e approcci legati alla sicurezza informatica.
Implementation Tiers: è un sistema di classificazione che aiuta le organizzazioni a fare chiarezza sugli aspetti dedicati alla gestione del rischio di sicurezza informatica.
Profile: in sostanza è l’elenco dei risultati che un’organizzazione ha scelto, in base alle proprie necessità, dalle categorie e sotto-categorie della struttura.

Funzioni e categorie delle attività di cybersecurity

Il Core del NIST possiamo dividerlo in 5 sezioni, che a loro volta sono suddivise in 23 categorie. Per ogni categoria si definisce una serie di sotto-categorie, per un totale complessivo di 108 sotto-categorie. Ogni sotto-categoria, fornisce delle Risorse informative che fanno riferimento a sezioni specifiche di altri standard di sicurezza, come ISO 27001, COBIT, NIST SP 800-53, ANSI/ISA e CCS CSC.

La complessità di questo framework, ha dato origine alla creazione di progetti di legge che guidano il NIST a creare delle linee guida facilmente accessibili alle piccole e alle medie imprese.

Sezioni del NIST Cybersecurity Framework

NIST Sezioni

Identificazione (Identify)

La funzione di identificazione si concentra sul porre le basi per un efficace programma di cybersecurity. Questa funzione assiste nello sviluppo di una comprensione organizzativa per gestire il rischio di cybersecurity per sistemi, persone, beni, dati e capacità. Per consentire a un’organizzazione di concentrare e dare priorità ai suoi sforzi, coerentemente con la sua strategia di gestione del rischio e le esigenze di business, questa funzione ha sottolineato l’importanza di comprendere il contesto di business, le risorse che supportano le funzioni critiche, e i relativi rischi di cybersecurity.

Le attività essenziali in questa sezione del NIST includono:

Individuare le risorse fisiche e software per stabilire la base di un programma di gestione delle risorse
Definire l’ambiente di business dell’organizzazione, compreso il suo ruolo nella catena di fornitura
Scegliere le politiche di cybersecurity stabilite per definire il programma di governance e identificare i requisiti legali e normativi relativi alle capacità di cybersecurity dell’organizzazione
Identificare le vulnerabilità degli asset, le minacce alle risorse organizzative interne ed esterne e le attività di risposta al rischio per valutare il rischio
Stabilire una strategia di gestione del rischio, compresa l’identificazione della tolleranza al rischio
Produrre una strategia di gestione del rischio della catena di fornitura, comprese le priorità, i vincoli, le tolleranze di rischio e le ipotesi usate per sostenere le decisioni di rischio associate alla gestione dei rischi della catena di fornitura

Protezione (Protect)

La funzione di protezione del NIST delinea salvaguardie appropriate per garantire la fornitura di servizi di infrastrutture critiche. Inoltre, supporta la capacità di limitare o contenere l’impatto di un potenziale evento di cybersecurity.

Le attività critiche in questo gruppo includono:

Implementare le protezioni per la gestione delle identità e il controllo degli accessi all’interno dell’organizzazione, compreso l’accesso fisico e remoto
Responsabilizzare il personale attraverso la formazione sulla consapevolezza della sicurezza, compresa la formazione degli utenti privilegiati e basata sui ruoli
Stabilire una protezione della sicurezza dei dati coerente con la strategia di rischio dell’organizzazione per proteggere la riservatezza, l’integrità e la disponibilità delle informazioni
Implementare processi e procedure per mantenere e gestire le protezioni dei sistemi informativi e delle risorse
Proteggere le risorse organizzative attraverso la manutenzione, comprese le attività di manutenzione a distanza
Gestire la tecnologia per garantire la sicurezza e la resilienza dei sistemi, coerentemente con le politiche, le procedure e gli accordi organizzativi

Rilevamenti (Detect)

Rilevare potenziali incidenti di cybersecurity è fondamentale e questa funzione del Framework definisce le attività appropriate per identificare il verificarsi di un evento di cybersecurity in modo tempestivo. Le attività in questa funzione includono:

Garantire il rilevamento di anomalie ed eventi e la comprensione del loro potenziale impatto
Implementare capacità di monitoraggio continuo per monitorare gli eventi di cybersecurity e verificare l’efficacia delle misure di protezione, comprese le attività di rete e fisiche

Risposte (Respond)

La funzione di risposta del NIST si concentra sulle attività appropriate per agire in caso di un incidente di cybersecurity rilevato e supporta la capacità di contenere l’impatto di un potenziale incidente di cybersecurity.

Le attività essenziali per questa funzione includono:

Garantire l’esecuzione del processo di pianificazione della risposta durante e dopo un incidente
Gestire le comunicazioni con gli stakeholder interni ed esterni durante e dopo un Analizzare l’incidente per Garantire una risposta efficace e sostenere le attività di recupero, compresa l’analisi forense e la determinazione dell’impatto degli incidenti
Eseguire attività di mitigazione per prevenire l’espansione di un evento e per risolvere l’incidente
Implementare miglioramenti incorporando le lezioni apprese dalle attività di rilevamento/risposta attuali e precedenti

Recupero (Recover)

La funzione recupero del framework identifica le attività appropriate per rinnovare e mantenere i piani di resilienza e per ripristinare qualsiasi capacità o servizio che sia stato compromesso a causa di un incidente di cybersecurity. Il recupero tempestivo alle normali operazioni è importante per ridurre l’impatto di un incidente.

Le attività essenziali per questa funzione si sovrappongono in qualche modo a quelle di risposta e includono:

Assicurare che l’organizzazione implementi processi e procedure di pianificazione del recupero per ripristinare i sistemi e/o gli asset colpiti da incidenti di cybersecurity
Implementare miglioramenti basati sulle lezioni apprese e sulle revisioni delle strategie esistenti
Le comunicazioni interne ed esterne sono coordinate durante e dopo il recupero da un incidente di cybersecurity

Come iniziare con il NIST Cybersecurity Framework

Allinearsi con il framework significa enumerare tutte le vostre attività ed etichettare questi elementi con una di queste 5 etichette di funzione. Per esempio, l’etichetta Identify sarà per gli strumenti che vi aiutano a inventariare le vostre risorse. Strumenti come Firewall andranno in Protect. Tuttavia, a seconda delle loro capacità, li potreste voler mettere anche in Detect insieme ai vostri SIEM. Gli strumenti di risposta agli incidenti e i playbook vanno in Respond. I vostri strumenti di backup e ripristino fanno parte di Recover.

Una volta che avete fatto questo esercizio, alcune delle sezioni potrebbero sembrare più vuote di altre e potreste sentirvi a disagio per la descrizione della funzione corrispondente.

Questo è un bene, perché ora potete articolare ciò che manca al vostro programma di cybersecurity.

Conclusioni

In questo articolo abbiamo compreso cos’è il NIST Cybersecurity Framework e come è strutturato analizzando alcune delle sue sezioni principali e degli elementi che compongono queste sezioni.

Tuttavia, il nostro consiglio è quello di rivolgervi a un provider SaaS che vi possa fornire gli strumenti per implementare il NIST in modo efficiente senza alcun rischio. Le nostre soluzioni SaaS possono aiutare in questo senso e invitiamo a contattarci per sapere come i nostri servizi possono aiutare la tua azienda in ambito di sicurezza informatica.

Non esitare a contattarci per saperne di più, risponderemo a ogni vostra domanda.

Useful links:

Link utili:

Left of boom cover

Tempo di lettura stimato: 7 minuti

Quando parliamo di “left of boom” o “right of boom” ci riferiamo ad un concetto che all’apparenza può sembrare superficiale. Invece, è un potente strumento che offre la possibilità di analizzare i conflitti di sicurezza sia da un punto di vista offensivo che da uno difensivo. In una ipotetica linea temporale di un attacco, ciò che si trova alla sua sinistra (left of boom) si riferisce a quello che accade prima. Analogamente, ciò che sta alla destra, è quello che avviene dopo.

