cyber threat concept

Gli attacchi informatici sono numerosi e non fanno distinzione tra aziende e singoli individui quando prendono di mira un bersaglio. Molto probabilmente avrai già sentito il temine “cyber threat” sui media ma esattamente di cosa stiamo parlando? Altri modi in cui puoi averlo sentito sono “minaccia informatica”, “cyberattacchi” o simili.

cyber threat malware

Cos’è un Cyber Threat?

Oggi il temine “cyber threat” è usato prevalentemente nel mondo della sicurezza informatica.

Un cyber threat è un atto malevolo concepito con lo scopo di danneggiare sistemi, rubare dati o qualsiasi finalità che ha lo scopo di arrecare danno di qualsiasi natura. Virus, violazioni di dati e attacchi DDoS ne sono compresi. Anche se la minaccia è virtuale, ciò che è reale è l’intento dell’aggressore così come il potenziale impatto. Mentre molti cyberattacchi sono semplici seccature, alcuni sono abbastanza seri. Alcuni, addirittura, minacciano potenzialmente anche vite umane.

Il potenziale impatto che questo genere di attacchi può arrecare è spesso sottovalutato. Il più delle volte, gli attacchi sono facilmente identificabili e non comportano grossi rischi. Invece, altre volte capita di imbattersi in alcune minacce più sofisticate, difficilmente identificabili, che rappresentano un grosso problema anche per molte realtà aziendali.

I cyber threat sono una problematica importante per le aziende. Gli attacchi informatici possono causare interruzioni elettriche, guasti alle attrezzature governative e violazioni di segreti di stato. Possono manipolare le reti telefoniche e informatiche o, come nel caso dei ransomware, possono paralizzare interi sistemi rendendo i dati non accessibili.

Ogni giorno nuove aziende ed organizzazioni mettono piede nel digitale con la consapevolezza dei rischi legati alle loro infrastrutture tecnologiche. In alcuni casi vengono sottovalutate le minacce informatiche e questo significa spesso un grosso danno economico e d’immagine per l’azienda che ha sottovalutato i cyber threat e la sicurezza.

L’aumento dei rischi legati al mondo IT è reale, come lo sono anche le soluzioni di sicurezza dei dati. La cosa migliore da fare è prendere subito le dovute misure di sicurezza.

Tipi di Cyber Threat

I tipi di cyber threat sono numerosi, e bisogna anche considerare che sono in continua evoluzione. L’intento degli hackers di solito è garantirsi un guadagno economico effettuando operazioni di sabotaggio, spionaggio o furto dei dati. Di conseguenza, ci si può aspettare che facciano tutto il possibile per raggiungere i loro scopi.

Praticamente ogni cyber threat rientra in uno sei seguenti dieci tipi di rischi. Gli hackers hanno un’abbondanza di opzioni tra cui scegliere per poter operare. Inoltre, l’alfabetizzazione infomatica è tutto sommato scarsa, quindi gli hacker hanno spesso vita facile, soprattutto per le piccole realtà locali.

I 10 tipi più comuni di minacce informatiche

Malware

È una tipologia di software che esegue un comando malevolo su un dispositivo o all’interno di una rete informatica, corrompendo i dati o prendendo il controllo del sistema.

Phishing

Il phishing è un attacco via e-mail che consiste nell’ingannare il destinatario, facendogli rivelare informazioni riservate o invitandolo a scaricare un malware cliccando su un collegamento presente nel corpo del messaggio. Si tratta di vere e proprie truffe, di cui abbiamo parlato ampiamente in altri articoli. Spesso non coinvolgono nemmeno grandi doti informatiche da parte di chi sferra gli attacchi, solo un po’ di ingegneria sociale.

Vishing

Il vishing è una forma più sofisticata di phishing in cui l’hacker sfrutta la tecnologia VoIP per contattare la vittima, tendando di raggirarla. Esiste anche una variante che invece sfrutta gli sms per attaccare, è chiamata smishing.

Man in the Middle

Come suggerisce il nome stesso, questa tipologia di attacchi si riferisce a quando un hacker si interpone in una conversazione fingendosi una delle due parti, con il fine di sottrare informazioni sensibili. Quello a cui spesso non si pensa, è che la conversazione è tra due macchine e quindi non immdiata da monitorare.

Virus Trojan

L’origine del suo nome prende spunto dal famoso Cavallo di Troia dell’antica Grecia. Il Trojan è un tipo di malware che si infiltra in un sistema informatico nascondendo la sua vera natura. Ad esempio potrebbe spacciarsi per un software conosciuto per poi rilasciare del codice maligno una volta all’interno del dispositivo ospitante.

Ransomware

I ransomware sono degli attacchi che sfruttano la crittografia per rendere inaccessibili le informazioni presenti in un sistema. Il fine è quello di richiedere un riscatto in cambio della possibilità di accedere nuovamente ai dati. Possibilità che a volte, in realtà, non è nemmeno assicurata.

Attacco DDoS

Si verifica quando l’attaccante utilizza molti dispositivi per sovraccaricare di richieste un bersaglio, come ad esempio un sito web, causandone il crash o delle instabilità.

Attacchi ai dispositivi IoT

Questo è un attacco sempre più diffuso per via della natura dei bersagli. Dispositivi come sensori o impianti industriali collegati alla rete sono vulnerabili a molteplici tipi di cyber threat. L’hacker potrebbe prendere il controllo del dispositivo per poi successivamente utilizzarlo in un attacco DDoS. Alternatuvamente potrebbe rubare le informazioni presenti nel dispositivo stesso ottenendo dati importanti per proseguire l’attacco. Dato il loro numero e i sistemi operativi spesso non aggiornati, i dispositivi IoT sono un obiettivo molto appetibile.

Malware all’interno di applicazioni mobile

Cellulari e tablet sono vulnerabili ai malware proprio come ogni altro dispositivo. È possibile inserire malware all’interno di app, nei siti web o nelle e-mail sfruttando il phishing. Una volta compromesso, un dispositivo mobile può fornire l’accesso a informazioni personali, dati di localizzazione e conti finanziari.

Un esempio recente di questo tipo di eventualità è il software Pegasus, utilizzato per monitorare e raccogliere dati di giornalisti in tutto il mondo. (Fonte: The Guardian)

Soluzioni pratiche di difesa e prevenzione

I cyber threat sono sempre in continua espansione e miglioramento. Ogni anno ne vengono creati milioni, in molti seguono le caratteristiche sopracitate, però altri sono tecnologicamente più complessi e più potenti.

Fortunatamente però, ci sono anche sempre più aziende estremamente qualificate nell’ambito della sicurezza informatica che offrono strumenti e servizi all’avanguardia che aiutano a prevenire, identificare e bloccare tempestivamente ogni genere di attacco informatico.

Strumenti di rilevamento delle minacce

Gli strumenti di rilevamento delle minacce sono una parte essenziale dello stack tecnologico di cybersecurity di un’azienda. Il rilevamento delle minacce è anche la prima difesa contro ogni Cyber Threat.

Soluzioni specifiche, come ad esempio l’utilizzo di un SOCaaS, sono di vitale importanza per la salvaguardia di un′infrastruttura informatica, grazie anche all’integrazione del motore SIEM che include UBA e UEBA, garantendo un controllo completo anche sugli utenti.

Un altro strumento utile è sicuramente ACP. Acronis Cyber ​​Protect è una soluzione che integra protezione e gestione dei dati al fine di tutelare endpoint, dati e sistemi. Le sue capacità di automazione forniscono una protezione senza pari, permettendo alle aziende di aumentare la loro produttività e riducendo i rischi.

Vulnerability Assessment & Penetration Test (VA-PT)

I servizi come VA & PT sono test sul campo che mettono alla prova l’infrastruttura in un contesto concreto. I nostri team di hacker white hat trovano vulnerabilità all’interno del sistema per puntare il dito contro le debolezze da risolvere.

cyber threat concept

Conclusioni

Abbiamo appreso cos’è un cyber threat e le sue più comuni tipologie, scoprendo anche quali soluzioni è possibile adottare al fine di garantire una migliore sicurezza aziendale e dei suoi dipendenti.

La tua azienda quali contromisure ha preso per tutelare la tua sicurezza? Se desideri avere ulteriori informazioni a riguardo puoi contattarci premendo il pulsante qui in basso. Offriamo servizi e soluzioni ad hoc per rafforzare le difese aziendali.

Link utili

open data model cover

Estimated reading time: 5 minutes

Con l’avvento delle piattaforme di big data, le aziende che si occupano di sicurezza IT possono ora prendere decisioni guidate su come proteggere le loro risorse. Registrando il traffico di rete e i flussi di rete è possibile farsi un’idea dei canali sui quali scorrono le informazioni aziendali. Per facilitare l’integrazione di dati tra le varie applicazioni e per sviluppare nuove funzionalità analitiche, ci viene incontro l’Open Data Model di Apache.

L’Open Data Model comune per reti, endpoint e utenti ha diversi vantaggi. Per esempio, l’integrazione più semplice tra le varie applicazioni di sicurezza, ma anche le aziende sono facilitate nella condivisione delle analisi nel caso in cui vengono rilevate nuove minacce.

Hadoop offre strumenti adeguati per gestire un Security Data Lake (SDL) e l’analisi dei big data. Si possono anche rilevare eventi che di norma sono difficili da identificare, come ad esempio il lateral movment, fughe di dati, problemi interni o comportamenti furtivi in generale. Grazie alle tecnologie che ci sono dietro al SDL è possibile raccogliere i dati del SIEM per poterli sfruttare tramite SOCaaS dato che, essendo un Open Data Model libero, i log sono memorizzati in maniera tale da poter essere utilizzati da chiunque.

open data model nodi

Cos’è Hadoop Open Data Model

Apache Hadoop è un software gratuito e open source che aiuta le aziende a ottenere informazioni sui loro ambienti di rete. L’analisi dei dati raccolti porta all’individuazione di potenziali minacce di sicurezza o eventuali attacchi che avvengono tra le risorse in cloud.

Mentre i tradizionali strumenti di Cyber Threat Intelligence aiutano nell’identificazione delle minacce e degli attacchi in generale, un Open Data Model fornisce uno strumento che permettere alle aziende di rilevare connessioni sospette sfruttando l’analisi dei flussi e dei pacchetti.

Hadoop Open Data Model unisce tutti i dati relativi alla sicurezza (eventi, utenti, reti, ecc) in un’unica area visiva che può essere utilizzata per identificare le minacce in modo efficace. È possibile anche utilizzarli anche per creare nuovi modelli analitici. Infatti, un Open Data Model permette la condivisione e il riutilizzo dei modelli di rilevamento minacce.

Un Open Data Model, inoltre, fornisce una tassonomia comune per descrivere i dati telemetrici di sicurezza utilizzati per scovare le minacce. Utilizzando strutture e schemi di dati nella piattaforma Hadoop è possibile raccogliere, archiviare e analizzare i dati relativi alla sicurezza.

Open Data Model Hadoop, i vantaggi per le aziende

  • Archiviare una copia dei dati telemetrici di sicurezza
  • Sfruttare le analisi out-of-the-box per rilevare le minacce che puntano a DNS, Flow e Proxy
  • Costruire analisi personalizzate in base alle proprie esigenze
  • – Permette a terzi di interagire con l’Open Data Model
  • Condividere e riutilizzare i modelli di rilevamento delle minacce, algoritmi, visualizzazioni e analisi provenienti dalla community Apache Spot.
  • Sfruttare i dati telemetrici di sicurezza per rilevare meglio le minacce
  • Utilizzo dei registri di sicurezza
  • Ottenere dati dagli utenti, endpoint e dalle entità di rete
  • Ottenere dati di intelligence sulle minacce

Open Data Model: tipi di dati raccolti

Per fornire un quadro completo sulla sicurezza e per analizzare efficacemente i dati relativi alle minacce informatiche, è necessario raccogliere e analizzare tutti i log e gli avvisi riguardanti gli eventi di sicurezza e i dati contestuali inerenti alle entità a cui si fa riferimento in questi log. Le entità più comuni comprendono la rete, gli utenti e gli endpoint ma in realtà sono molte di più, come ad esempio i file e i certificati.

Proprio per la necessità di raccogliere e analizzare gli avvisi di sicurezza, i log e i dati contestuali, i seguenti tipi di dati sono inclusi nel Open Data Model.

Avvisi su eventi di sicurezza in Open Data Model

Questi sono i log relativi agli eventi provenienti da fonti di dati comuni utilizzati per identificare le minacce e comprendere meglio i flussi di rete. Per esempio i log del sistema operativo, i log IPS, i log firewall, i log dei proxy, web e molti altri ancora.

Dati del contesto di rete

Questi includono le informazioni sulla rete che sono accessibili a chiunque dalla directory Whois, oltre che database di risorse e altri fonti di dati simili.

Dati del contesto dell’utente

Questo tipo di dati include tutte le informazioni relative alla gestione degli utenti e della loro identità. Sono incluse anche Active Directory, Centrify e altri sistemi simili.

Dati del contesto dell’endpoint

Comprende tutte le informazioni sui sistemi endpoint (server, router, switch). Possono provenire da sistemi di gestione delle risorse, scanner delle vulnerabilità e sistemi di rilevamento.

Dati contestuali sulle minacce

Questi dati contengono informazioni contestuali su URL, domini, siti web, file e molto altro ancora, sempre inerenti alle minacce conosciute.

Dati contestuali sulle vulnerabilità

Questi dati includono informazioni sulle vulnerabilità e sui sistemi di gestione delle vulnerabilità.

Articoli della RoadMap

Questi sono dati contestuali dei file, certificati, convenzione di denominazione.

open data model cover

Denominazione degli attributi

Una convenzione di denominazione è necessaria per un Open Data Model al fine di rappresentare gli attributi tra prodotti e tecnologie del fornitore. La convezione di denominazione è composta da prefissi (net, http, src, dst, etc) e da nomi di attributi comuni (ip4, usarname, etc).

È comunque opportuno utilizzare più prefissi in combinazione con un attributo.

Conclusioni

Abbiamo visto cos’è l’Open Data Model di Hadoop e come può essere impiegato grazie alla sua capacità di filtrare il traffico ed evidenziare potenziali attacchi informatici elencando i flussi sospetti, le minacce per gli utenti, i pericoli per gli endpoint e le principali minacce di rete.

Se hai dubbi o desideri avere ulteriori chiarimenti non esitare a contattarci premendo il pulsante qui in basso, saremo lieti di rispondere ad ogni domanda.

Useful links:

pass the ticket laptop

Estimated reading time: 5 minutes

Ogni anno cresce costantemente il numero di attacchi che minacciano la sicurezza di dispositivi, sistemi informatici, server e infrastrutture di rete. Questo avviene traendo vantaggio dalle vulnerabilità presenti in questi sistemi. Tra le tante tipologie di attacchi, bisogna prestare particolarmente attenzione all’attacco pass the ticket (PTT).