Nel linguaggio comune molto spesso anziché “boom” si utilizza il termine “bang”, ma il significato resta comunque invariato. Si tratta, in sostanza, dell’evento stesso intorno al quale si analizza il periodo precedente e successivo.

Quindi, “left of boom” è l’insieme di eventi che si verificano prima dell’attacco. “Right of boom”, invece, è l’insieme di eventi che seguono il “boom”. Questa è la differenza sostanziale tra i due termini. Se le azioni difensive riescono a rilevare gli eventi nel periodo “left of boom”, è possibile trovare e adottare soluzioni per prevedere quando accadrà il “boom”.

Rappresentazione visiva della timeline, dell’evento (Boom) e delle azioni o strumenti a destra e sinistra di esso.

Per una persona inesperta nell’ambito della sicurezza informatica, questi concetti riguardanti la linea temporale di un attacco informatico potrebbero non essere nemmeno presi in considerazione, per questo motivo molte aziende preferiscono avvalersi di un SOCaaS.

Left of Boom

Un buon penetration tester riesce a rilevare alcuni eventi di tipo “left of boom”, ma spesso si tralascia la raccolta di informazioni sulle minacce. Certe volte non è in grado di distinguere tra loro concetti come “ingegneria della sicurezza, scoperta e risoluzione delle vulnerabilità” da un “controllo di prevenzione automatizzato”.

Non esiste in realtà un vero strumento valido di prevenzione, più che altro i controlli di sicurezza sono controlli di rilevamento. Alcuni di questi controlli integrano dei meccanismi di risposta automatizzati che impediscono il susseguirsi di spiacevoli eventi.

Un’applicazione web che previene attacchi di tipo XSS o SQLI è davvero utile per rilevare input non validi e risponde scartando il contenuto prima che l’iniezione possa verificarsi.

Un firewall progettato per bloccare le porte rileva semplicemente il traffico indesiderato in relazione al protocollo usato per la connessione e al numero della porta verso la quale si desidera accedere, interrompendo e reimpostando la richiesta di connessione.

Questi esempi si legano bene al concetto di “right of boom”. I controlli di prevenzione rilevano il “boom”, l’evento, e rispondono immediatamente arginando i possibili danni. “Left of boom” e “right of boom” sono così vicini nella linea temporale che sono difficilmente distinguibili, fino a quando non si esegue un’analisi accurata degli eventi.

Questo è uno dei motivi per cui i professionisti, nell’ambito della sicurezza informatica, amano i controlli di prevenzione. Lavorano rapidamente per correggere gli errori prima che gli hacker riescano a raggiungere i loro obbiettivi, limitando i danni.

Un SOCaaS in questi casi è una delle soluzioni migliori da adottare per proteggere l’integrità di un sistema informatico.

Right of Boom

Generalmente minore è la distanza tra “right of boom” e il tempo di risposta ad una minaccia, minori sono le conseguenze provocate da un eventuale attacco informatico. Ovviamente questa è solo una considerazione logica, non vale come regola assoluta.

Per alcune violazioni, la linea temporale tra l’evento e l’eliminazione completa della minaccia è discutibile, poiché il rilevamento è avvenuto dopo che l’hacker ha raggiunto il suo obbiettivo. Se gli hacker riescono ad infiltrarsi nel sistema ma vengono fermati in tempo, non arrecando nessun danno all’infrastruttura. In questo secondo caso, quindi, non c’è il “boom” di cui stiamo parlando.

Un esempio di right of boom

Per spiegare meglio il concetto di “right of boom” potremmo prendere come esempio un comune “malware”. I malware generalmente vengono sviluppati per attaccare in massa molti dispositivi, senza tanta discrezione. Con “right of boom” ci riferiamo a quel periodo di tempo che è passato da quando è avvenuta l’infezione da parte del malware.

Se hai letto gli altri articoli pubblicati da noi avrai appreso come gli hacker utilizzano queste tipologie di infezioni allo scopo di raccogliere informazioni sensibili, che vengono rivendute ad un terzo soggetto. Se il “right of boom” è più breve del tempo che l’hacker impiega per vendere queste informazioni, il danno può essere contenuto.

I migliori sistemi di sicurezza riescono ad accorciare il tempo “right of boom” riuscendo a raccogliere informazioni sugli attaccanti nel “left of boom”. Ci si può riuscire implementando delle contromisure in base al modello di minaccia. Questi strumenti permettono di scansionare intere infrastrutture, osservando i nuovi indicatori di minaccia giorni o addirittura settimane prima che gli attacchi si distribuiscano.

Come abbiamo visto anche in altri articoli, non sempre gli attacchi si svolgono in breve tempo. È, anzi, più probabile che gli hacker coinvolti agiscano in un primo, lento, periodo solo per raccogliere le informazioni necessario per sferrare l’attacco. Nel periodo “right of boom”, tornano utili strumenti come la cyber threat intelligence e un team di threat hunting.

Left of boom strategy
Una strategia che prende in considerazione anche ciò che avviene prima di un attacco è molto più efficace.

Perché sono importanti i concetti “Right e Left of boom”

Se ci mettessimo nell’ottica dell’hacker, il concetto di “right of boom” e di “left of boom” può aiutare a decidere quale schema d’azione sia meglio intraprendere.

Supponiamo il caso in cui un hacker abbia a disposizione due metodi per potersi introdurre in un sistema informatico. Se uno dei due metodi potrebbe venire rilevato nel periodo “left of boom”, invece l’altro nel “right of boom”, è ovvio che l’hacker preferirà il secondo. Infatti, questo garantirebbe maggiori probabilità di successo dell’attacco.

Analogamente, tra due metodi che possono essere rilevati “right of boom” si sceglie quello che ha più possibilità di venir scoperto in ritardo. Più tempo passa dal boom alla rilevazione, maggiori sono le probabilità di successo. Questo tipo di ragionamento è importante per determinare quale tattica ha una linea temporale più ampia.

Ragionare in quest’ottica non è affatto semplice, richiede delle conoscenze avanzate da parte dell’esperto di sicurezza. Richiede inoltre il dover prendere in considerazione tutte quelle ipotesi che potrebbero potenzialmente determinare il successo dell’hacker.

Velocità

Un hacker è in grado di riuscire a prevedere se, utilizzando determinate tattiche, riuscirebbe a raggiungere l’obbiettivo più velocemente rispetto all’esperto che cerca di rilevare gli attacchi. Il “boom” è il primo contatto, nell’insieme delle tattiche d’intrusione utilizzate per accedere illegalmente ad un sistema informatico. Le rimanenti tattiche si collocano prima e dopo di esso.

Velocità e furtività solitamente si annullano a vicenda. Infatti, molto spesso si può essere più veloci sacrificando parte della furtività.

Velocità e furtività non vanno molto d’accordo quando parliamo di attacchi informatici. Essere furtivi, evitando di lasciare tracce, richiede più attenzione e quindi inevitabilmente anche più tempo. Tuttavia se lo scopo di un hacker non è un singolo obbiettivo ma una serie di più obbiettivi, l’essere veloci può rivelarsi efficace.

Per difendersi dagli attacchi, è possibile raccogliere gli indicatori di compromissione (IOC) per rimediare alle vulnerabilità presenti e per introdurre nuovi controlli di rilevamento, rendendo più sicuro il sistema informatico.

Conclusioni

È importante conoscere il concetto di linea temporale degli attacchi e abbiamo visto come i concetti di “left of boom” e “right of boom” influenzino i meccanismi di risposta alle minacce di intrusione.

I concetti che abbiamo visto in questo articolo, nonostante non aggiungano niente di concreto alle tecniche di difesa o di attacco di un sistema, offrono un punto di vista. Nella continua lotta tra hacker e operatori di sicurezza, avere una strategia vincente significa non solo disporre di strumenti efficienti, ma anche pianificare in modo dettagliato ogni dettaglio, prima e dopo gli attacchi.