Con un attacco pass the ticket è possibile sfruttare il protocollo di rete Kerberos, presente in tutti i principali sistemi operativi, per accedere alla sessione di un utente pur non avendo le sue credenziali d’accesso. Un attacco di questo tipo può essere difficile da rilevare e solitamente è in grado di aggirare i più comuni controlli d’accesso al sistema.

pass the ticket laptop

Pass The Ticket: cos’è e come funziona

Kerberos

Prima di capire nel dettaglio cos’è e come funziona un attacco PTT è opportuno fare un po’ di chiarezza sul protocollo di rete Kerberos dato che un attacco di questo tipo, sfrutta proprio questo protocollo. Kerberos è un protocollo di rete progettato dal MIT negli anni ’80 ed è diventato uno standard IETF nel 1993. Viene usato per l’autenticazione forte tra diversi terminali tramite un sistema di crittografia a chiave simmetrica, senza trasmettere alcuna password.

Il vantaggio nell’utilizzare il protoccolo Kerberos sta nel suo sistema di autenticazione forte tra client e server. Questo lo rende molto efficace contro i tentativi di phishing e contro gli attacchi “man in the middle“.
Kerberos è integrato in tutti i principali sistemi operativi appartenenti ad aziende note come Microsoft, Apple, Red Hat Linux e molte altre ancora.

Con un attacco pass the ticket è possibile sfruttare l’autenticazione Kerberos per ottenere l’accesso ad un account utente. Le conseguenze che potrebbe comportare un avvenimento del genere non sono da sottovalutare. Tra i tanti scenari immaginabili ad esempio, ci potrebbe essere la possibilità che l’account compromesso goda di elevati privilegi amministrativi garantendo così all’hacker pieno accesso alle risorse.

L’attacco

Un attacco pass the ticket permette di ottenere un accesso privilegiato alle risorse di rete senza dover utilizzare alcuna password utente. Ecco come: in Active Directory, un Ticket Granting Ticket (TGT) ha la funzione di dimostrare che un utente è proprio chi dice di essere. Tramite alcuni strumenti e tecniche, un hacker potrebbe raccogliere questi ticket e utilizzarli per richiedere dei Ticket Granting Service (TGS) con il fine di accedere alle risorse presenti in altre parti della rete.

Un attacco PTT potrebbe comportare dei rischi anche se l’account compromesso non gode di particolari privilegi amministrativi dal momento che l’hacker, tramite il Lateral Movment, potrebbe riuscire ad ottenere l’accesso ad altri account e dispositivi.

La differenza tra il pass the ticket e un attacco pass the hash sta nel fatto che il primo sfrutta i ticket TGT che hanno una scadenza di poche ore, mentre il secondo utilizza gli hash NTLM che cambiano solo nel caso in cui un utente decida di cambiare la sua password. Un ticket TGT deve essere utilizzato entro i tempi della sua scadenza oppure va rinnovato per un periodo di tempo più lungo.

Come difendersi e prevenire un attacco Pass The Ticket

Mantenere sicura una rete e i dispositivi ad essa connessi è un fattore molto importante. Bisogna sempre avere protocolli e software che riescano a garantire una protezione efficace da ogni tipo di minaccia, con sistemi aggiornati che mantengano le informazioni sensibili al sicuro. Le aziende possono avvalersi di tecnologie di rilevamento e risposta degli endpoint. Sarà possibile il rilevamento locale di più ticket utilizzati per la stessa sessione.

Caso account senza privilegi

Nel caso in cui avvenga un attacco pass the ticket, se l’account compresso a cui è stato sottratto il TGT o il TGS era un account con privilegi limitati, la mitigazione potrebbe essere abbastanza semplice. Basta reimpostare la password di Active Directory dell’utente. Un’azione simile invaliderebbe il TGT o il TGS, impedendo all’hacker di generare nuovi ticket.

Caso account con privilegi

Al contrario, se l’attacco PTT ha compromesso un account privilegiato, limitare il danno è molto più difficile. In questi casi, le aziende potrebbero rispondere all’attacco reimpostando il servizio Kerberos TGT in modo da generare una nuova chiave di firma, assicurandosi di eliminare la chiave compromessa.

Successivamente è necessario analizzare nel dettaglio i registri Kerberos e le informazioni di Active Directory per investigare e scoprire a quali risorse di rete sono state compromesse. In questo modo si ha anche modo di capire quali dati potrebbero essere stati sottratti. La tecnologia SIEM ​​consente alle organizzazioni di assimilare, analizzare e analizzare questi dati.

Pass the ticket User privileges

Protezione dall’attacco

Per garantire una protezione completa ad una infrastruttura, impedendo anche attacchi pass the ticket, è bene usare tecnologie di rilevamento valide come UEBA e SIEM. Infatti, è possibile prevenire attacchi Pass The Ticket analizzando il comportamento degli utenti e delle entità. La soluzione UEBA, in questi casi, assicurerebbe l’identificazione rapida di qualsiasi account compromesso, bloccandolo in modo da mitigare i danni.

Alcuni software SIEM inoltre, permettono non solo di analizzare i tradizionali logs ma sono in grado anche di fornire un’analisi accurata della sicurezza, analizzando il comportamento della rete e degli utenti in modo da rilevare tempestivamente la presenza di eventuali minacce all’infrastruttura.

Conclusioni

Abbiamo visto cos’è un attacco pass the ticket e in che modo le aziende possono adottare soluzioni specifiche per intercettare i pericoli e le anomalie di un’intera infrastruttura informatica. Possiamo così mitigare più efficacemente le minacce.

Una soluzione completa, come abbiamo visto, coinvolge un monitoring costante e granulare delle comunicazioni. La soluzione che proponiamo a questo scopo è un SOCaaS.

Se vuoi conoscere i nostri servizi dedicati alla sicurezza, non esitare a contattarci. Puoi usare il pulsante qui sotto, saremo lieti di rispondere a qualsiasi tua domanda.

Useful links:

Database activity monitoring Cover

Estimated reading time: 6 minutes

Il Database Activity Monitoring (DAM) è una tecnologia applicata alla sicurezza dei database. Il DAM può combinare più dati di monitoraggio della rete e le informazioni di audit per fornire un quadro completo di tutte le attività di un database. I dati raccolti dal DAM vengono poi utilizzati per analizzare le attività del database, supportando le indagini relative alle violazioni dei sistemi IT e scovando anomalie.

Il DAMP invece, è un’estensione del DAM che si applica per bloccare tutte le attività non autorizzate.

Il DAM è importante per proteggere i database contenenti informazioni sensibili dagli attacchi esterni da parte degli hacker. Secondo le più recenti indagini, il numero delle violazioni dei database è aumentato esponenzialmente, mettendo a rischio le informazioni personali degli utenti. Per garantire una protezione completa ad un sistema informatico, la soluzione migliore è avvalersi di un servizio SOCaaS.

Inoltre, il DAM fornisce un sistema di monitoraggio degli accessi da parte di utenti e applicazioni con privilegi. Può funzionare come un controllo aggiuntivo per i problemi legati alla separazione dei compiti degli utenti privilegiati, monitorando l’attività degli amministratori.

Questa tecnologia migliora la sicurezza del database rilevando attività insolite sia di lettura che di aggiornamento del database. L’aggregazione degli eventi del database, la correlazione e il reporting forniscono una capacità di audit del database senza la necessità di abilitare le funzioni native. Queste, infatti, diventano facilmente molto dispendiose in termini di risorse man mano che il livello di auditing aumenta.

database activity monitoring

Database Activity Monitoring: casi d’uso

Monitoraggio degli utenti privilegiati

Questo include il monitoraggio degli utenti con privilegi elevati (superuser), come gli amministratori di database (DBA), gli amministratori di sistema (sysadmin), gli sviluppatori, l’help desk e il personale. È essenziale per la protezione contro le minacce sia esterne che interne. Il monitoraggio degli utenti privilegiati include il controllo di tutte le attività e transazioni. Include anche l’identificazione di attività anomale, come ad esempio la visualizzazione di dati sensibili o la creazione di nuovi account con privilegi elevati.

Inoltre, dato che solitamente gli attacchi hacker puntano ad ottenere credenziali di utenti con privilegi di alto livello, il monitoraggio delle attività con privilegi elevati è anche un modo efficace per identificare i sistemi compromessi.

Il monitoraggio degli utenti con elevati privilegi amministrativi aiuta a garantire:

La privacy dei dati, facendo in modo che solo le applicazioni e gli utenti autorizzati possano visualizzare le informazioni sensibili.

Data governance, in modo che le strutture e i valori critici del database non vengano modificati al di fuori delle procedure di controllo aziendali.

Monitoraggio delle applicazioni: Lo scopo principale del monitoraggio dell’attività delle applicazioni è quello di fornire un livello maggiore di responsabilità dell’utente finale e rilevare le frodi (e altri abusi di accesso legittimo) che si verificano attraverso le applicazioni aziendali, piuttosto che attraverso l’accesso diretto al database.

Protezione dagli attacchi informatici: la SQL injection è un tipo di attacco usato per sfruttare pratiche di codifica sbagliate in applicazioni che utilizzano database. L’hacker utilizza l’applicazione per inviare un’istruzione SQL col fine di estrapolare le informazioni presenti nel database.

Uno dei modi in cui il DAM può aiutare nella prevenzione di attacchi di tipo SQL Injecton è monitorando le attività dell’applicazione, generando come riferimento una linea di “comportamento normale” e identificando gli attacchi scovando divergenze dalle normali strutture e istruzioni SQL.

Database Activity Monitoring: caratteristiche principali

Gli strumenti di Database Activity Monitoring utilizzano diversi meccanismi di raccolta dei dati, li dati per l’analisi e segnalano i comportamenti che violano le politiche di sicurezza o indicano la presenza di anomalie comportamentali. Con il progresso tecnologico, le funzionalità dei DAM aziendali stanno iniziando ad ampliarsi introducendo nuovi strumenti capaci di rilevare le attività dannose o gli accessi anomali o non approvati dell’amministratore del database (DBA).

Alcune delle funzionalità di Database Activity Monitoring più avanzate includono:

– La capacità di monitorare attacchi intra-database e back-door in tempo reale

– Blocco e prevenzione delle intrusioni

– Individuazione dei dati a rischio

– Miglior visibilità del traffico delle applicazioni

– La capacità di offrire il monitoraggio dell’attività del database in ambienti virtualizzati o nel cloud

Alcune imprese sono anche alla ricerca di altre funzioni. Alcune di queste sono:

Funzionalità di DLP (Data Loss Prevention) capaci di affrontare i problemi di sicurezza. Per esempio come l’identificazione dei dati e i requisiti di protezione del Payment Card Industry (PCI) ed altre normative incentrate sui dati. Un’altra funzionalità interessante sono i rapporti di attestazione dei diritti dell’utente del database, richiesti da un’ampia gamma di regolamenti. Ancora, la capacità di offrire il monitoraggio dell’attività del database in ambienti virtualizzati, o anche nel cloud, dove non esiste una topologia di rete ben definita o coerente. Infine, una miglior integrazione con i prodotti di scansione delle vulnerabilità.

Struttura di un Database Activity Monitoring

Il Database Activity Monitoring può essere classificato in base alla sua tipologia di architettura. Le tre tipologie di architetture sono:

Architettura basata sull’intercettazione

La maggior parte dei moderni sistemi di Database Activity Monitoring analizzano e raccolgono le attività del database, I sistemi DAM individuano dei punti in cui possono esaminare i flussi delle comunicazioni col fine di ottenere richieste e risposte senza dover interrogare il database.

Architettura basata sulla memoria

Alcuni sistemi DAM hanno un sensore che si collega ai database interrogandolo continuamente per raccogliere le istruzioni SQL mentre vengono eseguite.

Architettura basata sui log

Si definiscono così quelle tipologie di DAM che analizzano ed estraggono le informazioni dai log delle transazioni. Questi sistemi sfruttano il fatto che molti dei dati siano memorizzati all’interno dei registri di ripristino ed estrapolano le informazioni contenute in questi log. Sfortunatamente, non tutte le informazioni richieste si trovano nei registri di ripristino.

Questi sistemi sono un ibrido tra un vero sistema DAM (che è completamente indipendente dal DBMS) e un SIEM che si basa sui dati generati dal database.

Database activity monitoring Cover

Conclusioni

Le attività di Database Activity Monitoring offrono una protezione da tutte le minacce rivolte ai database monitorando e segnalando tutte le attività anomale del database e degli utenti con privilegi di amministrazione elevati.

La tutela delle informazioni è un aspetto che non bisogna trascurare. Utilizzare un servizio SOCaaS può aiutare a prevenire e a mitigare gli attacchi informatici, garantendo una sicurezza completa sotto ogni aspetto, salvaguardando l’integrità dei nostri dati sensibili.

Hai qualche dubbio o necessiti saperne di più a riguardo? Contattaci premendo il pulsante qui in basso, saremo pronti a rispondere ad ogni domanda.

Useful links:

auomazione sicurezza informatica team

Estimated reading time: 6 minutes

I continui progressi in ambito di automazione della sicurezza informatica hanno permesso agli analisti di potersi dedicarsi maggiormente all’analisi delle minacce più importanti. Questo evitando di sprecare energie eseguendo operazioni ripetitive.

Anche se questi progressi tecnologici portano benefici in termini di tempo, è fondamentale avere il controllo completo su tutti i processi integrati dai sistemi automatizzati. Proprio per questo è importante utilizzare strumenti che semplificano il compito, come ad esempio un SOAR.

SOAR è l’acronimo di Security Orchestration, Automation and Response e descrive l’insieme delle funzionalità impiegate per proteggere i sistemi informatici dalle minacce.

Le funzioni di automazione della sicurezza informatica consentono di alleggerire il carico di lavoro delle organizzazioni, automatizzando i comportamenti consueti di basso valore. Il grado di automazione dev’essere regolato adeguatamente e i team di sicurezza devono stabilire quali azioni debbano includere l’interazione umana, che rappresenta l’aspetto fondamentale nei processi di analisi.

I vantaggi che comporta l’impiego di un SOAR sono sostanzialmente due: riduzione del tempo di risposta agli incidenti informatici e miglioramento dell’efficienza del SOC.

auomazione sicurezza informatica

SOAR: progetti di automazione per la sicurezza informatica

È necessario effettuare alcune analisi preliminari prima di poter avviare un progetto di automazione di sicurezza SOAR.

Fase 1: Identificazione delle Procedure Standard Operative (SOPs) da attivare in risposta delle minacce

Prima di avviare un progetto di automazione, è opportuno effettuare delle analisi delle Procedure Standard presenti in azienda, ovvero dei processi di risposta e di investigazione degli incidenti che si vuole automatizzare. È importante identificare quali casi d’uso si vogliono implementare e migliorare prima di passare al passaggio successivo.

Fase 2: Analisi degli strumenti da orchestrare all’interno dei processi

Questa seconda fase consiste nell’analisi degli strumenti che bisogna orchestrare all’interno dei processi per poter effettuare indagini ed eseguire azioni correttive.

Fase 3: Verifica e creazione di connettori API

La terza fase consiste nel verificare che tutti i connettori API per effettuare le singole azioni identificate al punto due siano disponibili o sviluppabili.

Fase 4: Creazione dei connettori API mancanti

Alcune soluzioni SOAR presenti sul mercato sono molto chiuse e per poter effettuare qualche modifica è necessario rivolgersi al produttore. La flessibilità dev’essere una caratteristica chiave di un SOAR, così come la possibilità di poter scrivere e modificare in autonomia i connettori.

Fase 5: Miglioramento dei processi utilizzando workflow grafici

Con la logica dei playbook è possibile creare workflow grafici, in modo da avere sotto controllo tutti quei processi che devono essere eseguiti da un SOAR nell’automazione della sicurezza informatica.

Fase 6: Automazione progressiva

È importante decidere come dev’essere eseguita ogni singola azione dei processi. Qui sotto elenchiamo tre tipologie di azioni:

Totalmente automatiche: tutte quelle azioni eseguite direttamente dal SOAR senza l’ausilio dell’intervento umano.

Semi automatiche: le azioni che necessitano un’attivazione da parte di un analista.

Manuali: tutti i task che un analista deve svolgere manualmente, utilizzando altre tecnologie.

Automazione sicurezza informatica e orchestrazione: le differenze

Quando parliamo di orchestrazione, ci riferiamo alla possibilità di poter gestire tutti gli strumenti di cui gli analisti hanno bisogno, permettendo loro di replicare i processi di risposta alle minacce e di ottenere tutte le informazioni di cui hanno bisogno per poter prendere le giuste decisioni.

Un’automazione della sicurezza informatica, invece, permette di accelerare l’implementazione dei processi, dato che l’operatore interviene solo quando bisogna prendere delle decisioni gestionali.

Automazione della sicurezza informatica in un SOAR

Il SOAR è uno strumento che permette alle organizzazioni di poter replicare i propri processi operativi di sicurezza in un flusso di lavoro che consenta di orchestrare diverse tecnologie esistenti col fine di identificare, tracciare e rispondere agli incidenti informatici in maniera efficace e tempestiva. Gli analisti, in genere, hanno un’infinità di compiti da svolgere e l’automazione dei compiti e dei processi svolge un ruolo fondamentale, permettendo loro di concentrarsi sulle minacce più importanti.

Il SOAR non sostituisce l’intervento umano ma aiuta a velocizzare in modo significativo le attività degli analisti, essendo uno strumento che permette di far dialogare tra loro più tecnologie in un’unica piattaforma.

Quali sono i processi di sicurezza informatica che possono essere automatizzati

Il SOAR è progettato per gestire gli incidenti di sicurezza in un ambiente IT, in considerazione all’enorme quantità di strumenti adottati per rispondere alle minacce. Negli ultimi anni, il numero di reati informatici è salito vertiginosamente. Sono sempre più comuni i tentativi di phishing, smishing, doxing, ransomware e altre tipologie di intrusione più sofisticate.

Un numero maggiore di attacchi comporta un incremento dei processi, e conseguenzialmente anche degli strumenti e delle risorse umane impiegate per eseguire tutte le operazioni necessarie per garantire una corretta protezione di un sistema IT. Grazie al SOAR, gli analisti hanno la possibilità di ricevere notifiche e task fondamentali, permettendo loro di verificare tutte le informazioni raccolte e attivare le contromisure di contenimento.

Il SOAR non solo gestisce gli incidenti di sicurezza informatica, ma è utile anche a svolgere tutte quelle operazioni ripetitive.

Aumentare la velocità di risposta agli incidenti

Il SOAR permette di far seguire le Procedure Operative Standard (SOP), assegnando task e aumentando la collaborazione tra macchine e il team di sicurezza. L’esecuzione di procedure all’interno delle SOP può richiedere molto tempo come, ad esempio, tutte quelle attività ripetitive come l’analisi degli alert e la generazione reportistica.

Per i team di sicurezza, è inaccettabile sprecare energie dietro tutte queste procedure. Un SOAR aiuta ad automatizzare tutte quelle attività ripetitive che presentano minori rischi, consentendo agli analisti di lavorare in modo coordinato.

Una volta individuata e analizzata una minaccia, assegna il task agli operatori e, grazie all’automatizzazione dei compiti ripetitivi, gli analisti ottengono tempestivamente tutte le informazioni necessarie da utilizzare nei processi decisionali in modo da contenere la minaccia.

Il SOAR analizza automaticamente gli alert, documentandone le caratteristiche e classificando la loro natura. I dati collezionati vengono trasmessi agli analisti che, non avendo più la necessità di dover accedere a tanti diversi strumenti, possono focalizzare la loro attenzione sulle minacce reali in modo da sfruttare le loro competenze nelle attività che necessitano dell’analisi da parte dell’uomo e nelle attività di lateral movment.

Senza SOAR, la fase di analisi e le risposte a tutti gli alert vengono eseguite manualmente dagli analisti, con gran dispendio di tempo ed energie, aumentando significativamente il tempo di risposta ad un incidente informatico.

auomazione sicurezza informatica team

SOAR:soluzione per tutte le aziende

Inizialmente il SOAR era principalmente adottato dalle grandi organizzazioni e aziende che avevano creato ambienti SOC interni con molteplici dipendenti.

Un SOAR ben progettato e implementato è in grado di essere scalato sia verticalmente che orizzontalmente. Considerando che anche le piccole e medie aziende hanno bisogno di un SOAR, è possibile adottare un modello scalabile che offre alle organizzazioni più piccole gli stessi vantaggi che offrono alle organizzazioni più grandi.

Conclusioni

Abbiamo visto cos’è un SOAR e il suo impiego come strumento di automazione della sicurezza informatica, utilizzato per alleviare il carico di lavoro degli analisti, automatizzando un’ampia gamma di attività ripetitive.

A differenza di molte altre aziende, la nostra soluzione SOCaaS include anche la possibilità, per il cliente, di utilizzare il SOAR. Se desideri saperne di più, non esitare a contattarci, siamo pronti a rispondere a tutte le tue domande.

Useful links:

Uso di un socaas cover

Estimated reading time: 5 minutes

Nell’articolo precedente abbiamo visto i più comuni casi d’uso di un SOCaaS, spiegando in che modo può essere utile per le aziende avvalersi di questo strumento per prevenire attacchi informatici e spiegando inoltre quali sono i Threat Models più comuni.

In questo articolo, invece, vedremo più da vicino alcuni dei più comuni indicatori di compromissione (IOC). Prima vedremo brevemente i modelli di minaccia malware che l’uso di un SOCaaS può prevenire e bloccare. Per come funziona, un SOCaaS può essere molto duttile e analizzare molti dati contemporaneamente, fornendo così risultati approfonditi e precisi.

uso di un socaas network

Malware Threat Models

È importante saper distinguere e classificare le diverse tipologie di malware per capire in che modo possono infettare sistemi e dispositivi, il livello di minaccia che rappresentano e come proteggersi da essi. Noi di SOD consigliamo di adottare l’uso di un SOCaaS in modo da poter classificare l’intera gamma di malware o di oggetti potenzialmente indesiderati. I malware vengono catalogati in base all’attività che svolgono sui sistemi infetti.

Rilevamento malware Wannacry

Grazie a questo modello di minaccia è possibile rilevare il comportamento del noto malware Wannacry.
Il malware Wannacry è un ransomware che attacca il sistema crittografando file di particolare importanza per un’organizzazione in modo da renderli illeggibili.

Il rilevamento tempestivo di un ransomware è probabilmente l’azione più efficace che si possa svolgere per difendersi. Esistono anche servizi che riescono a bloccare l’azione del malware e ripristinare gli eventuali file già cifrati con quelli di un backup, per esempio Acronis Cyber Protect Cloud.

Anomalia del network seguita da infiltrazioni di dati

Identifica i tentativi di aggregazione dei dati di rete che hanno avuto successo, seguiti da segni di infiltrazione dei dati. Qui di seguito vediamo alcune delle anomalie e di come l’uso di un SOCaaS possa individuare indizi importanti per contrastare le minacce.

Durante una scansione della rete è possibile notare enumerazioni di account e privilegi AD, conteggio dei servizi LDAP fuori dalla rete aziendale e un numero sospetto di richieste di ticket al protocollo Kerberos. Inoltre, altri indicatori possono essere un picco nel traffico LDAP e l’enumerazione dei servizi SMB.

Per quello che riguarda le anomalie dell’unità di rete, l’uso di un SOCaaS è in grado di controllare gli accessi allo sharepoint in modo da individuare un numero insolito di accessi ad elementi condivisi. Questo anche in relazione agli utenti e al loro livello di accesso.

Sotto l’aspetto di Data Aggregation e di infiltrazione di dati, sono monitorati le quantità di byte scaricati dalle porte dei server e tramite protocolli FTP, così come una quantità inconsueta di byte trasmessi verso l’esterno.

Rilevamento Petrwrap/Goldeneye/Amalware

Questo modello di minaccia ha lo scopo di rilevare il malware Petrwrap. L’uso di un SOCaaS può rilevare attività di network scanning tramite il monitoring del numero di attività SMBv1, così come le anomalie in queste attività. Anche il tentativo di raggiungere un host mai raggiunto prima potrebbe essere un indicatore.

Un altro modo in cui è possibile individuare queste minacce con l’uso di un SOCaaS è il controllo delle attività con privilegi sospette. Per esempio si verifica che non ci sia un’escaletion di privilegi, un accesso insolito in una zona admin o anche la manomissione dei file di log.

Indicatori di rischio in generale

Gli indicatori di rischio sono metriche utilizzate per mostrare che l’organizzazione è soggetta o ha un’elevata probabilità di essere soggetta a un rischio.

Questi indicatori vengono usati per classificare il tipo di comportamento o minaccia per una policy e possono essere utilizzati in più policy per diverse funzionalità in base all’origine dei dati. Gli indicatori di rischio possono essere concatenati con i modelli di minaccia per identificare attacchi sofisticati su più fonti di dati.

Si tratta, in sostanza, di indizi o campanelli di allarme che indicano eventi a cui gli operatori di sicurezza di un’azienda dovrebbero prestare particolare attenzione. L’uso di un SOCaaS può aiutare a individuare questi indizi grazie all’analisi di grandi quantità di dati e log in tempi ridotti.

Qui di seguito vediamo un elenco non esaustivo di alcuni degli indicatori di minaccia più comuni che sono individuabili tramite l’uso di un SOCaaS. Li divideremo in diversi ambiti, per chiarezza.

Accessi

Le anomalie che riguardano l’accesso o comunque l’account includono il rilevamento di accesso allo sherepoint amministrativo anomalo ma anche tempi di caricamento delle applicazioni anomali. Anche applicazioni che utilizzano una quantità inconsueta di memoria potrebbero essere indicatori di compromissione.

Per quello che riguarda gli account, ovviamente, il blocco di un account risulta un campanello di allarme, così come un numero inconsueto di account creati o un numero spropositato di autenticazioni fallite. Infine, l’uso di un SOCaaS potrebbe indicare come IOC un numero sospetto di account in esecuzione contemporaneamente.

Uso di un socaas cover

Reti

I campanelli di allarme che riguardano le reti sono, ovviamente, quelli più comuni. Essendo le reti come “le strade” di un’infrastruttura aziendale, è normale che i comportamenti anomali in queste siano particolarmente rilevanti.

Come indicatori comuni ci sono i trasferimenti anomali di zone DNS o le richieste non riuscite fatte al firewall. Ma anche un numero anomalo di host in esecuzione o di connessioni ICMP. Tramite l’uso di un SOCaaS è controllato anche il traffico in generale, in modo che ogni movimento sospetto di dati sia analizzato o comunque verificato. Un esempio di questo sono i movimenti di pacchetti verso porte critiche, i tentativi di connessione RDP, SSH o a un server DHCP. Questi eventi indicano spesso dei tentativi anomali di connessione a oggetti o a condivisioni di rete.

Tramite l’uso di un SOCaaS è molto semplice anche controllare il comportamento degli account che spesso mostrano di per sé dei campanelli di allarme. Per esempio, un account che accede a un host per la prima volta, la creazione di un account o l’aggiunta di privilegi.

Conclusioni

Affidarsi alla fortuna per catturare le minacce è una follia, come ci ha dimostrato l’attacco SolarWinds.

Create la vostra fortuna con la nostra soluzione SOCaaS, assicurandovi di individuare le minacce prima che accadano incident e di essere abbastanza “fortunati” da contrastarle.

Contattaci per sapere come i nostri servizi possono rafforzare le difese della tua azienda, saremo lieti di rispondere a ogni domanda.

Useful links:

Security Data Lake Concept laptop

Estimated reading time: 5 minutes

Ogni giorno continuano a emergere nuove minacce alla sicurezza informatica e gli hacker sviluppano nuove tecniche d’intrusione per poter accedere a dati sensibili e violare sistemi IT. Per questo è necessario collaborare con degli esperti di alto livello che tengano traccia dei nuovi sviluppi in ambito della sicurezza IT. Con la nascita e con la continua evoluzione dei Big Data si è affermato anche il concetto di Data Lake e di Security Data Lake.

Per un’azienda, è dispendioso assumere un team che si occupi esclusivamente della sicurezza interna di un sistema per questo in molti si rivolgono a dei professionisti, avvalendosi di un Security Operations Center as a Service (SOCaaS) Questo servizio, offerto da SOD, comprende anche un SDL. Cerchiamo ora di capire cosa sia e quale sia la loro importanza e comodità.

Security Data Lake: cosa sono

Security Data Lake Concept Big Data

Un Data Lake è un archivio che include grandi quantità di dati, strutturati e non, che non sono stati ancora elaborati per uno scopo specifico. Questi dispongono di un’architettura semplice per archiviare i dati. Ad ogni elemento viene assegnato un identificatore univoco e successivamente poi, viene contrassegnato con un set di metadati.

Quando sorge una domanda aziendale, i data scientist possono interrogare il Data Lake al fine di rilevare dati che potrebbero rispondere alla domanda. Essendo i Data Lake sorgenti che andranno ad archiviare informazioni aziendali sensibili, è necessario proteggerli con delle misure di sicurezza efficaci, tuttavia l’ecosistema esterno di dati che alimenta i Data Lake è molto dinamico e potrebbero insorgere regolarmente nuovi problemi che minano la sua sicurezza.

Gli utenti abilitati ad accedere ai Data Lake, ad esempio, potrebbero esplorare e arricchire le sue risorse, aumentando conseguenzialmente anche il rischio di violazione. Se ciò dovesse verificarsi, le conseguenze potrebbero rivelarsi catastrofiche per un’azienda: violazione della privacy dei dipendenti, informazioni normative o compromissione di informazioni di rilevanza essenziale per l’azienda.

Un Security Data Lake invece è più incentrato sulla sicurezza. Offre la possibilità di acquisire dati da molti strumenti di sicurezza, analizza questi ultimi per carpire informazioni importanti, mappando i campi seguendo un pattern comune.

I dati contenuti in un SDL

Esistono innumerevoli varietà diverse di dati, in diversi formati, JSON, XML, PCAP e altro.  Un Security Data Lake supporta tutte queste tipologie di dati, garantendo un processo di analisi più accurato ed efficiente. Molte aziende sfruttano i Big Data per sviluppare sistemi di rilevamento delle minacce basati sull’apprendimento automatico.  Un esempio, per questa eventualità, è il sistema UEBA integrato con il SOCaaS offerto da SOD.

Un Security Data Lake consente di disporre facilmente dei dati, rendendoli disponibili, offrendo l’opportunità anche di un’analisi in tempo reale.

Apache Hadoop

È un’insieme di programmi Open Source che permette alle applicazioni di poter lavorare e gestire un’enorme mole di dati. Lo scopo è quello di risolvere i problemi che coinvolgono elevate quantità di informazioni e di calcolo.