Per sapere come un SOCaaS può aiutarti a monitorare l’infrastruttura aziendale e cogliere gli indizi “left of boom”, non esitare a contattarci, sapremo rispondere a ogni domanda e ti offriremo una soluzione per la tua azienda.

Useful links:

Link utili:

cybersecurity predittiva

Tempo di lettura stimato: 4 minuti

Oggi, affrontare un attacco in un SOC aziendale è molto simile ad essere sotto attacco senza sapere da quale direzione sta arrivando il colpo. La threat intelligence è in grado di tenervi informati sui problemi di sicurezza. Tuttavia, in molti casi, queste informazioni sono fornite solo quando siete già sotto attacco, e raramente sono molto utili se non a posteriori. Ci vorrebbe un approccio diverso all’analisi dei dati, ed è proprio quello che proponiamo con la cybersecurity predittiva.

Nella cybersecurity, ci si affida ancora alla threat intelligence come strumento difensivo fondamentale. Purtroppo, le informazioni sulle minacce coprono solo un sottoinsieme delle minacce che sono già state trovate, mentre gli aggressori innovano costantemente. Questo significa che nuovi eseguibili malware, domini di phishing e strategie di attacco sono creati in continuazione.

Le informazioni sulle minacce hanno un forte valore per la risposta reattiva agli incidenti. Aiuta quando si fa perno durante un’indagine, identificando l’intento o altri dati utili, e fornisce ulteriore assistenza investigativa. Ma ha un valore limitato per il rilevamento, poiché gli attori delle minacce evitano di riutilizzare la loro infrastruttura di attacco da un obiettivo all’altro.

Se gli indizi che vedrete sono diversi da quelli conosciuti dagli attacchi precedenti, cosa si può fare per andare avanti con un rilevamento efficace? Una domanda legittima, per cui forse la cybersecurity predittiva ha una risposta.

…e se si potesse sapere cosa sta per colpire?

SOCaaS: cybersecurity predittiva

Occhi sugli avversari piuttosto che sugli attacchi passati

La soluzione SOCaaS offerta da SOD porta capacità di cybersecurity predittiva alla sicurezza informatica. La soluzione mappa gli avversari, invece delle minacce, e analizza le loro azioni per prevedere il comportamento e gli strumenti utilizzati nei loro attacchi.

Il motore analitico traduce i modelli comportamentali in profili di infrastrutture di attacco avversarie, che indicano come (trojan, phishing o altre forme di attacco) e dove (filiali, clienti, partner, pari, settore e aree geografiche) gli aggressori stanno progettando di colpire la vostra azienda.

Questo fornisce una mappa di attacco preventiva, che identifica gli avversari in base alla loro fase di attacco e alla posizione attuale all’interno del panorama aziendale esteso. Ma non solo, infatti sono identificate anche le informazioni sull’avversario, i modelli di attacco tipici e le possibili contromisure che possono essere prese in anticipo. In questo modo si può annullare la minaccia prima che si materializzi.

cybersecurity predittiva

Cybersecurity predittiva: capire prima ciò che accadrà

Il nostro SOCaaS fornisce capacità di rilevamento predittivo contro le minacce interne ed esterne con la combinazione di analisi del comportamento di utenti, entità e avversari. Il nostro Next-Gen SIEM utilizza un approccio guidato dall’analisi per il rilevamento delle minacce. Il SOC fornisce visibilità nelle prime fasi cruciali di un attacco. Cioè quando gli attori informatici stanno prendendo di mira, pianificando e preparando l’infrastruttura per un attacco.

Con questo livello di visibilità predittiva, il team può prevenire gli attacchi e contenere sistematicamente quelli in corso. La cybersecurity predittiva permette ai difensori di sintonizzare i loro sistemi contro l’infrastruttura di attacco. È, infatti, possibile costruire blacklist che includono gli indirizzi IP e i nomi host delle istanze utilizzate per l’attacco. Altre misure includono la fortificazione dei sistemi aziendali contro il malware specifico che viene utilizzato per colpirli, rendendo l’attacco impotente, quando avviene.

L’analisi del comportamento degli avversari estende le capacità del Next-Gen SIEM fornendo continuamente un’analisi aggiornata delle informazioni degli avversari e del loro comportamento. Questo comprende l’intera infrastruttura di attacco, per una protezione dalle minacce dinamica e preventiva.

Il SOCaaS traduce automaticamente il comportamento pre-attacco degli avversari in azioni o contromisure che è possibile adottare contro il phishing, la compromissione della posta elettronica aziendale, il ransomware, le frodi e molte altre minacce comuni.

Casi comuni di utilizzo

Concatenamento delle minacce

Correlare le violazioni provenienti dallo stesso avversario/campagna in una minaccia coesiva, anche se per ogni evento vengono utilizzati diversi pezzi di infrastruttura di attacco.

Prevenzione e difesa preventiva

Bloccare preventivamente l’intera infrastruttura di attacco di un avversario, come i domini di phishing appena creati, per una difesa preventiva.

Rafforzare le risorse vulnerabili

Concentratevi e mettete in sicurezza le parti più vulnerabili della vostra infrastruttura sulla base di informazioni che identificano quali aree sono possibili obiettivi.

cybersecurity predittiva

Le informazioni fornite dal SOCaaS vengono utilizzate per aggiungere un maggiore contesto alle minacce esistenti, oltre a fornire informazioni sugli attacchi che non sono ancora stati realizzati o sono nelle prime fasi, come la ricognizione. Questo permette di intraprendere azioni dirette contro le minacce in evoluzione e una difesa più robusta.

Conclusioni

Affidarsi alla fortuna per catturare le minacce è una follia, come ci ha dimostrato il recente attacco SolarWinds. Create la vostra fortuna con la soluzione SOCaaS di SOD, assicurandovi di vedere le minacce prima che accadano e di essere abbastanza “fortunati” da contrastarle.

Useful links:

XDR laptop

Estimated reading time: 5 minutes

Proprio come qualsiasi altro campo IT, il mercato della cybersecurity è guidato dall’hype. Attualmente si fa hype verso l’XDR, ossia eXtended Detection and Response.

XDR è la novità per quello che concerne il rilevamento e alla risposta alle minacce, un elemento chiave della difesa dell’infrastruttura e dei dati di un’azienda.

Cos’è esattamente l’XDR?

XDR è un’alternativa ai tradizionali approcci reattivi che forniscono solo una layer visibility sugli attacchi. Mi riferisco a procedure come il rilevamento e la risposta degli endpoint (EDR), l’analisi del traffico di rete (NTA) e i SIEM, di cui abbiamo parlato in molti altri articoli.

La layer visibility implica che si adottino diversi servizi, stratificati (layer), che tengono sotto controllo ciascuno una specifica entità nell’infrastruttura. Questo può essere problematico. Infatti, bisogna assicurarsi che i livelli non finiscano isolati, rendendo difficile, o quasi impossibile gestire e visualizzare i dati. La layer visibility fornisce informazioni importanti, ma può anche portare a problemi, tra cui:

Collezionare troppi avvisi incompleti e senza contesto. L’EDR rileva solo il 26% dei vettori iniziali di attacco e a causa dell’elevato volume di avvisi di sicurezza, il 54% dei professionisti della sicurezza ignora gli avvisi che dovrebbero essere indagati.
Indagini complesse e dispendiose in termini di tempo che richiedono competenze specialistiche. Con l’EDR, il tempo medio per identificare una violazione è aumentato a 197 giorni, e il tempo medio per contenere una violazione è aumentato a 69 giorni.
Strumenti incentrati sulla tecnologia piuttosto che sull’utente o sul business. L’EDR si concentra sulle lacune tecnologiche piuttosto che sulle esigenze operative degli utenti e delle aziende. Con più di 40 strumenti utilizzati in un Security Operations Center (SOC) medio, il 23% dei team di sicurezza passa il tempo a mantenere e gestire gli strumenti di sicurezza piuttosto che eseguire indagini. (Fonte)

XDR raccolta dati

Per i team di sicurezza già sovraccarichi, il risultato può essere un flusso infinito di eventi, troppi strumenti e informazioni da alternare, tempi più lunghi per il rilevamento e spese per la sicurezza che superano il budget e non sono nemmeno pienamente efficaci.