Apache Hadoop include HDFS, YARN e MapReduce. Quando parliamo di Hadoop dunque, ci riferiamo a tutti quegli strumenti in grado di interfacciarsi ed integrarsi con questa tecnologia. Il ruolo di Hadoop è essenziale perché con essi è possibile archiviare ed elaborare dati ad un costo davvero contenuto rispetto ad altri strumenti. Inoltre, è possibile farlo in larga scala. Una soluzione ideale, quindi, per gestire un SDL.

Security Data Lake Concept laptop

Hadoop Distributed File System (HDFS): è uno dei componenti principali di Apache Hadoop, fornisce un accesso ai dati dell’applicazione senza doversi preoccupare di definire degli schemi in anticipo.

Yet Another Resource Negotiator (YARN): Viene utilizzato per gestire le risorse di calcolo in cluster, dando la possibilità di poterle utilizzare al fine di programmare le applicazioni utente. Si occupa di gestire l’allocazione di risorse in tutto l’ecosistema Hadoop.

MapReduce: è uno strumento grazie al quale è possibile trasferire la logica di elaborazione, aiutando così gli sviluppatori a scrivere applicazioni in grado di manipolare grandi quantità di informazioni in un unico set di dati gestibile.

Quali vantaggi offre Hadoop?

È importante utilizzare Hadoop perché con esso è possibile sfruttare i cluster di più computer per analizzare grandi quantità di informazioni anziché avvalersi di un singolo computer di grandi dimensioni. Il vantaggio, rispetto ai database relazionali ed ai data warehouse, sta nella capacità di Hadoop nel gestire i big data in maniera veloce e flessibile.

Altri vantaggi

Tolleranza di errore: I dati vengono replicati su un cluster, così da essere poi facilmente recuperati in caso di errori o malfunzionamenti del disco o del nodo.

Costi: Hadoop è una soluzione molto più economica rispetto ad altri sistemi. Fornisce calcolo e archiviazione su hardware a prezzi accessibili.

Supporto di una solida community: Hadoop attualmente è un progetto supportato da una comunità attiva di sviluppatori che introducono aggiornamenti, migliorie e idee, rendendolo un prodotto appetibile per molte aziende.

Conclusioni

In questo articolo abbiamo appreso le differenze tra un Data Lake e un Security Data Lake, facendo chiarezza sull’importanza di avvalersi di questi strumenti al fine di garantire una corretta integrità dei sistemi informatici presenti in un’azienda.

Raccogliere i dati dell’infrastruttura è solo il primo passo per l’analisi efficiente e la conseguente sicurezza offerta dal monitoring, essenziale per un SOCaaS. Chiedici come queste tecnologie possono aiutarti nella gestione della cyber security della tua azienda.

Per dubbi e chiarimenti, noi siamo sempre pronti a rispondere ad ogni tua domanda.

Useful links:

purple team cover

Estimated reading time: 6 minutes

Quando si parla di sicurezza informatica e ci si trova dalla parte degli attaccati, ci si limita spesso a pensare in termini di difesa, protezione e contenimento delle minacce. Tuttavia, l’approccio che si rivela migliore è quello in cui ci si mette nei panni degli attaccanti e si considera la propria infrastruttura come il bersaglio delle proprie azioni. Solo così è possibile affrontare il discorso in modo olistico e non da un unico punto di vista. Per eseguire questo cambio di mentalità, ci si riferisce ai vari attori della scena come a dei team: red team, blue team e purple team. Oggi facciamo un po’ di chiarezza sulle differenze tra le squadre di hacker coinvolte nell’azione.

Definizione dei Team e il loro scopo

I Red Team sono entità interne o esterne dedicate a testare l’efficacia di un programma di sicurezza emulando gli strumenti e le tecniche di probabili attaccanti nel modo più realistico possibile. La pratica è simile, ma non identica al Penetration Testing, e comporta il perseguimento di uno o più obiettivi, solitamente eseguiti come una campagna.

I Blue Team si riferiscono alla squadra di sicurezza interna che difende sia dagli attaccanti reali che dai Red Team. I Blue Team devono essere distinti dai team di sicurezza standard nella maggior parte delle organizzazioni, poiché la maggior parte dei team operativi di sicurezza non hanno una mentalità di vigilanza costante contro gli attacchi, che è la missione e la prospettiva di un vero Blue Team.

I migliori membri del Blue Team sono quelli che possono impiegare tecniche di empatia avversaria, cioè pensare profondamente come il nemico. Questa mentalità di solito viene dettata più che altro dall’esperienza di attacco.

I Purple Team esistono per garantire e massimizzare l’efficacia degli altri due team. Lo fanno integrando le tattiche difensive e i controlli del Blue Team con le minacce e le vulnerabilità trovate dal Red Team in un unica azione che massimizza entrambi. Idealmente, il Purple Team non dovrebbe essere una squadra, ma piuttosto una dinamica permanente tra Red e Blue.

Purple Team Multiscreen

Per approfondire in modo ulteriore i punti di vista, analizziamo meglio i team.

Red Team

I Red Team sono spesso confusi con i Penetration Tester, ma, nonostante abbiano un’enorme sovrapposizione di competenze e funzioni, non sono la stessa cosa. Hanno una serie di attributi che li separano da altri team di sicurezza offensiva. I più importanti tra questi sono:

1. Emulazione delle TTP (tecniche, tattiche e procedure) utilizzate dagli avversari. Utilizzano strumenti simili ai malintenzionati: exploit, metodologie di pivot e obiettivi tipici di un black hat hacker.
2. Test basati su campagne che si protraggono per un periodo di tempo esteso, ad esempio, più settimane o mesi di emulazione dello stesso attaccante.

Si parla di Penetration Test se un team di sicurezza utilizza strumenti standard, esegue i test solo per una o due settimane e cerca di raggiungere un insieme standard di obiettivi. Per esempio irrompere sulla rete interna, rubare dati oppure ottenere l’amministrazione del dominio. Una campagna di Red Team utilizza un set personalizzato di TTP e obiettivi per un periodo di tempo prolungato.

Naturalmente, è possibile creare una campagna Red Team che utilizza le migliori TTP conosciute, una combinazione di strumenti di pentesting continuativo, tecniche ed obiettivi, e di eseguirla come una campagna.

Blue Team

L’obiettivo qui non è la protezione degli ingressi, ma piuttosto l’incoraggiamento della curiosità e una mentalità proattiva. I Blue Team sono i difensori proattivi di un’azienda dal punto di vista della sicurezza informatica.

Ci sono un certo numero di compiti orientati alla difesa che non sono considerati degni del Blue Team. Ad esempio, un analista SOC di livello 1 che non ha alcuna formazione o interesse nelle tecniche offensive, nessuna curiosità per l’interfaccia che sta guardando, e nessuna creatività nel seguire qualsiasi potenziale allarme, difficilmente sarà un valido membro di un Blue Team.

Tutti i Blue Team sono difensori, ma non tutti i difensori fanno parte di un Blue Team.

Ciò che costituisce un membro Blue Team e lo differenzia dall’occuparsi della difesa è la mentalità. Ecco come fare la distinzione: I Blue Team hanno e usano:

1. Una mentalità proattiva e non reattiva
2. Profonda curiosità riguardo alle cose che sono fuori dall’ordinario
3. Miglioramento continuo nel rilevamento e nella risposta

Non si tratta di sapere se qualcuno è un analista SOC autodidatta di livello 1 o un ex membro di un Red Team. Si tratta di curiosità e desiderio di migliorare costantemente.

Purple Team

Il Purple Team è più che altro un mindeset cooperativo tra attaccanti e difensori che lavorano dalla stessa parte. Come tale, dovrebbe essere pensato come una funzione piuttosto che come un team separato.

Il vero scopo di un Red Team è quello di trovare modi per migliorare il Blue Team, quindi i Purple Team non dovrebbero essere necessari in organizzazioni dove l’interazione Red Team / Blue Team è sana e funziona correttamente.

I migliori usi del termine Purple Team sono quelli in cui un gruppo non familiare con tecniche offensive vuole imparare come ragionano gli attaccanti. Potrebbe essere un gruppo di risposta agli incidenti, un gruppo di rilevamento, un gruppo di sviluppatori, qualsiasi cosa. Se i buoni stanno cercando di imparare dagli hacker white hat, questo può essere considerato un esercizio di Purple Team.

Purple Team Collaboration

Conclusioni

Mentre i Red e Blue Team hanno lo stesso obiettivo di migliorare la sicurezza di un’organizzazione, troppo spesso non sono disposti a condividere i loro “segreti”. Gli attaccanti a volte non rivelano i metodi utilizzati per infiltrarsi nei sistemi, mentre i team di difesa non dicono come gli attacchi siano stati rilevati e bloccati.

Tuttavia, la condivisione di questi “segreti” è fondamentale per rafforzare la posizione di sicurezza dell’azienda. Il valore dei team rossi e blu è nullo se non condividono i loro dati di ricerca e segnalazione. È qui che entra in gioco il Purple Team.

I membri del Purple Team fanno in modo che i loro compagni di squadra Red e Blue lavorino insieme e condividano gli approfondimenti sulle loro risorse, i rapporti e le conoscenze. Per fare ciò, ci si dovrebbe concentrare sulla promozione della comunicazione e della collaborazione tra i membri dei due team principali.

Come usare queste mentalità in azienda

Quando si delocalizza la sicurezza aziendale con un SOCaaS e l’esecuzione di Vulnerability Assessment e Penetration Test, i vari team sono del tutto esterni. I servizi che offre SOD si basano sulle best practice per quello che riguarda il lavoro dei Red e Blue Team, generando una mentalità da Purple Team.

Con noi la sicurezza della tua azienda è in buone mani. I nostri ingegneri hanno esperienza e sono abituati a collaborare per raggiungere il massimo del risultato.

Contattaci per saperne di più su come i nostri servizi possono venire in aiuto nella difesa aziendale, saremo lieti di rispondere ad ogni domanda.

Useful links:

XDR laptop

Estimated reading time: 5 minutes

Proprio come qualsiasi altro campo IT, il mercato della cybersecurity è guidato dall’hype. Attualmente si fa hype verso l’XDR, ossia eXtended Detection and Response.

XDR è la novità per quello che concerne il rilevamento e alla risposta alle minacce, un elemento chiave della difesa dell’infrastruttura e dei dati di un’azienda.

Cos’è esattamente l’XDR?

XDR è un’alternativa ai tradizionali approcci reattivi che forniscono solo una layer visibility sugli attacchi. Mi riferisco a procedure come il rilevamento e la risposta degli endpoint (EDR), l’analisi del traffico di rete (NTA) e i SIEM, di cui abbiamo parlato in molti altri articoli.

La layer visibility implica che si adottino diversi servizi, stratificati (layer), che tengono sotto controllo ciascuno una specifica entità nell’infrastruttura. Questo può essere problematico. Infatti, bisogna assicurarsi che i livelli non finiscano isolati, rendendo difficile, o quasi impossibile gestire e visualizzare i dati. La layer visibility fornisce informazioni importanti, ma può anche portare a problemi, tra cui:

Collezionare troppi avvisi incompleti e senza contesto. L’EDR rileva solo il 26% dei vettori iniziali di attacco e a causa dell’elevato volume di avvisi di sicurezza, il 54% dei professionisti della sicurezza ignora gli avvisi che dovrebbero essere indagati.
Indagini complesse e dispendiose in termini di tempo che richiedono competenze specialistiche. Con l’EDR, il tempo medio per identificare una violazione è aumentato a 197 giorni, e il tempo medio per contenere una violazione è aumentato a 69 giorni.
Strumenti incentrati sulla tecnologia piuttosto che sull’utente o sul business. L’EDR si concentra sulle lacune tecnologiche piuttosto che sulle esigenze operative degli utenti e delle aziende. Con più di 40 strumenti utilizzati in un Security Operations Center (SOC) medio, il 23% dei team di sicurezza passa il tempo a mantenere e gestire gli strumenti di sicurezza piuttosto che eseguire indagini. (Fonte)

XDR raccolta dati

Per i team di sicurezza già sovraccarichi, il risultato può essere un flusso infinito di eventi, troppi strumenti e informazioni da alternare, tempi più lunghi per il rilevamento e spese per la sicurezza che superano il budget e non sono nemmeno pienamente efficaci.

La novità nell’eXtended Detection Response

XDR implementa un approccio proattivo al rilevamento delle minacce e alla risposta. Offre visibilità sui dati attraverso le reti, i cloud e gli endpoint, mentre applica l’analisi e l’automazione per affrontare le minacce sempre più sofisticate di oggi. I vantaggi dell’approccio XDR per i team di sicurezza sono molteplici:

Identificare le minacce nascoste, furtive e sofisticate in modo proattivo e rapido.
Tracciare le minacce attraverso qualsiasi fonte o posizione all’interno dell’organizzazione.
Aumentare la produttività delle persone che operano con la tecnologia.
Ottenere di più dai loro investimenti in sicurezza.
Concludere le indagini in modo più efficiente.

Dal punto di vista del business, XDR permette alle compagnie di individuare i cyber threat e fermare gli attacchi, oltre a semplificare e rafforzare i processi di sicurezza. Di conseguenza, consente alle aziende di servire meglio gli utenti e accelerare le iniziative di trasformazione digitale. Quando utenti, dati e applicazioni sono protetti, le aziende possono concentrarsi sulle priorità strategiche.

Perché considerarlo per la propria azienda

I due motivi principali per cui è vantaggioso questo tipo di approccio sono: gli endpoint non hanno visibilità sulle minacce in luoghi come i servizi cloud, inoltre, potrebbe non essere possibile mettere un software agent su tutti gli endpoint dell’azienda.

Ma ci sono anche altre motivazioni da considerare. L’aggiunta di altre fonti di dati può fornire maggiore contesto nei risultati dell’EDR, migliorando il triage e l’indagine degli avvisi. I provider si stanno movimentando non solo per fornire maggiori dati meglio organizzati, ma anche consegnando piattaforme di analisi per alleggerire il carico analitico sugli operatori. Questo si traduce in facilità d’uso e costi operativi ridotti.

L’XDR può sembrare molto attraente come prodotto: Integrazione stretta delle parti, contenuto altamente sintonizzato (poiché il fornitore ha il controllo totale sugli eventi dalle fonti di dati), uso di analitiche e automazione della risposta.

XDR dati virtuali

A cosa prestare attenzione prima dell’adozione

Alcuni provider stanno posizionando il loro XDR come la soluzione definitiva al rilevamento delle minacce. Tuttavia, molti fornitori non sono in grado di offrire tutti gli strumenti necessari per ottenere il vantaggio venduto. Alcuni provider offrono nel pacchetto il monitoring di endpoint e cloud, altri di endpoint e rete, ma se si esaminano le esigenze complete della maggior parte delle organizzazioni, ci sono spesso dettagli mancanti nell’immagine complessiva.

Se poi, una volta che l’azienda si impegna con un provider e nota una mancanza in uno dei settori monitorati, quali sono le possibili soluzioni? Si genera una situazione di vendor lock-in da cui svincolarsi significa recidere un contratto per poi aprirne un altro, con tutti i costi che ne conseguono.

L’XDR come un approccio, non come prodotto

Prima di sottoscrivere un contratto con un provider che vende un soluzione come definitiva, è sempre bene soppesare in modo analitico i vantaggi e le implicazioni.