La novità nell’eXtended Detection Response

XDR implementa un approccio proattivo al rilevamento delle minacce e alla risposta. Offre visibilità sui dati attraverso le reti, i cloud e gli endpoint, mentre applica l’analisi e l’automazione per affrontare le minacce sempre più sofisticate di oggi. I vantaggi dell’approccio XDR per i team di sicurezza sono molteplici:

Identificare le minacce nascoste, furtive e sofisticate in modo proattivo e rapido.
Tracciare le minacce attraverso qualsiasi fonte o posizione all’interno dell’organizzazione.
Aumentare la produttività delle persone che operano con la tecnologia.
Ottenere di più dai loro investimenti in sicurezza.
Concludere le indagini in modo più efficiente.

Dal punto di vista del business, XDR permette alle compagnie di individuare i cyber threat e fermare gli attacchi, oltre a semplificare e rafforzare i processi di sicurezza. Di conseguenza, consente alle aziende di servire meglio gli utenti e accelerare le iniziative di trasformazione digitale. Quando utenti, dati e applicazioni sono protetti, le aziende possono concentrarsi sulle priorità strategiche.

Perché considerarlo per la propria azienda

I due motivi principali per cui è vantaggioso questo tipo di approccio sono: gli endpoint non hanno visibilità sulle minacce in luoghi come i servizi cloud, inoltre, potrebbe non essere possibile mettere un software agent su tutti gli endpoint dell’azienda.

Ma ci sono anche altre motivazioni da considerare. L’aggiunta di altre fonti di dati può fornire maggiore contesto nei risultati dell’EDR, migliorando il triage e l’indagine degli avvisi. I provider si stanno movimentando non solo per fornire maggiori dati meglio organizzati, ma anche consegnando piattaforme di analisi per alleggerire il carico analitico sugli operatori. Questo si traduce in facilità d’uso e costi operativi ridotti.

L’XDR può sembrare molto attraente come prodotto: Integrazione stretta delle parti, contenuto altamente sintonizzato (poiché il fornitore ha il controllo totale sugli eventi dalle fonti di dati), uso di analitiche e automazione della risposta.

XDR dati virtuali

A cosa prestare attenzione prima dell’adozione

Alcuni provider stanno posizionando il loro XDR come la soluzione definitiva al rilevamento delle minacce. Tuttavia, molti fornitori non sono in grado di offrire tutti gli strumenti necessari per ottenere il vantaggio venduto. Alcuni provider offrono nel pacchetto il monitoring di endpoint e cloud, altri di endpoint e rete, ma se si esaminano le esigenze complete della maggior parte delle organizzazioni, ci sono spesso dettagli mancanti nell’immagine complessiva.

Se poi, una volta che l’azienda si impegna con un provider e nota una mancanza in uno dei settori monitorati, quali sono le possibili soluzioni? Si genera una situazione di vendor lock-in da cui svincolarsi significa recidere un contratto per poi aprirne un altro, con tutti i costi che ne conseguono.

L’XDR come un approccio, non come prodotto

Prima di sottoscrivere un contratto con un provider che vende un soluzione come definitiva, è sempre bene soppesare in modo analitico i vantaggi e le implicazioni.

L’integrazione stretta e bidirezionale di più capacità di rilevamento e risposta alle minacce è la prima caratteristica distintiva. Ma non è necessario acquistare due componenti tecnologici dallo stesso fornitore per ottenere una buona integrazione. Infatti, molti prodotti hanno la capacità di integrarsi con alcune soluzioni di altri fornitori come uno dei loro principali punti di forza.

L’approccio XDR deve fornire una piattaforma che consente la necessaria raccolta e conservazione dei dati, ma anche forti capacità di analisi, di orchestrare e automatizzare le azioni di risposta fornite dalle altre parti della soluzione. Un Next Generation SIEM cloud based è una soluzione perfetta.

Come muoversi dunque?

L’interesse per i prodotti XDR è un chiaro segnale che l’eccessiva frammentazione stava portando un’eccessiva complessità. Un po’ di consolidamento è un bene, ma deve essere fatto proteggendo la flessibilità e la capacità di seguire le soluzioni migliori.

Secondo noi, un SOCaaS è una soluzione ottimale. Fornisce un SIEM di nuova generazione, con forti capacità di analisi. Inoltre, integra anche un’intelligenza artificiale che aiuta nel riconoscere in tempo le minacce tramite l’analisi del comportamento. Un SOCaaS è il futuro delle piattaforme operative di sicurezza.

Per sapere con i nostri servizi possono aiutarti a proteggere i dati della tua azienda e dei tuoi clienti, contattaci, risponderemo volentieri a ogni tuo dubbio.

Useful links:

Threat Intelligence Virtual

Estimated reading time: 6 minutes

I dati di threat intelligence forniscono alle aziende approfondimenti rilevanti e tempestivi necessari per comprendere, prevedere, rilevare e rispondere alle minacce alla sicurezza informatica. Le soluzioni di intelligence sulle minacce raccolgono, filtrano e analizzano grandi volumi di dati grezzi relativi a fonti esistenti o emergenti di minacce. Il risultato sono feed di threat intelligence e rapporti di gestione. I data scientist e i team di sicurezza utilizzano questi feed e report per sviluppare un programma con risposte mirate agli incidenti per attacchi specifici.

Tutti, dalla prevenzione delle frodi alle operazioni di sicurezza all’analisi dei rischi, traggono vantaggio dalla threat intelligence. Il software di intelligence sulle minacce fornisce visualizzazioni interattive e in tempo reale dei dati relativi alle minacce e alle vulnerabilità.

Il vantaggio offerto agli analisti ed esperti di sicurezza è evidente e serve a identificare facilmente e rapidamente i modelli degli attori delle minacce. Comprendere la fonte e l’obiettivo degli attacchi aiuta i capi d’azienda a mettere in atto difese efficaci per mitigare i rischi e proteggersi dalle attività che potrebbero avere un impatto negativo sull’azienda.

La cyber threat intelligence può essere classificata come strategica, tattica oppure operativa. Quella Strategica riguarda le capacità e gli intenti generali degli attacchi informatici. Di conseguenza anche lo sviluppo di strategie informate associate alla lotta contro le minacce a lungo termine. Quella Tattica riguarda le tecniche e le procedure che gli aggressori potrebbero utilizzare nelle operazioni quotidiane. Infine, la threat intelligence Operativa, fornisce informazioni altamente tecniche a livello forense riguardanti una specifica campagna di attacco.

Threat Intelligence Virtual

Il ciclo della threat intelligence

Le soluzioni di intelligence sulle minacce raccolgono dati grezzi sugli attori e le minacce da varie fonti. Questi dati vengono poi analizzati e filtrati per produrre feed e rapporti di gestione che contengono informazioni che possono essere utilizzate in soluzioni automatizzate di controllo della sicurezza. Lo scopo principale di questo tipo di sicurezza è quello di mantenere le organizzazioni informate sui rischi delle minacce persistenti avanzate, delle minacce zero-day e degli exploit, e su come proteggersi da esse.

Il ciclo di intelligence delle minacce informatiche consiste nelle seguenti fasi.

Pianificazione: I requisiti dei dati devono essere prima definiti.

Raccolta: Si raccolgono grandi quantità di dati grezzi da fonti interne ed esterne di threat intelligence.

Elaborazione: I dati grezzi sono filtrati, categorizzati e organizzati.

Analisi: Questo processo trasforma i dati grezzi in flussi di informazioni sulle minacce con l’uso di tecniche analitiche strutturate in tempo reale e aiuta gli analisti a individuare gli indicatori di compromissione (IOC).

Diffusione: I risultati dell’analisi vengono immediatamente condivisi con i professionisti della sicurezza informatica e gli analisti di threat intelligence.

Feedback: Se tutte le domande trovano risposta, il ciclo si conclude. Se ci sono nuovi requisiti, il ciclo ricomincia dalla fase di pianificazione.

Indicatori comuni di compromissione

Le aziende sono sempre più sotto pressione per gestire le vulnerabilità della sicurezza e il panorama delle minacce è in continua evoluzione. I feed di threat intelligence possono aiutare in questo processo identificando gli indicatori comuni di compromissione (IOC). Non solo, possono anche raccomandare i passi necessari per prevenire attacchi e infezioni. Alcuni degli indicatori di compromissione più comuni includono:

Indirizzi IP, URL e nomi di dominio: Un esempio potrebbe essere un malware che prende di mira un host interno che sta comunicando con un noto attore di minacce.

Indirizzi e-mail, oggetto delle e-mail, link e allegati: Un esempio potrebbe essere un tentativo di phishing che si basa su un utente ignaro che clicca su un link o un allegato e avvia un comando dannoso.

Chiavi di registro, nomi di file e hash di file e DLL: Un esempio potrebbe essere un attacco da un host esterno che è già stato segnalato per un comportamento nefasto o che è già infetto.

threat intelligence hacker

Quali strumenti per la threat intelligence

Il crescente aumento del malware e delle minacce informatiche ha portato a un’abbondanza di strumenti di threat intelligence che forniscono preziose informazioni per proteggere le aziende.

Questi strumenti si presentano sotto forma di piattaforme sia open source che proprietarie. Queste forniscono una serie di capacità di difesa contro le minacce informatiche, come l’analisi automatizzata dei rischi, la raccolta di dati privati, strumenti di ricerca rapida di threat intelligence, la segnalazione e condivisione di queste informazioni tra più utenti, avvisi curati, analisi dei rischi di vulnerabilità, monitoraggio del dark web, mitigazione automatizzata dei rischi, threat hunting e molto altro.

Abbiamo parlato di uno di questi strumenti in un altro articolo: il Mitre Att&ck. Questo è uno strumento molto utile per conoscere i comportamenti e le tecniche di attacco hacker. Questo grazie alle informazioni raccolte dalla threat intelligence e la conseguente condivisione. Un framework come questo è molto efficiente per creare meccanismi difensivi che consentono di mettere in sicurezza le infrastrutture aziendali.

Intelligenza artificiale e informazioni sulle minacce

Come abbiamo visto prima, la raccolta di informazioni da varie fonti non è altro che una delle fasi. Queste devono poi venire analizzate e successivamente elaborate in protocolli di controllo, per essere davvero utili per la sicurezza.

Per questo tipo di lavori di analisi, definizione di comportamenti baseline e controllo dei dati ci si affida sempre di più all’intelligenza artificiale e al deep learning. Un Next Generation SIEM, affiancato a una soluzione UEBA sono perfetti per questo tipo di protezione.

Il controllo del comportamento delle entità all’interno del perimetro effettuato dal UEBA è in grado di identificare ogni comportamento sospetto, in base alle informazioni raccolte e analizzate dal SIEM.

Conclusioni

Gli strumenti di difesa che abbiamo nominato sono il valore primario di un piano di sicurezza aziendale. Adottare soluzioni specifiche, implementare la threat intelligence e quindi una ricerca attiva degli indicatori di minacce, offre una posizione di vantaggio strategica. L’azienda può operare un passo avanti ai criminali, i quali possono far leva solo sull’effetto sorpresa contro le loro vittime. Proprio per questa situazione generale, ogni azienda dovrebbe essere nelle condizioni di non farsi cogliere alla sprovvista. Implementare soluzioni proattive è ormai necessario.

La threat intelligence è quindi un’arma da difesa dietro la quale mettere al riparo le risorse più importanti per poter lavorare in tranquillità.

Se vuoi sapere come possiamo aiutarti con i nostri servizi dedicati alla sicurezza, non esitare a contattarci, saremo lieti di rispondere a ogni domanda.

Useful links:

Link utili:

Cyber Threat Intelligence (CTI) – maggiore efficacia per la sicurezza IT

Progetti di Secure Online Desktop

Cos’è la Cyber Security? Definizione e proposte

Prevenire il shoulder surfing e il furto di credenziali aziendali

shoulder surfing cafeteria

Estimated reading time: 8 minutes

Il termine shoulder surfing potrebbe evocare immagini di un piccolo surfista sul colletto della camicia, ma la realtà è molto più banale. Il shoulder surfing è una pratica criminale in cui i ladri rubano i tuoi dati personali spiandoti alle spalle mentre usi un laptop, un bancomat, un terminale pubblico o un altro dispositivo elettronico in mezzo ad altre persone. Questa tecnica di ingegneria sociale è un rischio per la sicurezza che può causare un disastro, soprattutto se le credenziali rubate sono aziendali.

La pratica precede di molto gli smartphone e i computer portatili e risale a quando i criminali spiavano gli utenti dei telefoni a pagamento mentre inserivano i numeri delle loro carte telefoniche per effettuare le chiamate. Sono passati molti anni, ma la tecnica non è andata perduta. I ladri si sono evoluti ad osservare le loro vittime mentre digitano il PIN del bancomat, pagano alle pompe self-service di benzina o anche mentre fanno un acquisto in un negozio.

Una tecnica analoga per il furto di bancomat prevede un dispositivo di clonazione della carta sovrapposto alla buchetta di inserimento della tessera e una microcamera per spiare il codice. La microcamera compie un atto di shoulder surfing. La clonazione della carta è essenziale perché senza un dispositivo fisico il pin è inutile, ma nel caso di credenziali di account in rete, non serve altro che user e password.

Shoulder surfing ATM

Quando avviene il Shoulder Surfing?

Il shoulder surfing può avvenire ogni volta che si condividono informazioni personali in un luogo pubblico. Questo include non solo i bancomat, le caffetterie e i dispositivi POS in generale, ma praticamente qualsiasi luogo in cui si utilizza un computer portatile, un tablet o uno smartphone per inserire dati personali.

I shoulder surfer di vecchia data, di solito, non incombevano alle spalle delle loro vittime per scrutare le informazioni. Invece, stavano a distanza di sicurezza e interpretavano i movimenti delle dita mentre le persone digitavano i numeri sulla tastiera. Allo stesso modo, gli ingegneri sociali di oggi spesso sfuggono all’attenzione mentre osservano tranquillamente gli altri in luoghi pubblici come le sale d’attesa degli aeroporti e i centri commerciali, i bar e i ristoranti, sui treni o le metropolitane, o ovunque ci sia gente, a dire il vero.

Addirittura, i più sofisticati criminali di oggi osservano da più lontano, nascosti alla vista. Potrebbero usare un binocolo, delle microcamere o la fotocamera del loro telefono o tablet per scrutare il tuo schermo o la tua tastiera. Non solo, potrebbero origliare mentre leggi i numeri delle carte di credito al telefono o fornisci altre informazioni sensibili. I criminali potrebbero anche scattare foto, fare un video o registrare l’audio delle informazioni e poi interpretarle in seguito.