L’integrazione stretta e bidirezionale di più capacità di rilevamento e risposta alle minacce è la prima caratteristica distintiva. Ma non è necessario acquistare due componenti tecnologici dallo stesso fornitore per ottenere una buona integrazione. Infatti, molti prodotti hanno la capacità di integrarsi con alcune soluzioni di altri fornitori come uno dei loro principali punti di forza.

L’approccio XDR deve fornire una piattaforma che consente la necessaria raccolta e conservazione dei dati, ma anche forti capacità di analisi, di orchestrare e automatizzare le azioni di risposta fornite dalle altre parti della soluzione. Un Next Generation SIEM cloud based è una soluzione perfetta.

Come muoversi dunque?

L’interesse per i prodotti XDR è un chiaro segnale che l’eccessiva frammentazione stava portando un’eccessiva complessità. Un po’ di consolidamento è un bene, ma deve essere fatto proteggendo la flessibilità e la capacità di seguire le soluzioni migliori.

Secondo noi, un SOCaaS è una soluzione ottimale. Fornisce un SIEM di nuova generazione, con forti capacità di analisi. Inoltre, integra anche un’intelligenza artificiale che aiuta nel riconoscere in tempo le minacce tramite l’analisi del comportamento. Un SOCaaS è il futuro delle piattaforme operative di sicurezza.

Per sapere con i nostri servizi possono aiutarti a proteggere i dati della tua azienda e dei tuoi clienti, contattaci, risponderemo volentieri a ogni tuo dubbio.

Useful links:

Threat Intelligence Virtual

Estimated reading time: 6 minutes

I dati di threat intelligence forniscono alle aziende approfondimenti rilevanti e tempestivi necessari per comprendere, prevedere, rilevare e rispondere alle minacce alla sicurezza informatica. Le soluzioni di intelligence sulle minacce raccolgono, filtrano e analizzano grandi volumi di dati grezzi relativi a fonti esistenti o emergenti di minacce. Il risultato sono feed di threat intelligence e rapporti di gestione. I data scientist e i team di sicurezza utilizzano questi feed e report per sviluppare un programma con risposte mirate agli incidenti per attacchi specifici.

Tutti, dalla prevenzione delle frodi alle operazioni di sicurezza all’analisi dei rischi, traggono vantaggio dalla threat intelligence. Il software di intelligence sulle minacce fornisce visualizzazioni interattive e in tempo reale dei dati relativi alle minacce e alle vulnerabilità.

Il vantaggio offerto agli analisti ed esperti di sicurezza è evidente e serve a identificare facilmente e rapidamente i modelli degli attori delle minacce. Comprendere la fonte e l’obiettivo degli attacchi aiuta i capi d’azienda a mettere in atto difese efficaci per mitigare i rischi e proteggersi dalle attività che potrebbero avere un impatto negativo sull’azienda.

La cyber threat intelligence può essere classificata come strategica, tattica oppure operativa. Quella Strategica riguarda le capacità e gli intenti generali degli attacchi informatici. Di conseguenza anche lo sviluppo di strategie informate associate alla lotta contro le minacce a lungo termine. Quella Tattica riguarda le tecniche e le procedure che gli aggressori potrebbero utilizzare nelle operazioni quotidiane. Infine, la threat intelligence Operativa, fornisce informazioni altamente tecniche a livello forense riguardanti una specifica campagna di attacco.

Threat Intelligence Virtual

Il ciclo della threat intelligence

Le soluzioni di intelligence sulle minacce raccolgono dati grezzi sugli attori e le minacce da varie fonti. Questi dati vengono poi analizzati e filtrati per produrre feed e rapporti di gestione che contengono informazioni che possono essere utilizzate in soluzioni automatizzate di controllo della sicurezza. Lo scopo principale di questo tipo di sicurezza è quello di mantenere le organizzazioni informate sui rischi delle minacce persistenti avanzate, delle minacce zero-day e degli exploit, e su come proteggersi da esse.

Il ciclo di intelligence delle minacce informatiche consiste nelle seguenti fasi.

Pianificazione: I requisiti dei dati devono essere prima definiti.

Raccolta: Si raccolgono grandi quantità di dati grezzi da fonti interne ed esterne di threat intelligence.

Elaborazione: I dati grezzi sono filtrati, categorizzati e organizzati.

Analisi: Questo processo trasforma i dati grezzi in flussi di informazioni sulle minacce con l’uso di tecniche analitiche strutturate in tempo reale e aiuta gli analisti a individuare gli indicatori di compromissione (IOC).

Diffusione: I risultati dell’analisi vengono immediatamente condivisi con i professionisti della sicurezza informatica e gli analisti di threat intelligence.

Feedback: Se tutte le domande trovano risposta, il ciclo si conclude. Se ci sono nuovi requisiti, il ciclo ricomincia dalla fase di pianificazione.

Indicatori comuni di compromissione

Le aziende sono sempre più sotto pressione per gestire le vulnerabilità della sicurezza e il panorama delle minacce è in continua evoluzione. I feed di threat intelligence possono aiutare in questo processo identificando gli indicatori comuni di compromissione (IOC). Non solo, possono anche raccomandare i passi necessari per prevenire attacchi e infezioni. Alcuni degli indicatori di compromissione più comuni includono:

Indirizzi IP, URL e nomi di dominio: Un esempio potrebbe essere un malware che prende di mira un host interno che sta comunicando con un noto attore di minacce.

Indirizzi e-mail, oggetto delle e-mail, link e allegati: Un esempio potrebbe essere un tentativo di phishing che si basa su un utente ignaro che clicca su un link o un allegato e avvia un comando dannoso.

Chiavi di registro, nomi di file e hash di file e DLL: Un esempio potrebbe essere un attacco da un host esterno che è già stato segnalato per un comportamento nefasto o che è già infetto.

threat intelligence hacker

Quali strumenti per la threat intelligence

Il crescente aumento del malware e delle minacce informatiche ha portato a un’abbondanza di strumenti di threat intelligence che forniscono preziose informazioni per proteggere le aziende.

Questi strumenti si presentano sotto forma di piattaforme sia open source che proprietarie. Queste forniscono una serie di capacità di difesa contro le minacce informatiche, come l’analisi automatizzata dei rischi, la raccolta di dati privati, strumenti di ricerca rapida di threat intelligence, la segnalazione e condivisione di queste informazioni tra più utenti, avvisi curati, analisi dei rischi di vulnerabilità, monitoraggio del dark web, mitigazione automatizzata dei rischi, threat hunting e molto altro.

Abbiamo parlato di uno di questi strumenti in un altro articolo: il Mitre Att&ck. Questo è uno strumento molto utile per conoscere i comportamenti e le tecniche di attacco hacker. Questo grazie alle informazioni raccolte dalla threat intelligence e la conseguente condivisione. Un framework come questo è molto efficiente per creare meccanismi difensivi che consentono di mettere in sicurezza le infrastrutture aziendali.

Intelligenza artificiale e informazioni sulle minacce

Come abbiamo visto prima, la raccolta di informazioni da varie fonti non è altro che una delle fasi. Queste devono poi venire analizzate e successivamente elaborate in protocolli di controllo, per essere davvero utili per la sicurezza.

Per questo tipo di lavori di analisi, definizione di comportamenti baseline e controllo dei dati ci si affida sempre di più all’intelligenza artificiale e al deep learning. Un Next Generation SIEM, affiancato a una soluzione UEBA sono perfetti per questo tipo di protezione.

Il controllo del comportamento delle entità all’interno del perimetro effettuato dal UEBA è in grado di identificare ogni comportamento sospetto, in base alle informazioni raccolte e analizzate dal SIEM.

Conclusioni

Gli strumenti di difesa che abbiamo nominato sono il valore primario di un piano di sicurezza aziendale. Adottare soluzioni specifiche, implementare la threat intelligence e quindi una ricerca attiva degli indicatori di minacce, offre una posizione di vantaggio strategica. L’azienda può operare un passo avanti ai criminali, i quali possono far leva solo sull’effetto sorpresa contro le loro vittime. Proprio per questa situazione generale, ogni azienda dovrebbe essere nelle condizioni di non farsi cogliere alla sprovvista. Implementare soluzioni proattive è ormai necessario.

La threat intelligence è quindi un’arma da difesa dietro la quale mettere al riparo le risorse più importanti per poter lavorare in tranquillità.

Se vuoi sapere come possiamo aiutarti con i nostri servizi dedicati alla sicurezza, non esitare a contattarci, saremo lieti di rispondere a ogni domanda.

Useful links:

Link utili:

Cyber Threat Intelligence (CTI) – maggiore efficacia per la sicurezza IT

Progetti di Secure Online Desktop

Cos’è la Cyber Security? Definizione e proposte

Prevenire il shoulder surfing e il furto di credenziali aziendali

Zombie Phishing protezione

Estimated reading time: 6 minutes

Dal nulla, qualcuno risponde a una conversazione email datata mesi fa. Si tratta di una conversazione vera che è realmente accaduta. Forse riguarda una riunione, un’opportunità di lavoro. Questa email sembra molto rilevante, ma attenzione, potrebbe essere zombie phishing.

Infatti, qualcosa non va, l’argomento discusso è passato da mesi e ora c’è uno strano messaggio di errore nel corpo della mail. Questa è una tattica subdola: far rivivere una conversazione via email morta da tempo.

Non il solito phishing

Il Cofense™ Phishing Defense Center™ (PDC) ha individuato nel 2018 una vasta campagna di Zombie Phishing. La truffa, come quasi ogni attacco di phishing, viene realizzata attraverso account di posta elettronica compromessi.

I truffatori si impadroniscono di un account email e rispondono a conversazioni già chiuse da tempo con un link di phishing o un allegato dannoso (per esempio malware o un keylogger). Dato che l’oggetto dell’email è solitamente rilevante per la vittima, è molto probabile che si verifichi un clic guidato dalla curiosità. Non scordiamoci, infatti, che la conversazione originale era già presente tra i messaggi ricevuti, è facile pensare che si tratti di un follow up o simili.

Questi attacchi di Zombie Phishing sembrano utilizzare URL di infezione generati automaticamente per eludere il rilevamento. Non ci sono due link uguali, inoltre, sono nascosti dietro messaggi di “errore” senza troppi fronzoli nel corpo del messaggio. Questo scenario fornendo uno schema di apparente legittimità per gli utenti che ne sono vittime.

Gli zombie in informatica

Nel settore informatico, uno zombie è un computer compromesso connesso alla rete. Lo stato di compromissione potrebbe essere dovuto a un hacker, un virus, un malware o un trojan horse.

La macchina infetta esegue compiti dannosi sotto una direzione remota. Le botnet di computer zombie sono spesso utilizzate per diffondere spam e-mail e lanciare attacchi di tipo denial-of-service (DoS).

Tipi di attacco

Ecco alcuni modelli osservati di Zombie Phishing che trasportano link dannosi. Un fattore distintivo era l’uso di due template grafici distinti contenenti messaggi di errore con pulsante o link.

Il messaggio recita qualcosa tipo “Messaggio incompleto” o “Impossibilità di mostrare tutto il messaggio”. Il link o pulsante invita a cliccare per vedere il messaggio originale. Ovviamente il click comporta solo l’installazione di un malware o altri eventi simili. Da notare che non sono stati individuati due link uguali, segno che probabilmente a generare gli indirizzi era un bot.

Un altro fattore comune è l’utilizzo di domini con TLD .icu. Questo è probabilmente un fattore che col tempo varia sensibilmente. Ecco alcuni dei domini riscontrati nella prima analisi del 2018:

Zombie phishing - domini originali
Fonte immagine Cofence™

Si è osservato che questi attacchi zombie phishing utilizzano loghi organizzativi ufficiali per aggiungere legittimità alle false pagine di login. Una pratica comune nelle tecniche di phishing che abbiamo già visto in altri articoli.

Le pagine di destinazione sono progettate per sembrare un portale online legittimo, compreso di logo dell’azienda e persino una favicon. In questi casi l’obiettivo finale è il furto di credenziali della vittima.

Inoltre, qualsiasi vittima che visita il sito web dannoso viene “marcata” utilizzando l’indirizzo IP dell’host come identificatore e, dopo aver inserito le credenziali, viene indirizzata allo stesso sito web di spam visto da altre vittime. Questo avviene spesso tramite link offuscati utilizzando accorciatori di URL (come hxxps://href[.]li/).

Se lo stesso host tenta di visitare di nuovo il link di phishing, la finta pagina di login viene saltata e si viene inoltrati direttamente alla pagina di spam. Questa marcatura e l’offuscamento dell’URL shortener aiuta gli aggressori a mantenere un basso profilo e a continuare la loro campagna senza sosta.

Conversation Hijacking

Zombie Phishing  protezione

La tattica del conversation hijacking non è affatto nuova e sta ora vivendo una nuova vita grazie al zombie phishing . I truffatori hanno dirottato account di posta elettronica compromessi per distribuire malware ed email di phishing come risposte a conversazioni concluse da anni ormai.

Questa tecnica è ancora popolare perché rende le vittime molto più propense a cliccare su link e scaricare o aprire i file. La soglia di attenzione contro i classici attacchi di phishing è abbassata quando i messaggi sono portati all’interno di conversazioni già nella loro casella di posta.

Un esempio datato un paio d’anni di questo è stata la botnet Geodo. Sostanzialmente si tratta di inserimento in thread di posta elettronica esistenti (conversation hijacking) per consegnare documenti dannosi. Questi, a loro volta, scaricano un campione di Geodo o altri malware come Ursnif, che secondo il Key4Biz era il più diffuso in Italia a giugno 2020.

Tuttavia, l’efficacia di questa tattica può dipendere molto dal contenuto delle conversazioni. Una risposta a un’email pubblicitaria automatica ha meno probabilità di provocare un’infezione rispetto a una risposta a un thread di supporto help-desk.

Sono state diverse le campagne zombie phishing di Geodo consistenti in risposte a email pubblicitarie automatizzate. Questo è indice del fatto che, in alcuni casi, le campagne consistono in risposte indiscriminate a tutte le email in una casella di posta. Dato che il volume di queste campagne di conversation hijacking è ancora relativamente basso, la portata ridotta di queste email è probabilmente limitata dal numero di conversazioni in corso.

Alcuni tipi di account hanno quindi maggiori probabilità di attirare l’attenzione diretta degli attori delle minacce e di indurli a investire ulteriori sforzi e tempo nello sviluppo di campagne di phishing uniche per quegli account.

Difesa dal zombie phishing

Ecco alcuni suggerimenti veloci per evitare di perdere le credenziali per un attacco Zombie Phishing:

  • Attenzione ai soggetti delle email che possono sembrare rilevanti ma che provengono da vecchie conversazioni
  • Fate attenzione a un eventuale messaggio di errore nel corpo del messaggio
  • Non fidatevi dei documenti allegati solo perché stanno rispondendo a una conversazione
  • Passate il mouse sopra i pulsanti o i link nei messaggi sospetti per controllare che non contengano domini sospetti

È stato osservato che queste campagne sono diventate sempre più intelligenti. Per combattere questo e altre forme di phishing, la formazione dei dipendenti è fondamentale.

Una forza lavoro adeguatamente formata è ciò che serve per difendere la tua organizzazione contro gli attacchi di Zombie Phishing.

SOD offre un servizio completo a riguardo. Cominciamo attaccando in modo controllato l’azienda, testando eventuali debolezze nella sicurezza o nel comportamento dei dipendenti. Successivamente viene progettata una formazione specifica per rimediare alle lacune e formare in modo completo il personale.

Per mantenere alte le difese, inoltre, il nostro SOCaaS comprende l’analisi del comportamento degli utenti, dei log delle macchine collegate e della rete in modo da individuare immediatamente tentativi di phishing.

Useful links:

ingegneria sociale email

Estimated reading time: 10 minutes

Ingegneria sociale è il termine usato per una vasta gamma di attività dannose compiute attraverso le interazioni umane. Utilizza la manipolazione psicologica per indurre gli utenti a commettere errori di sicurezza o a fornire informazioni sensibili. In seguito, con quelle informazioni, l’hacker è in grado di portare a termine con successo attacchi mirati, come il furto di dati, un ransomware o un’interruzione di servizi.

Gli attacchi di ingegneria sociale avvengono solitamente in più fasi. L’esecutore prima indaga sulla vittima designata per raccogliere le informazioni di base necessarie, come i potenziali punti di ingresso e i protocolli di sicurezza deboli, necessari per procedere con l’attacco. Poi, l’attaccante si muove per guadagnare la fiducia della vittima e fornire stimoli per azioni successive che violano le pratiche di sicurezza, come rivelare informazioni sensibili o concedere l’accesso a risorse critiche.

Ciò che rende il social engineering particolarmente pericoloso è che si basa sull’errore umano, piuttosto che sulle vulnerabilità del software e dei sistemi operativi. Gli errori commessi dagli utenti legittimi sono molto meno prevedibili, il che li rende più difficili da identificare e contrastare rispetto a un’intrusione basata sul malware.

ingegneria sociale hacker con 2 pc

È da notare che il target di un ingegnere sociale non è per forza una rete o un software. Riuscire ad entrare in un edificio eludendo la sicurezza, per poi installare un dispositivo o rubare dei documenti, sono azioni che rientrano comunque sotto questa tipologia di attacchi.

Le tecniche dell’ingegneria sociale

Gli attacchi di ingegneria sociale si presentano in molte forme diverse e possono essere eseguiti ovunque sia coinvolta l’interazione umana. I seguenti sono cinque metodi più comuni di attacchi di ingegneria sociale digitale.

Baiting (dall’inglese bait, “esca”)

Come suggerisce il nome, gli attacchi di baiting utilizzano una falsa promessa (un esca, appunto) per stuzzicare l’avidità o la curiosità della vittima. Attirano gli utenti in una trappola che ruba le loro informazioni personali o installa sui loro sistemi un malware.

La forma più infame di baiting utilizza supporti fisici per disperdere il malware. Per esempio, gli aggressori lasciano l’esca (tipicamente chiavette infette) in aree appariscenti dove le potenziali vittime sono certe di vederle (ad esempio, bagni, ascensori, il parcheggio di un’azienda presa di mira). L’esca ha un aspetto legittimo, come un’etichetta che indica il contenuto, come la lista degli stipendi dell’azienda. L’indizio che rivela cosa dovrebbe contenere può cambiare, ovviamente, ma ha la prerogativa di essere potenzialmente molto interessante.

Le vittime raccolgono l’esca per curiosità e la inseriscono in un computer di lavoro o di casa, con conseguente installazione automatica di malware sul sistema.

Le truffe di adescamento non devono necessariamente essere eseguite nel mondo fisico. Le forme di baiting online consistono in annunci allettanti che portano a siti dannosi o che incoraggiano gli utenti a scaricare un’applicazione infetta da malware. Qui si sfocia nelle tecniche di phishing, che vedremo tra poco.

Note di difesa: per difendersi da questi attacchi di ingegneria sociale, oltre che prestare la massima attenzione a cosa si collega al proprio computer, non guasta avere un sistema di antivirus e anti-malware efficiente. Per l’azienda, un sistema SIEM di nuova generazione e UEBA aiutano nell’individuare comportamenti sospetti degli utenti e riducono moltissimo il rischio di infezione malware.

ingegneria sociale laptop

Scareware (dall’inglese to scare, “spaventare”)

Lo scareware consiste nel bombardare le vittime con falsi allarmi e minacce fittizie. Gli utenti sono ingannati a pensare che il loro sistema sia infettato da un malware, spingendoli a installare un software che non ha alcun beneficio reale (se non per l’esecutore) o è esso stesso un malware. Lo scareware viene anche chiamato software di inganno (deception software), rogue scanner software e fraudware.

Un esempio comune di scareware è il banner popup dall’aspetto legittimo che appare nel tuo browser mentre navighi sul web, mostrando un testo come “Il tuo computer potrebbe essere infettato da programmi spyware dannosi“. In altri casi il popup si offre di installare lo strumento (spesso infetto da malware) al posto vostro, o vi indirizza a un sito dannoso dove il vostro computer viene infettato.

Lo scareware è anche distribuito tramite email di spam che distribuisce avvisi fasulli, o fa offerte agli utenti per comprare servizi inutili/nocivi. L’ingegneria sociale è spesso molto fantasiosa e riesce a trovare modi sempre nuovi per ingannare. È necessario essere sempre all’erta.

Note di difesa: Nel caso si sospetti che il messaggio ricevuto sia davvero legittimo, la cosa migliore è cerca una soluzione attivamente, senza cioè usare i link suggeriti dal messaggio stesso. Per esempio, si è ricevuto un messaggio da un servizio che annuncia che il nostro account è stato compromesso. In caso di dubbio, si può contattare l’assistenza del servizio direttamente dal loro sito per chiedere chiarimenti. Evitare a tutti i costi di usare i link suggeriti dal messaggio sospetto.

ingegneria sociale multischermo

Pretexting (dall’inglese to pretend, “fingere”)

In questo attacco di ingegneria sociale, un attaccante ottiene informazioni attraverso una serie di menzogne abilmente costruite. La truffa è spesso avviata da un esecutore che finge di aver bisogno di informazioni sensibili da una vittima in modo da eseguire un compito critico.

L’aggressore di solito inizia stabilendo la fiducia con la sua vittima impersonando colleghi, polizia, funzionari bancari e fiscali, o altre persone che hanno il diritto di conoscere l’autorità. L’hacker pone domande che sono apparentemente necessarie per confermare l’identità della vittima, attraverso le quali raccoglie importanti dati personali.

ingegneria sociale dall'alto

Molti tipi di informazioni vengono raccolte utilizzando questa tecnica, come numeri di carta d’identità, indirizzi personali e numeri di telefono, registri telefonici, date di ferie del personale, registri bancari e persino informazioni di sicurezza relative a un impianto fisico.

Ogni informazione, per quanto possa sembrare innocua, potrebbe successivamente essere usata per un secondo attacco. Anche il nome di una guardia giurata assunta dall’azienda potrebbe essere già sufficiente per instaurare fiducia e chiedere uno strappo alla regola quando si domanda il codice di accesso alle porte automatiche.

Phishing (dall’inglese to fish, “pescare”)

Essendo uno dei più popolari tipi di attacco di ingegneria sociale, le truffe di phishing sono campagne di e-mail e messaggi di testo che mirano a creare un senso di urgenza, curiosità o paura nelle vittime. Poi le spinge a rivelare informazioni sensibili, a cliccare su link a siti web dannosi o ad aprire allegati che contengono malware.

Un esempio è un’e-mail inviata agli utenti di un servizio online che li avvisa di una violazione della politica che richiede un’azione immediata da parte loro, come un cambio di password obbligatorio. Include un link a un sito web, quasi identico nell’aspetto alla sua versione legittima, che invita l’utente a inserire le sue credenziali attuali e la nuova password. Dopo aver inviato il modulo, le informazioni vengono inviate all’attaccante.

Dato che i messaggi identici, o quasi identici, vengono inviati a tutti gli utenti nelle campagne di phishing, individuarli e bloccarli è molto più facile per i server di posta che hanno accesso alle piattaforme di condivisione delle minacce.

Nota di difesa: Se è vero che in alcuni casi ci siamo abituati a non dare peso a questo tipo di messaggi, è anche vero che gli ingegneri sociali si sono fatti sempre più furbi. Non è il caso di abbassare la guardia. Invece è molto utile diffidare sempre di messaggi che richiedono inserimento di credenziali.

Questi attacchi fanno leva sul fatto che è facile imbrogliare alcuni utenti, vuoi per distrazione o ingenuità. La difesa migliore è la formazione dei dipendenti tramite un servizio di phishing etico e successivi training mirati.

ingegneria sociale hacker

Spear phishing (dall’inglese spear, “lancia”)

Questa è una versione più mirata del phishing in cui un aggressore sceglie specifici individui o imprese. Quindi adattano i loro messaggi in base alle caratteristiche, alle posizioni lavorative e ai contatti delle loro vittime per rendere il loro attacco meno evidente. Lo spear phishing richiede molto più sforzo da parte dell’autore e può richiedere settimane e mesi per essere portato a termine. Sono molto più difficili da rilevare e hanno migliori tassi di successo se fatti con abilità.

Uno scenario di spear phishing potrebbe coinvolgere un attaccante che, impersonando il consulente IT di un’organizzazione, invia un’e-mail a uno o più dipendenti. È formulata e firmata esattamente come il consulente fa normalmente, ingannando così i destinatari a pensare che sia un messaggio autentico. Il messaggio richiede ai destinatari di cambiare la loro password e fornisce loro un link che li reindirizza a una pagina dannosa dove l’attaccante ora cattura le loro credenziali.

Hacker con grafica

Come difendersi dagli attacchi di ingegneria sociale

Gli ingegneri sociali manipolano i sentimenti umani, come la curiosità o la paura, per portare avanti gli schemi e attirare le vittime nelle loro trappole. Pertanto, è essenziale essere prudenti ogni volta che vi sentite allarmati da un’e-mail, attratti da un’offerta visualizzata su un sito web, o quando vi imbattete in media digitali vaganti in giro. Essere all’erta può aiutarvi a proteggervi dalla maggior parte degli attacchi di ingegneria sociale che avvengono online.

Inoltre, i seguenti consigli possono aiutare a migliorare la tua vigilanza in relazione agli attacchi di ingegneria sociale.

  • Non aprire e-mail e allegati da fonti sospette. Se non si conosce il mittente in questione, non è necessario rispondere a un’e-mail. Anche se li conosci e sei sospettoso del loro messaggio, fai un controllo incrociato e conferma le notizie da altre fonti, come per telefono o direttamente dal sito di un fornitore di servizi. Anche un’e-mail che sembra provenire da una fonte affidabile potrebbe essere stata avviata da un aggressore.
  • Usare l’autenticazione multi-fattore. Uno dei pezzi più preziosi di informazioni che gli aggressori cercano sono le credenziali dell’utente. Usando l’autenticazione a 2 fattori aiuti a garantire la protezione del tuo account in caso di compromissione del sistema. Esistono applicazioni gratuite per ogni tipo di dispositivo mobile che ti permettono di implementare questo tipo di autenticazione.
  • Diffidare delle offerte allettanti. Se un’offerta sembra troppo allettante, pensaci due volte prima di accettarla come reale. Usa Google per verificare l’argomento e determinare rapidamente se hai a che fare con un’offerta legittima o con una trappola.
  • Aggiornare il software antivirus/antimalware. Assicurati che gli aggiornamenti automatici siano attivati. Controlla periodicamente che gli aggiornamenti siano stati applicati e scansiona il tuo sistema per possibili infezioni.

Se l’azienda dispone di un reparto IT, questi consigli dovrebbero essere le misure standard di sicurezza.

Ufficio

Servizi di sicurezza per aziende

Quando si pensa ai dati che la propria azienda custodisce e gestisce, non si è mai troppo prudenti nella difesa. L’ingegneria sociale fa leva sul fatto che un dipendente si hackera più facilmente di un computer, cosa che molto spesso risulta veritiera.

Oltre alle misure di protezione informatica elencate qui sopra, è bene che i dipendenti siano tutti consapevoli dei rischi e delle potenziali minacce.

SOD propone una serie di servizi che vanno proprio in questa direzione. Il primo e forse più importante è quello di phishing etico in cui proviamo ad attaccare l’azienda con tecniche di phishing. Scopriamo quali sono i punti deboli e organizziamo training interni per fornire gli strumenti adeguati al personale.

Abbiamo anche i classici Vulnerability Assessment e Penetration Test per testare i sistemi di sicurezza informatica. A questo servizio sono applicabili degli addon per coprire un maggior numero di aree. È disponibile un addon specifico per l’analisi delle app e la revisione del codice, ma anche uno in cui proviamo a violare l’azienda con attacchi fisici. Testeremo la sicurezza fisica dell’azienda, la possibilità di entrare negli edifici, l’accesso alle centraline di rete e altro.

Infine, per mantenere controllate le reti, il servizio SOCaaS permette di monitorare tutta la rete, individuare azioni sospette (con analisi del comportamento tramite intelligenza artificiale), installazioni non autorizzate, tentativi di violazioni e molto altro.

La sicurezza dei dati in azienda è davvero importante, contattaci per sapere come possiamo aiutarti!

Useful links:

Cos'e' il phishing - Cover

Tempo di lettura stimato: 7 minuti

Il phishing è un tipo di attacco di ingegneria sociale spesso utilizzato per rubare i dati degli utenti, comprese le credenziali di accesso e i numeri delle carte di credito. Si verifica quando un aggressore, mascherato da un’entità fidata, inganna una vittima ad aprire un’e-mail, un messaggio istantaneo o un messaggio di testo.

Il destinatario viene quindi indotto a cliccare su un link dannoso, che può portare all’installazione di malware, al congelamento del sistema come parte di un attacco ransomware o alla rivelazione di informazioni sensibili.

Un attacco può avere risultati devastanti. Per gli individui, questo include acquisti non autorizzati, il furto di fondi o il furto di identità.

Cos'e' il phishing - Concept

Cos’è il phishing per le aziende?

Ancora più dannoso, il phishing è anche utilizzato per guadagnare un punto d’ingresso nelle reti aziendali o governative come parte di un attacco più grande, come un evento di minaccia avanzata persistente (APT – Advanced Persistent Threat). In quest’ultimo scenario, i dipendenti vengono compromessi al fine di aggirare i perimetri di sicurezza, distribuire malware all’interno di un ambiente chiuso, o ottenere un accesso privilegiato ai dati protetti.

Un’organizzazione che soccombe a un attacco di questo tipo in genere subisce gravi perdite finanziarie, oltre a un calo della quota di mercato, della reputazione e della fiducia dei consumatori. A seconda della portata, un tentativo di phishing potrebbe degenerare in un incidente di sicurezza da cui un’azienda avrà difficoltà a riprendersi.

Come si presenta un attacco phishing

Sapere cos’è il phishing spesso non basta per proteggersi. La cosa migliore da fare è lavorare sulla resilienza agli attacchi e capire come individuarli prima di caderne vittima.

Come abbiamo accennato prima, infatti, le conseguenze possono essere di proporzioni enormi. Ma, se sembra semplice da fare quando si tratta di un singolo individuo, come fare se c’è un’intera azienda da proteggere? SOD offre un servizio orientato proprio a questo: formare intere aziende al riconoscimento e mitigazione del rischio di attacchi phishing.