Qualunque sia la metodologia, è chiaro che la tecnologia non solo ci ha aiutato a essere più connessi e poterci permettere di pagare un frappuccino con il cellulare, ma ci ha anche esposto a rischi per la nostra sicurezza. Quando si tratta di dati sensibili, soprattutto se c’è di mezzo un account aziendale da cui si potrebbe accedere a dati sensibili di altre persone, non si deve mai abbassare la guardia, le conseguenze potrebbero essere molto gravi.

Come avviene comunemente il shoulder surfing

Prima di suggerire alcuni metodi per prevenire il shoulder surfing da mettere in pratica immediatamente, vediamo ancora più nel dettaglio come potrebbe avvenire un furto di credenziale con questa tecnica.

Al bar o in caffetteria

Sei al bar di un ristorante affollato in attesa di un amico. Per passare il tempo, ti colleghi a Instagram. Sfortunatamente, non ti accorgi che la persona bloccata in fila accanto a te sta guardando la tua password, che si dà il caso sia la stessa che usi per il tuo account e-mail e il tuo conto bancario.

Al bancomat

Stai prendendo contanti a un bancomat. Ti senti al sicuro perché l’uomo dopo di te in fila è ad almeno 3 metri di distanza e sta addirittura guardando il suo telefono. In realtà, sta registrando i movimenti delle tue dita sul suo telefono e li decifrerà successivamente per ottenere il tuo numero PIN.

All’aeroporto

Il tuo volo è in ritardo, quindi prendi il portatile e ammazzi il tempo andando a leggere un paio di e-mail di lavoro, così per restare aggiornato. Accedi al sito aziendale per leggere la posta e inserisci nome utente e password. Sei così tranquillo, che non vedi la donna a pochi posti di distanza che fissa lo schermo mentre inserisci i dati.

shoulder surfing cafeteria

Quali sono le conseguenze del Shoulder Surfing?

Usare i dati della tua carta di credito per fare acquisti fraudolenti è solo un esempio dei danni che potresti subire se rimani vittima di shoulder surfing. Più informazioni personali un criminale cattura su di te, più le conseguenze possono essere gravi per il tuo conto bancario e la tua salute finanziaria.

Un grave caso di shoulder surfing può esporti al furto di identità. Un criminale potrebbe usare le tue informazioni personali, come il tuo codice fiscale, per aprire nuovi conti correnti, richiedere prestiti, affittare appartamenti o fare domanda di lavoro sotto il tuo nome. Un ladro d’identità potrebbe mettere le mani sul tuo rimborso delle tasse, usare il tuo nome per ottenere cure mediche o anche richiedere agevolazioni statali a tuo nome. Potrebbe anche commettere un crimine e fornire le tue informazioni personali quando interrogato dalla polizia, lasciandoti con una fedina penale sporca o un mandato d’arresto.

Ovviamente, se hai il sospetto che questo sia avvenuto, dovrai recarti immediatamente alla polizia, bloccare i conti correnti e avvisare la banca. Se azioni fraudolente sono già state effettuate a tuo nome, dovrai forse dimostrare che non tu non c’entri.

Le cose si fanno pericolose se i dati trafugati sono quelli di un account aziendale. Infatti, con l’uso di credenziali valide, chiunque potrebbe entrare nel sistema della compagnia e compiere ogni tipo di azione, come raccogliere ulteriori dati, piazzare un malware, avviare un ransomware, trafugare i dati dei clienti e poi venderli online.

Come difendersi dallo shoulder surfing

Si possono individuare due livelli di protezione, il primo è proattivo ed è orientato a evitare che le credenziali siano esposte a malintenzionati, il secondo è attivo e prevede dei software per individuare tentativi di utilizzo delle credenziali rubate.

Shoulder surfing

Difendersi proattivamente

Se proprio non puoi evitare di inserire dati sensibili nel laptop, tablet o smartphone in un luogo pubblico, dovresti seguire le contromisure elencate di seguito.

Suggerimento 1: Prima di inserire qualsiasi dato sensibile, trova un posto sicuro. Assicurati di sederti con le spalle al muro. Questo è il modo migliore per proteggersi da occhi indiscreti. Evita i mezzi pubblici, le poltroncine centrali di una sala d’aspetto e luoghi in cui c’è molto via vai di persone.

Suggerimento 2: Utilizzare un filtro per la privacy. Questo dispositivo hardware è un semplice foglio traslucido polarizzato che viene messo sopra lo schermo. Farà sembrare il tuo schermo nero a chiunque lo guardi da un qualunque angolo innaturale. Questo renderà molto più difficile per le persone non autorizzate vedere le tue informazioni.

Suggerimento 3: L’autenticazione a due fattori richiede che un utente provi la propria identità utilizzando due diversi componenti di autenticazione che sono indipendenti l’uno dall’altro. Poiché questo tipo di autenticazione passa solo quando entrambi i fattori sono utilizzati correttamente in combinazione, la misura di sicurezza è particolarmente efficace. Per esempio, questo metodo è spesso usato molto nell’online banking. Sono molti i servizi che permettono di usare anche il tuo cellulare come secondo fattore di autenticazione. Questo avviene tramite apposite app.

Suggerimento 4: un’altra soluzione è quella di utilizzare un gestore di password. Così facendo, non dovrai più inserire ogni password individualmente sul tuo computer. Il gestore di password lo farà per te dopo che avrai inserito la tua password principale. Questo impedisce a persone non autorizzate di usare la tua tastiera per determinare la vera password, a condizione che tu protegga adeguatamente la tua password principale.

Difendersi attivamente con un SOC e l’analisi del comportamento

Adesso immaginiamo che le credenziali dell’account aziendale siano state rubate. A questo punto solo un sistema di controllo del comportamento può far scattare un allarme e quindi il blocco dell’utente prima che ci siano dei danni.

Infatti, usando credenziali corrette, un normale SIEM tradizionale, non farebbe scattare nessun allarme. Per un SIEM di vecchia generazione l’accesso sarebbe legittimo, perché le credenziali risultano giuste. Il malintenzionato avrebbe libero accesso indisturbato al sistema e potrebbe proseguire con il suo piano di attacco.

Con il servizio SOCaaS di SOD, invece, l’accesso anomalo farebbe scattare un allarme. Il SOC messo a disposizione è equipaggiato con un Next Generation SIEM e un sistema UEBA di controllo del comportamento. Questo significa che ogni scostamento dal comportamento usuale dell’utente, verrebbe segnalato.

Nel caso del furto di credenziali, come avviene con il shoulder surfing, l’accesso effettuato dal malintenzionato farebbe quindi scattare un allarme perché ci sarebbe qualcosa che non torna. Per esempio il login potrebbe avvenire in fasce orarie anomale, in un’altra nazione/IP, da un sistema operativo differente, etc.

Conclusioni

Il shoulder surfing è una tecnica dell’ingegneria sociale che punta sulla disattenzione dell’utente mentre inserisce dati sensibili in un sistema. Nel caso in cui le credenziali aziendali di un utente venissero rubate, l’unica cosa davvero efficiente è avere un sistema che analizzi il comportamento degli utenti e segnali ogni volta che azioni sospette vengono individuate.

Se vuoi sapere nel dettaglio come un SOC e un sistema UEBA possano aiutare la tua azienda a difendersi da attacchi di ingegneria sociale, non esitare a contattarci, saremo lieti di rispondere a ogni domanda.

Useful links:

Monitoring SIEM Analisi dati

Estimated reading time: 7 minutes

Poiché il panorama delle minacce alla sicurezza informatica diventa sempre più sofisticato, i fornitori di servizi, come SOD, devono prendere ulteriori precauzioni per proteggere le reti dei loro clienti. Un sistema di gestione delle informazioni e monitoring SIEM è una scelta eccellente sotto questo aspetto.

Questo sistema, infatti, aiuta a mitigare le minacce alla sicurezza informatica da due diverse angolazioni, il tutto da una singola interfaccia. Il sistema di monitoring SIEM raccoglie informazioni da più fonti: dati di rete, feed di informazioni sulle minacce, normative di conformità, firewall, ecc. Successivamente, utilizza tali dati per alimentare le funzionalità progettate per aiutare gli amministratori IT a rispondere agli eventi di minaccia in tempo reale.

Monitoring SIEM Raccolta dati

Vantaggi del monitoring SIEM

In contrasto con i singoli sistemi di controllo della sicurezza come la gestione delle risorse o il rilevamento delle intrusioni di rete, il SIEM consente di scavare più a fondo nelle vulnerabilità della sicurezza unificando le informazioni provenienti da vari sistemi anche molto differenti e offrendo una visibilità senza precedenti sugli eventi che si verificano nel sistema.

SIEM non è un sistema di rilevamento delle minacce in sé e per sé, ma migliora gli strumenti di sicurezza già in uso, fornendo approfondimenti in tempo reale su cui lavorare. In particolare, SOD utilizza un Next Gen SIEM in un modello SOAR (Security Orchestration, Automation and Response) che comprende anche strumenti avanzati di analisi comportamentale (UEBA).

Se si inseriscono log file di alta qualità in uno strumento SIEM, si ricevono approfondimenti di alta qualità sulla sicurezza della rete. Queste informazioni possono aiutare a migliorare i protocolli di sicurezza della rete.

Sfortunatamente, molti amministratori trattano l’implementazione SIEM come una soluzione da impostare e poi dimenticare. Per sperimentare tutti i benefici della gestione delle informazioni e degli eventi di sicurezza, è necessario implementare una serie di best practice per ottimizzare la soluzione, a partire proprio dalla registrazione di sicurezza.

I log di un SIEM

Come si inserisce il monitoring della sicurezza nelle best practice di implementazione del SIEM? Se si analizza il SIEM nei suoi componenti principali, si tratta di un sistema di gestione dei log.

Tutte le informazioni che uno strumento SIEM raccoglie sono sotto forma di log, o registrazioni di eventi che si verificano all’interno dell’infrastruttura IT e della rete di un’organizzazione.

Esempi di log raccolti da SIEM includono, ma non sono limitati a: Firewall, router, punti di accesso wireless, rapporti di vulnerabilità, informazioni sui partner, antivirus e antimalware.

Tuttavia, poiché gli strumenti SIEM hanno una portata molto ampia e raccolgono costantemente dati di log da ogni parte del sistema, possono essere un po’ complicati e poco pratici da implementare. Le best practice SIEM aiutano ad evitare i punti dolenti lungo la linea operativa. In questo modo si usa il SIEM nella maniera più efficace possibile fin dall’inizio.

Monitoring SIEM Analisi dati

Best practice

1. Iniziare con calma

L’errore più comune che si commette nell’implementazione del monitoring SIEM è cercare di fare troppo e troppo presto. Prima ancora di iniziare a cercare una soluzione SIEM, infatti, è meglio definire la portata dell’implementazione SIEM e pensare a ciò che si vuole che il SIEM faccia per la rete e l’infrastruttura.

Si inizia isolando gli obiettivi, facendo il punto sui protocolli di sicurezza esistenti e facendo un brainstorming su come questi protocolli si inseriscono nella futura implementazione SIEM. È anche possibile segmentare tutto ciò che si vuole monitorare in gruppi e definire come si vuole monitorarli. Questo aiuta a garantire di avere un piano preciso per la registrazione dei log.

Una volta che si è svolta una prima pianificazione, non bisogna ancora implementare il sistema SIEM nell’intera infrastruttura IT. È meglio infatti procedere in modo frammentario.

Si dovrebbe, quindi, testare la soluzione di monitoring SIEM su una piccola sezione del sistema, per verificare come funziona. Solo successivamente, si identificano le vulnerabilità chiave della sicurezza che dovrebbero essere affrontate immediatamente e si procede con l’implementazione nei segmenti successivi.

Impostare un monitoring SIEM poco alla volta, piuttosto che lanciare tutto subito, aiuterà a garantire che la raccolta di log funzioni in armonia con il resto della sezione IT.

2. Pensare ai requisiti

Il monitoring SIEM può aiutare l’azienda a dimostrare la conformità con i regolamenti e gli audit di sicurezza, ma solo sapendo quali sono questi standard in anticipo. Prima di impegnarvi in un sistema SIEM, si crea un elenco di HIPAA, GDPR, HITECH e qualsiasi altra normativa IT che è necessario rispettare. L’elenco viene poi usato per confrontare le normative richieste con le soluzioni che si mettono in pratica.

Non solo questo restringe la lista degli standard, ma costringerà a considerare la quantità di dati di log di cui si ha effettivamente bisogno. Tenere la quantità più corretta per essere conformi, si allinea anche con le best practice di registrazione e monitoraggio SIEM.

Ovviamente, le soluzioni e protocolli da seguire non sono uguali per tutti e necessitano di un adattamento in base alla posizione della singola azienda. Per questo particolare aspetto, SOD può aiutare la tua azienda sia in fase di raccolta delle informazioni necessarie per individuare a quali standard attenersi, sia nella verifica degli standard una volta implementati.

3. Sistemare le correlazioni

La correlazione SIEM ottimizza la sua implementazione, consentendo di configurare il sistema in base alle esigenze specifiche dei loro clienti. SIEM funziona raccogliendo dati da più fonti e poi filtrandoli, analizzandoli e correlandoli per determinare se meritino di essere segnalati come un allarme per la sicurezza.

Per questo è indispensabile correlare le regole e impostare soglie di allarme in base al tipo di dati e alla loro provenienza. È importante ricordare, infatti, che il SIEM è progettato per trovare connessioni tra gli eventi che non sarebbero altrimenti correlati tra loro.

Impostare un sistema di monitoring SIEM è un’operazione delicata ma fondamentale per migliorare il sistema di sicurezza per una determinata azienda.

4. Raccogliere i dati in modo efficiente

Attraverso un sistema di monitoring SIEM è possibile raccogliere una mole tale di dati che potrebbe diventare complicata da gestire. Diventa importante scegliere in modo equilibrato quali dati usare in modo tale da ottimizzarne la giusta quantità senza perdere il vantaggio di avere sotto controllo l’intero sistema.

Tra i dati che è meglio non tralasciare ci sono: Autorizzazioni riuscite e tentativi falliti, modifiche ai privilegi dell’utente, errori delle applicazioni e problemi di prestazioni, opt-in e in generale tutte le azioni fatte da utenti con privilegi amministrativi.

Vengono esclusi, invece: informazioni la cui raccolta è illegale, informazioni bancarie o dati di carte di credito, chiavi di crittografia, password e dati personali.

5. Avere un piano in caso di minaccia rilevata

Scegliere la giusta soluzione SIEM e impiegare le best practice di registrazione dei log è solo una parte del lavoro. È necessario avere un piano di azione in caso di cyber threat.

Per l’azienda che si affida a un MSSP come SOD, questo significa assicurarsi che il monitoring sia solo la prima parte del servizio erogato. Idealmente il monitoring SIEM è il primo tassello di un SOAR ben architettato che mette in campo operatori professionisti, notifiche di allerta e un recovery plan in accordo con il tipo di dati messi a rischio.

Sotto questo aspetto, il SOC as a Service che offriamo copre gran parte delle evenienze.

Monitoring SIEM Analisi dati

Conclusioni

Il monitoring è parte fondamentale del sistema di sicurezza aziendale e un SIEM è uno dei modi in cui metterlo in pratica. Non ci si deve però fermare alla raccolta di informazioni, bisogna saperle trattare, arricchire e analizzare.

SOD offre servizi completi che implementano sistemi di monitoring SIEM. La messa in opera implica, ovviamente, una “calibrazione” dei sistemi e delle correlazioni tra i dati in modo da offrire sempre la soluzione più adatta.