Attraverso un primo attacco controllato, siamo in grado di capire quali sono i punti su cui lavorare. Successivamente vengono organizzate delle proposte formative per i dipendenti. Viene loro insegnato come riconoscere le minacce prima che queste diventino problematiche. Per saperne di più, è possibili visitare la pagina del servizio.

Ma vediamo come si presenta un attacco generico.

Esempio di attacco

1. Un’email fasulla apparentemente proveniente da lamiauniversita.edu viene distribuita in massa al maggior numero possibile di membri della facoltà.

2. L’email sostiene che la password dell’utente sta per scadere. Vengono date istruzioni per andare sul link lamiauniversita.edu/rinnovo per rinnovare la loro password entro 24 ore.

Possono accadere varie cose cliccando sul link proposto.

L’utente viene reindirizzato a lamiauniversita.edurinnovo.com, una pagina fasulla che appare esattamente come la vera pagina di rinnovo, dove vengono richieste sia la password nuova che quella esistente. L’attaccante, monitorando la pagina, dirotta la password originale per – ottenere l’accesso alle aree protette della rete universitaria.

– L’utente viene inviato alla vera pagina di rinnovo della password. Tuttavia, mentre viene reindirizzato, uno script maligno si attiva in background per dirottare il cookie di sessione dell’utente. Questo si traduce in un attacco di tipo Cross Site Scripting, dando all’autore l’accesso privilegiato alla rete universitaria.

Cos'e' il phishing - Concept

Logica di un attacco

L’email phishing è un gioco di grandi numeri. Un aggressore che invia migliaia di messaggi fraudolenti può ottenere informazioni significative e somme di denaro, anche se solo una piccola percentuale di destinatari cade nella truffa.

Gli hacker si impegnano a fondo nella progettazione di messaggi per un attacco phishing imitando le email reali di un’organizzazione camuffata. Usando lo stesso fraseggio, gli stessi caratteri tipografici, gli stessi loghi e le stesse firme, i messaggi appaiono legittimi.

Inoltre, un’altra cosa a cui prestare attenzione, è che gli aggressori di solito cercano di spingere gli utenti all’azione creando un senso di urgenza. Per esempio, come mostrato in precedenza, un’email potrebbe minacciare la scadenza dell’account e mettere il destinatario in una condizione di urgenza. L’applicazione di tale pressione porta l’utente ad essere meno diligente e più incline all’errore.

Infine, i link all’interno dei messaggi assomigliano alle loro controparti legittime, ma in genere hanno un nome di dominio scritto male o sottodomini extra. Nell’esempio precedente, l’URL lamiauniverista.edu/rinnovo è stato cambiato in lamiauniversita.edurinnovo.com. Le somiglianze tra i due indirizzi offrono l’impressione di un collegamento sicuro, rendendo il destinatario meno consapevole che un attacco è in corso.

Cos’è lo spear phishing

Cos'e' il phishing - Spear phishing

Lo spear phishing prende di mira una specifica persona o impresa, al contrario degli utenti casuali. È una versione più approfondita del phishing che richiede una conoscenza speciale di un’organizzazione, compresa la sua struttura di potere.

Un attacco potrebbe svolgersi nel seguente modo:

– Un hacker ricerca i nomi dei dipendenti all’interno del dipartimento di marketing di un’organizzazione e ottiene l’accesso alle ultime fatture dei progetti.
Fingendosi il direttore del marketing, l’aggressore invia un’email a un project manager del dipartimento utilizzando un oggetto che dice: Fattura aggiornata per le campagne Q3. Il testo, lo stile e il logo incluso duplicano il modello di email standard dell’organizzazione.
– Un link nell’e-mail reindirizza a un documento interno protetto da password, che è in realtà una versione falsificata di una fattura rubata.
– Al direttore marketing viene richiesto di effettuare il login per visualizzare il documento. L’attaccante ruba le sue credenziali, ottenendo l’accesso completo alle aree sensibili all’interno della rete dell’organizzazione.

Fornendo all’attaccante credenziali di accesso valide, lo spear phishing è un metodo efficace per eseguire la prima fase di un attacco di tipo ransomware.

Cos’è il whale phishing

Il whale phishing, o whaling, è una forma di spear phishing che mira ai pesci molto grossi: CEO o altri obiettivi di alto valore. Molte di queste truffe prendono di mira i membri del consiglio di amministrazione di un’azienda, che sono considerati particolarmente vulnerabili. Infatti, essi hanno una grande autorità all’interno dell’azienda, ma poiché non sono dipendenti a tempo pieno, spesso usano indirizzi email personali per la corrispondenza relativa al business, che non ha le protezioni offerte dalle email aziendali.

Raccogliere abbastanza informazioni per ingannare un obiettivo di alto valore potrebbe richiedere tempo, ma può avere un ritorno sorprendentemente alto. Nel 2008, i criminali informatici hanno preso di mira i CEO aziendali con e-mail che sostenevano di avere allegati i mandati di comparizione dell’FBI. In realtà, hanno installato keylogger sui computer dei dirigenti. Il tasso di successo dei truffatori è stato del 10%, catturando quasi 2.000 vittime.

Come difendersi

La protezione contro un attacco phishing richiede l’adozione di misure sia da parte degli utenti che delle imprese.

Per gli utenti, la vigilanza è la chiave. Un messaggio contraffatto spesso contiene errori sottili che espongono la sua vera natura. Questi possono includere errori di ortografia o modifiche ai nomi di dominio, come visto nell’esempio dell’URL precedente. Gli utenti dovrebbero domandarsi quale sia il motivo per cui stanno ricevendo una certa e-mail.

Cos'e' il phishing - Difesa

Per le imprese, una serie di misure possono essere prese per mitigare sia il phishing che gli attacchi di spear phishing:

L’autenticazione a due fattori (2FA) è il metodo più efficace per contrastare gli attacchi di phishing, in quanto aggiunge un ulteriore livello di verifica quando si accede ad applicazioni sensibili. La 2FA si basa sul fatto che gli utenti abbiano due cose: qualcosa che conoscono, come una password e un nome utente, e qualcosa che hanno con sé, come il loro smartphone. Anche quando i dipendenti vengono compromessi, 2FA impedisce l’uso delle loro credenziali compromesse, poiché queste da sole non sono sufficienti per entrare.

Oltre all’uso di 2FA, le aziende dovrebbero applicare rigorose politiche di gestione delle password. Per esempio, ai dipendenti dovrebbe essere richiesto di cambiare frequentemente le loro password e di non essere autorizzati a riutilizzare una password per più applicazioni.

Infine, le campagne educative possono anche aiutare a diminuire la minaccia di attacchi di phishing facendo rispettare pratiche sicure, come non cliccare su link esterni alle email. A questo proposito vorrei ricordare il servizio di phishing etico di SOD, che ha proprio l’intento di testare l’azienda e organizzare formazioni mirate per mitigare i rischi.

Non è sufficiente sapere cos’è il phishing, è necessario anche saperlo riconoscere.

Useful links:

Link utili:

Phishing

Mitre Att&ck

Ransomware a doppia estorsione

Zero-Day Attack
Tempo di lettura: 5 min

Uno Zero-Day attack (noto anche come 0-day) sfrutta una vulnerabilità software sconosciuta agli addetti alla sicurezza e al fornitore del software. Gli hacker possono sfruttare la debolezza, fintanto che non viene mitigata, tramite Zero-Day exploit o, appunto attack.

Il termine “zero-day” si riferiva originariamente al numero di giorni dal rilascio del software. Un software “zero-day”, quindi, indicava un programma ottenuto attraverso la forzatura del computer di uno sviluppatore prima del rilascio. Il termine è stato poi applicato alle vulnerabilità che questa pratica permette di sfruttare. Una volta che il venditore viene a conoscenza della vulnerabilità, solitamente crea delle patch o consiglia delle soluzioni per mitigarla.

Zero Day Attack Inizio Articolo

Vulnerabilita’ del software

I software hanno spesso delle vulnerabilità. Queste sono difetti involontari, o problemi nei codici che potrebbero ipoteticamente essere sfruttati. Per esempio, ci può essere un difetto che permette a un cyber-criminale di accedere a dati altrimenti sicuri. I programmatori sono spesso alla ricerca di queste vulnerabilità e quando le scoprono, le analizzano, producono una patch per risolverle, poi distribuiscono quella patch in una nuova versione del software.

Tuttavia, questo è un processo che richiede tempo. Quando il difetto diventa noto, gli hacker di tutto il mondo possono iniziare a cercare di sfruttarlo.

Zero-Day Attack

Se un hacker riesce a sfruttare la vulnerabilità prima che gli sviluppatori riescano a trovare una soluzione, questo exploit diventa quindi noto come attacco Zero-Day attack.

Le vulnerabilità zero-day possono assumere quasi ogni forma, perché possono manifestarsi come qualsiasi tipo di vulnerabilità nel software. Per esempio, possono assumere la forma di crittografia dei dati mancanti, SQL injection, buffer overflow, autorizzazioni mancanti, bug o problemi con la sicurezza delle password.

Questo rende queste vulnerabilità difficili da trovare prima che siano sfruttate in zero-day attack. Questo, per certi versi, è una buona notizia: significa anche che gli hacker avranno difficoltà a trovarle. Ma anche che è difficile difendersi da queste vulnerabilità in modo efficace.

Come proteggersi

Abbiamo visto come sia difficile proteggersi dalla possibilità di un zero-day attack, perché può assumere molte forme. Quasi ogni tipo di vulnerabilità di sicurezza potrebbe essere sfruttata come uno zero-day se una patch non viene prodotta in tempo. Inoltre, molti sviluppatori di software cercano intenzionalmente di non rivelare pubblicamente la vulnerabilità nella speranza di poter distribuire una patch prima che qualsiasi hacker scopra la vulnerabilità presente.

Ci sono alcune strategie che possono aiutarti a difendere il tuo business contro gli attacchi del giorno zero:

Resta informato sugli Zero-Day attack

Gli exploit zero-day non sono sempre pubblicizzati, ma occasionalmente si sente parlare di una vulnerabilità che potrebbe essere potenzialmente sfruttata. Se rimani sintonizzato sulle notizie e presti attenzione ai rilasci dei tuoi fornitori di software, potresti avere il tempo di mettere in atto misure di sicurezza o di rispondere a una minaccia prima che venga sfruttata. Un buon metodo per farlo è seguire le newsletter dei tuoi fornitori. In fondo a questa pagina trovi il form per iscriverti a quella di SOD.

Tieni aggiornati i tuoi sistemi

Gli sviluppatori lavorano costantemente per mantenere il loro software aggiornato e sicuro per prevenire la possibilità di exploit. Quando una vulnerabilità viene scoperta, è solo una questione di tempo prima che producano una patch. Tuttavia, spetta a te e al tuo team assicurarsi che le tue piattaforme software siano sempre aggiornate. L’approccio migliore in questo caso è quello di abilitare gli aggiornamenti automatici, in modo che il software venga aggiornato di routine, e senza la necessità di un intervento manuale.

Zero day attack update software

Impiegare misure di sicurezza aggiuntive

Assicurati di utilizzare soluzioni di sicurezza che ti proteggano da un zero-day attack. SOD, offre una soluzione che comprende un set di strumenti che permettono di alzare le difese in modo significativo. Il SOCaaS è un vero e proprio centro operativo di sicurezza per la tua azienda. Tramite strumenti all’avanguardia come SIEM e UEBA e grazie a un controllo granulare sulla rete monitorata, ogni tentativo di attacco viene individuato nel minor tempo possibile.

Ogni tipo di dati prodotto dai sistemi interconnessi nell’infrastruttura vengono raccolti, normalizzati e analizzati alla ricerca di anomalie. Ciò significa che non solo si verifica l’eventuale presenza di indicatori di compromissione noti (IOC), ma si monitorano anche operazioni e comportamenti sospetti degli utenti della struttura. In questo modo è possibile individuare anche tentativi di attacco normalmente molto difficili da individuare, come quelli che riguardano gli Zero-Day Attack, ma non solo. Infatti, tramite il servizio SOCaaS, è possibile individuare account compromessi, la violazione di dati protetti, attacchi lateral movement, phishing, etc.

La sicurezza del sistema IT di un’azienda è un argomento molto importante a cui noi teniamo molto. La compromissione o perdita di dati sensibili può costare parecchio sia da un punto di vista economico che di reputazione. Non trascurare questo aspetto importante per la sicurezza della tua impresa, contattaci per parlarci della tua situazione, saremo lieti di mostrarti come possiamo aiutarti.

Link utili:

Proteggere un sito in WordPress: pacchetto sicurezza

SIEM in informatica: la storia

SOAR: cos’e’ e come puo’ essere utile per le aziende

Shadow IT: una panoramica

Contattaci

Data Exfiltration cover
Tempo di lettura: 5 min

Una definizione comune di data exfiltration (esfiltrazione dei dati) è il furto, la rimozione o lo spostamento non autorizzato di qualsiasi dato da un dispositivo.  L’esfiltrazione dei dati implica tipicamente un cybercriminale che ruba dati da dispositivi personali o aziendali, come computer e telefoni cellulari, attraverso vari metodi di cyberattack.

L’incapacità di controllare la sicurezza delle informazioni può portare alla perdita di dati che può causare danni finanziari e di reputazione a un’organizzazione.

Come avviene un data exfiltration?

L’esfiltrazione dei dati avviene in due modi, attraverso attacchi da parte di estranei e attraverso minacce dall’interno. Entrambi sono rischi importanti, e le organizzazioni devono garantire che i loro dati siano protetti individuando e prevenendo l’esfiltrazione dei dati in ogni momento.

Un attacco dall’esterno dell’organizzazione si verifica quando un individuo si infiltra in una rete per rubare dati aziendali o credenziali degli utenti. Questo tipicamente è il risultato di un cyber-criminale che inserisce malware in un dispositivo connesso ad una rete aziendale.

Alcuni filoni di malware sono progettati per diffondersi nella rete di un’organizzazione e infiltrarsi in altri, cercando dati sensibili nel tentativo di estrazione. Altri tipi di malware rimangono dormienti su una rete per evitare di essere rilevati dai sistemi di sicurezza delle organizzazioni fino a quando i dati non vengono estratti in modo sovversivo o le informazioni non vengono gradualmente raccolte nel corso di un periodo di tempo.

Gli attacchi possono derivare da insider malintenzionati che rubano i dati della propria organizzazione e inviano documenti al proprio indirizzo email personale. Tipicamente i dati sono poi venduti a cyber criminali. Possono anche essere causati da un comportamento disattento dei dipendenti che vede i dati aziendali cadere nelle mani di cattivi attori.

Data Exfiltration Hacker with Phone

Tipi di Esfiltrazione Dati

La data exfiltration avviene in vari modi e attraverso molteplici metodi di attacco, per lo più su Internet o su una rete aziendale.

Le tecniche che i cyber criminali usano per estrarre i dati dalle reti e dai sistemi delle organizzazioni stanno diventando sempre più sofisticate. Queste includono: connessioni anonime ai server, attacchi ai Domain Name System (DNS), Hypertext Transfer Protocol (HTTP) tunneling, indirizzi IP (Direct Internet Protocol), attacchi fileless ed esecuzione remota del codice.