Se volessi ulteriori informazioni sui nostri prodotti, non esitare a contattarci, saremo lieti di rispondere alle tue domande.

Useful links:

Link utili:

Progetti di Secure Online Desktop

Cyber Threat Intelligence (CTI) – maggiore efficacia per la sicurezza IT

Cos’è la Cyber Security? Definizione e proposte

Insider Threat, le minacce dall'interno
Tempo di lettura: 6 min

Le insider threat sono difficili da individuare perche’ provengono, appunto, dall’interno della vostra organizzazione. Dipendenti, contractor e partner richiedono diversi livelli di credenziali di accesso per poter svolgere il proprio lavoro. Gli aggressori possono ingannare questi insider per farli accedere o offrire loro denaro per sottrarre consapevolmente informazioni preziose all’azienda.

Le soluzioni di sicurezza tradizionali si concentrano sulla protezione dell’organizzazione da aggressori esterni. Questa strategia trascura i danni che una risorsa interna potrebbe fare all’organizzazione, consapevole o meno. Con una soluzione Nextgen SIEM si ha la possibilita’ di rilevare e rispondere alle minacce sia esterne che interne, con l’aiuto dall’UEBA per l’individuazione di comportamenti sospetti.

Insider threat - working in team

Insider threat, le motivazioni

I dipendenti o i contractor identificati come a rischio sono collegati al 60% dei casi di minaccia da parte di insider, aumentando la probabilita’ che tali incidenti comportino il furto di dati aziendali sensibili. Le insider threat si possono dividere in due gruppi: i distratti e gli ostili.

La meccanica di un attacco cambia significativamente in base alle motivazioni che lo generano. E’ quindi meglio capire a fondo quali caratteristiche sono tipiche delle motivazioni dietro agli attacchi, per poter fermare le potenziali minacce prima che diventino violazioni.

Guadagno economico

E’ chiaro per ogni dipendente quanto possano valere i dati che l’azienda custodisce. Ecco che, in caso di crisi, permettere la fuga dei dati in cambio di denaro potrebbe sembrare un rischio tutto sommato ridotto. Questo tipo di movente va considerato soprattutto quando, in tempi come quello attuale, un evento esterno (la pandemia di COVID-19) mette comunque a rischio il posto di lavoro. Con il rischio di un imminente licenziamento, la vendita dei dati a cui si ha accesso in qualita’ di dipendenti e’ una via di fuga piu’ che appetibile.

Incuranza

Il non rispetto delle regole di sicurezza e’ un rischio molto concreto e la causa piu’ comune di minacce interne. L’indolenza nel rispetto delle regole costa alle organizzazioni una media di $4.58mln all’anno. Le minacce arrivano, nello specifico, da alcune pratiche di sicurezza non rispettate, come per esempio il mancato logout dal sistema, la scrittura su carta delle proprie password o il loro riutilizzo. Non mancano poi in questa categoria violazioni nell’uso di software non autorizzati o una mancata protezione dei dati aziendali.

Le motivazioni dietro a questi comportamenti dannosi sono spesso, purtroppo, particolarmente semplici: si aggira la sicurezza per una presunta maggiore velocita’, produttivita’ o, peggio, per pigrizia.

Distrazione

Un tipo di dipendente negligente e’ quello distratto, che vale la pena trattare in modo isolato perche’ piu’ complicato da individuare. Mentre il comportamento seriale di violazione delle regole e’ facilmente individuabile, il distratto, che normalmente rispetta in modo diligente il regolamento, non viene individuato prima dell’unica, sfortunata, volta in cui la sua disattenzione non costa all’azienda un attacco andato a buon fine.

Danni all’azienda

Tra le insider threat piu’ subdole ci sono quelle di chi ha come unico scopo il danneggiamento dell’azienda. Il movente, in questi casi, e’ solitamente di tipo personale: un dipendente a cui viene rifiutato un aumento, uno screzio avvenuto con un superiore, etc. L’insider si muove quindi per screditare la propria azienda, provocando danni d’immagine che si traducono in investitori spaventati che ritirano i loro capitali o in perdita di clienti.

Sabotaggio e vendita di informazioni a terzi

Per le aziende che trattano dati sensibili, questo tipo di minaccia e’ un rischio concreto. Sia che l’azienda tratti proprieta’ intellettuali di valore o dati sensibili dei propri clienti, con grande probabilita’ c’e’ chi e’ interessato ad avere accesso a quei dati per usarli a proprio vantaggio. In questo scenario, l’attore che vuole entrare in possesso dei dati, recluta un insider per trafugarli. 

I casi che rientrano nella definizione di spionaggio o sabotaggio mediatico sono in aumento negli ultimi anni. Gli attacchi partono da nazioni come la Russia o la Corea del Nord, spesso coinvolte in questo tipo di traffici per poter guadagnare vantaggi politici contro gli stati e organizzazioni occidentali.

Difesa contro gli insider threat

La difesa contro gli attacchi che partono dall’interno si basa sull’analisi dei comportamenti sospetti di chi ha accesso ai sistemi. La difficolta’ si riscontra nella natura non violenta degli attacchi. E’ facile che gli insider non abbiamo bisogno di violare alcun controllo di sicurezza, avendo accesso gia’ in partenza.

Ma allora come fare per cogliere immediatamente le minacce?

Monitorare l’accesso degli utenti

Gli insider con accesso legittimo scelgono di abusare dei loro privilegi di accesso. Spesso vengono concessi diritti di accesso eccessivi per ridurre lo sforzo che la gestione dei privilegi richiede. Evitare questo tipo di comportamenti e’ gia’ un primo passo in una direzione proattiva di difesa.

Con un sistema di Nextgen SIEM, inoltre, e’ possibile monitorare gli utenti con accesso ad alto privilegio a database, server e applicazioni critiche. A quel punto e’ piu’ semplice individuare chi abusa dei propri accessi.

Rilevare il comportamento sospetto degli utenti

Gli attacchi piu’ sofisticati si basano sulla furtivita’. A tal fine gli aggressori si affidano sempre piu’ spesso alla compromissione delle risorse interne esistenti. Una volta entrati nella rete, eseguono lateral movement e rubano dati sotto le spoglie di un utente interno.

Un sistema come quello offerto dal SOCaaS di SOD permette, tra le altre cose, di identificare rapidamente gli account sospetti rilevando il comportamento anomalo dell’utente rispetto ai normali modelli di base e all’attivita’ dei colleghi.

I vantaggi di un sistema moderno

Minore tempo di risposta

Utilizzando l’analisi comportamentale e’ possibile identificare azioni anormale in modo da poter indagare in tempi molto rapidi.

Analisi comportamentale avanzata: con il sistema UEBA (incluso nel SOCaaS), gli analisti della sicurezza sono in grado di monitorare l’accesso e l’attivita’ degli utenti alle risorse piu’ importanti dell’azienda, consentendo di trovare le minacce interne con il minimo rumore per un rilevamento e una risposta rapidi.

Riconoscimento rapido degli utenti a rischio

Per consentire il rapido rilevamento delle insider threat, i team di sicurezza necessitano la capacita’ di collegare tra loro gli account di un utente per creare un profilo universale dell’utente. Questo e’ possibile con un sistema Nextgen SIEM. L’analisi del comportamento degli utenti e’ anche comparata a quella di un gruppo di pari, per individuare con maggiore precisione i comportamenti anomali, comprendendo come l’attivita’ di un utente sia diversa da quella dei suoi colleghi.

Le minacce che partono dell’interno del perimetro aziendale sono forse le piu’ rischiose per la loro natura poco rumorosa. Per fortuna, con sistemi sempre piu’ capaci di individuare comportamenti sospetti e aggregare ingenti quantita’ di dati relativi ai dipendenti, e’ possibile prendere contromisure efficaci per la lotta contro questo tipo di attacchi.

Link utili:

Customers

Newsletter