Vediamo nel dettaglio alcune tecniche di attacco per sapere di cosa stiamo parlando nello specifico.

1. Ingegneria sociale e attacchi di phishing

Gli attacchi di ingegneria sociale e gli attacchi di phishing sono dei popolari vettori di attacco alla rete. Vengono usati per ingannare le vittime a scaricare malware e a inserire le credenziali del loro account.

Gli attacchi di phishing consistono in email progettate per sembrare legittime e spesso sembrano provenire da mittenti fidati. Solitamente contengono un allegato che inietta malware nel dispositivo. Altre tipologie contengono un link a un sito web che sembra legittimo ma che viene falsificato per rubare le credenziali di accesso inserite. Alcuni aggressori lanciano anche attacchi mirati di phishing per rubare dati da un utente specifico. Spesso i target sono i dirigenti di una società o individui noti.

Per difendersi da questo tipo di attacchi, la cosa migliore è riconoscerli immediatamente e cestinare le email. In un’azienda è possibile aiutare il processo tramite un percorso di formazione ad hoc, basato su dati raccolti internamente all’azienda tramite un test controllato. SOD offre anche questo servizio, se fossi interessato, maggiori informazioni le troverai nella pagina del servizio stesso.

2. Email in uscita

I cyber criminali controllano la posta elettronica per recuperare qualsiasi dato in uscita dai sistemi di posta elettronica delle organizzazioni. I dati recuperati possono essere calendari, database, immagini e documenti di pianificazione. Questi forniscono informazioni sensibili di valore o informazioni utili per il recupero di dati di valore.

3. Download su dispositivi non sicuri

Questo metodo di esfiltrazione dei dati è una forma comune di minaccia accidentale da parte di insider. L’attore dell’attacco accede alle informazioni aziendali sensibili sul suo dispositivo di fiducia, quindi trasferisce i dati su un dispositivo insicuro. Il dispositivo insicuro potrebbe essere un drive esterno o uno smartphone non protetto da soluzioni o politiche di sicurezza aziendali, il che lo mette a rischio di esfiltrazione dei dati.

Anche gli smartphone sono suscettibili all’esfiltrazione dei dati. I dispositivi Android sono vulnerabili all’installazione di malware che prendono controllo del telefono per scaricare applicazioni senza il consenso dell’utente.

4. Upload su dispositivi esterni

Questo tipo di esfiltrazione di dati proviene tipicamente da malintenzionati. L’aggressore interno può estrarre i dati scaricando le informazioni da un dispositivo sicuro, per poi caricarle su un dispositivo esterno (non sicuro). Questo dispositivo esterno potrebbe essere un laptop, uno smartphone, un tablet o una chiavetta USB.

5. Errore umano e comportamenti non sicuri nella rete

Il cloud fornisce agli utenti e alle aziende una moltitudine di vantaggi, ma insieme ci sono significativi rischi di esfiltrazione dei dati. Per esempio, quando un utente autorizzato accede ai servizi cloud in modo insicuro, consente a un malintenzionato una via di accesso da cui può recuperare dati e portarli fuori dalla rete sicura. Anche l’errore umano gioca un ruolo nell’estrazione di dati, perché la protezione appropriata potrebbe non essere più in atto.

Come individuare un attacco data exfiltration

A seconda del tipo di metodo di attacco utilizzato, il rilevamento dell’esfiltrazione dei dati può essere un compito difficile. I cyber criminali che utilizzano tecniche più difficili da rilevare possono essere scambiati per il normale traffico di rete. Questo significa che possono rimanere in agguato nelle reti inosservati per mesi e persino anni. L‘esfiltrazione dei dati spesso viene scoperta solo quando il danno è stato già causato.

Per rilevare la presenza di utenti a rischio, le organizzazioni devono usare strumenti che scoprano automaticamente e in tempo reale il traffico dannoso o insolito.

Uno strumento con questa capacità è il SOC (offerto anche come servizio: SOCaaS) che implementa un sistema di monitoraggio delle intrusioni, così come un sistema automatico che verifica del comportamento degli utenti. Quando il SOC rileva una possibile minaccia, invia un avviso ai team IT e di sicurezza dell’organizzazione che possono intervenire e verificare la situazione.

Il SOC funziona cercando e rilevando le anomalie che si discostano dalla regolare attività di rete. Quindi emettono un avviso o un rapporto in modo che gli amministratori e i team di sicurezza possano esaminare il caso.

Oltre a rilevare le minacce automatiche, le organizzazioni possono anche costruire l’intera sequenza di un evento così come si è verificato, inclusa la mappatura su una kill chain conosciuta o su un framework di attacco.

Utilizzare un SOCaaS, per un’azienda che gestisce dati sensibili, è un vantaggio sotto molti punti di vista. Essendo offerto come servizio, l’azienda non dovrà investire nel mettere in piedi un reparto specializzato IT per il proprio SOC, non dovrà assumere personale aggiuntivo e potrà contare su sistemi di sicurezza sempre aggiornati con operatori qualificati e sempre disponibili.

Per maggiori informazioni, non esitare a contattarci.

Link utili:

Testa la tua azienda con attacchi di phishing etico

SIEM in informatica: la storia

SOAR: cos’e’ e come puo’ essere utile per le aziende

Insider threat: individuarle e combatterle


Contattaci

SOAR
Tempo di lettura: 5 min

La tecnologia SOAR (Security Orchestration, Automation and Response) aiuta a coordinare, eseguire e automatizzare le attivita’ tra persone e strumenti, consentendo alle aziende di rispondere rapidamente agli attacchi alla sicurezza informatica. Lo scopo e’ quello di migliorare la loro posizione complessiva in materia di sicurezza. Gli strumenti SOAR utilizzano playbook (strategie e procedure) per automatizzare e coordinare i flussi di lavoro che possono includere strumenti di sicurezza e mansioni manuali.

In che modo SOAR aiuta nel campo della sicurezza?

1. Combinando in un’unica soluzione l’orchestrazione della sicurezza, l’automazione intelligente, la gestione degli incidenti e le indagini interattive.
2. Facilitando la collaborazione dei team e consentendo agli analisti della sicurezza di intraprendere azioni automatiche sugli strumenti in tutto il loro stack di sicurezza.
3. Fornendo ai team un’unica console centralizzata per gestire e coordinare tutti gli aspetti della sicurezza della loro azienda.
4. Ottimizzando la gestione dei casi, incrementando l’efficienza con l’apertura e la chiusura dei ticket per investigare e risolvere gli incidenti.

Perche’ le aziende necessitano di un SOAR?

Le compagnie moderne devono affrontare regolarmente molte sfide e ostacoli, quando di tratta di lotta contro i cyber threat.

Una prima sfida e’ rappresentata da un volume sempre crescente di minacce complesse per la sicurezza. Inoltre, gli strumenti di sicurezza coinvolti molto spesso faticano a parlare tra loro, il che e’ di per se’ un ostacolo fastidioso.

Un cosi’ grande numero di dati e software, non puo’ che significare un numero elevato di allarmi di sicurezza. Infatti, sono troppi i dati di intelligence sulle minacce per consentire ai team di classificare manualmente, assegnare priorita’, indagare e indirizzare le minacce. Inoltre, il lavoro degli addetti alla sicurezza comporta competenze molto specifiche e con l’aumentare della richiesta e’ sempre piu’ complicato trovare un numero sufficiente di addetti alla sicurezza per svolgere il lavoro.

Implementazione del sistema

SOAR aiuta le aziende ad affrontare e superare queste sfide consentendo loro di:

Unificare i sistemi di sicurezza esistenti e centralizzare la raccolta dei dati per ottenere piena visibilita’.
Automatizzare le attivita’ manuali ripetitive e gestire tutti gli aspetti del ciclo di vita degli incidenti.
Definire l’analisi degli incidenti e le procedure di risposta, oltre a sfruttare i playbook di sicurezza per dare priorita’, standardizzare e scalare i processi di risposta in modo coerente, trasparente e documentato.
Identificare e assegnare in modo rapido e preciso i livelli di gravita’ degli incidenti agli allarmi di sicurezza e supportare la riduzione degli allarmi.
Identificare e gestire meglio le potenziali vulnerabilita’ in modo proattivo e reattivo.
Indirizzare ogni incidente di sicurezza all’analista piu’ adatto a rispondere, fornendo al contempo funzioni che supportino una facile collaborazione e il monitoraggio tra i team e i loro membri.

Applicazioni pratiche

Qui di seguito ho voluto elencare qualche esempio pratico di come un SOAR entra in azione in determinate situazioni.

Gestione degli allarmi

Arricchimento e risposta del phishing: attivazione di un playbook. Automazione ed esecuzione di attivita’ ripetibili come il triage e il coinvolgimento degli utenti interessati. Applicare un’estrazione e il controllo degli indicatori per l’identificazione di falsi positivi, in seguito richiedere l’attivazione del SOC per una risposta standardizzata su scala.

Infezione da malware degli endpoint: estrazione dei dati di alimentazione delle minacce dagli strumenti degli endpoint e arricchimento di tali dati. Riferimenti incrociati tra i file recuperati e gli hash con una soluzione SIEM, notifica agli analisti, pulizia degli endpoint e aggiornamento del database degli strumenti.

Login utente non riuscito: dopo un numero predefinito di tentativi di login utente non riusciti, valutando se un login non riuscito e’ autentico o dannoso, un SOAR puo’ attivarsi in vari modi. Innanzi tutto mettendo in pratica un playbook, coinvolgendo gli utenti e in seguito analizzando le loro risposte, poi anche le password in scadenza e infine chiudendo il processo.

Caccia alle minacce

Indicatori di compromesso (IOC): prendere ed estrarre gli indicatori dai file, rintracciare gli indicatori attraverso gli strumenti di intelligence e aggiornare i database.

Analisi del malware: verifica di dati da fonti multiple, estrazione ed eliminazione dei file dannosi. Successivamente viene generato un rapporto e controllata la presenza di malizia.

Risposta agli incidenti cloud: questo avviene attraverso l’utilizzo di dati provenienti da strumenti di rilevamento delle minacce e di registrazione degli eventi focalizzati sul cloud. I dati vengono poi unificati tra le infrastrutture di sicurezza cloud e on-premises, messi in correlazione grazie a un SIEM. Gli indicatori sono poi estratti e arricchiti, per poi controllare la presenza di malizia. Un ultimo passaggio di controllo umano agli analisti che fanno una loro revisione delle informazioni aggiornano il database e chiudono il caso.

I benefici di un SOAR

In sostanza un SOAR implementa metodi di lavoro e protocolli di azione nel sistema di lotta alle minacce informatiche di un azienda. In questo modo migliora notevolmente l’efficienza operativa e accelera il rilevamento degli incidenti cosi’ come i tempi di risposta, che vengono, di fatto, standardizzati.

Un SOAR aumenta la produttivita’ degli analisti e consente loro di concentrarsi sul miglioramento della sicurezza invece che sull’esecuzione di attivita’ manuali.

Sfruttando e coordinando gli investimenti tecnologici di sicurezza esistenti in un’azienda e’ possibile davvero fare la differenza.

Link utili:

SOC as a Service

Cos’e’ un Network Lateral Movement e come difendersi

Log Management

MITRE Att&ck: una panoramica

Il SOCaaS è utile per la tua azienda?

SOAR: cos’e’ e come puo’ essere utile per le aziende

Sicurezza: pentest e verifica delle vulnerabilita’

 

Standard ISO 27001
Tempo di lettura: 4 min

Una domanda legittima che spesso ci si pone e’ se il Penetration Test sia necessario per la conformita’ allo standard ISO 27001. Per comprendere appieno la risposta, bisogna chiarire cosa si intende con questi termini e capire la relazione tra tutte le componenti del meccanismo di certificazione.

Standard ISO 27001

Una norma tecnica, impropriamente chiamata anche standard, e’ un documento che descrive le specifiche che un certo oggetto / ente / entita’ deve rispettare per poter essere certificato. In generale, una norma descrive i requisiti di materiali, prodotti, servizi, attivita’, processi, terminologia, metodologie e altri aspetti che riguardano l’oggetto della norma stessa. In parole molto semplici, le norme sono regole che regolamentano quasi ogni cosa offrendo degli standard costruttivi e metodologici.

Lo standard ISO 27001 (ISO/IEC 27001:2013) e’ la norma internazionale che descrive le best practice per un ISMS, Information Security Management System (Sistema di Gestione della Sicurezza delle Informazioni, SGSI, in italiano). Seppur seguire la norma non sia obbligatorio, e’ necessario per ottenere una certificazione a garanzia della sicurezza logica, fisica e organizzativa.

Ottenere una certificazione ISO 27001 permette di dimostrare che la tua azienda sta seguendo le best practice sulla sicurezza delle informazioni e fornisce un controllo indipendente e qualificato. La sicurezza e’ garantita essere in linea con lo standard internazionale e gli obiettivi aziendali.

Di grande importanza per lo standard ISO 27001 e’ l’allegato A “Control objective and controls”, che contiene i 133 controlli a cui  l’azienda interessata deve attenersi. 

Vulnerability Assessment e Penetration Test

Quando si esegue un’analisi delle vulnerabilita’ (o Vulnerability Assessment) sulla rete e sui sistemi informatici, si mira a identificare tutte le vulnerabilita’ tecniche presenti nei sistemi operativi e nei software. Alcuni esempi di vulnerabilita’ possono essere SQL Injection, XSS, CSRF, password deboli, ecc. L’individuazione delle vulnerabilita’ indica che esiste un rischio riconosciuto per la sicurezza a causa di un problema di un qualche tipo. Non dice se e’ possibile o meno sfruttare la vulnerabilita’. Per scoprirlo, e’ necessario effettuare un Penetration Test (o pentest).

Per spiegare quanto detto sopra, immaginate di avere un’applicazione web vulnerabile all’SQL Injection che potrebbe consentire ad un malintenzionato di eseguire operazioni nel database. Una VA identifica tale vulnerabilita’, vale a dire che potrebbe essere possibile accedere al database. In seguito alla valutazione della vulnerabilita’, se viene effettuato un pentest e la vulnerabilita’ puo’ essere sfruttata, si dimostrerebbe l’esistenza del rischio

Per rispettare il controllo A.12.6.1 dell’allegato A della norma ISO 27001, e’ necessario impedire lo sfruttamento delle vulnerabilita’ tecniche. Tuttavia, la decisione su come procedere spetta a voi. E’, quindi, necessario eseguire un Pentest? Non necessariamente.

Dopo l’analisi delle vulnerabilita’, potremmo riparare e sistemare le debolezze ed eliminare il rischio prima di eseguire un pentest. Quindi, ai fini della conformita’ allo standard ISO 27001 si puo’ ottenere il risultato richiesto semplicemente eseguendo la valutazione della vulnerabilita’ e risolvendo i potenziali problemi che si sono riscontrati.

Detto questo, raccomandiamo vivamente di effettuare un Penetration Test completo per esser davvero sicuri del rispetto della norma. Puo’ aiutarvi a dare priorita’ ai problemi e vi dira’ quanto sono vulnerabili i vostri sistemi.

Rivolgersi a professionisti

Esistono sul mercato diverse soluzioni per svolgere pentest. Sono software che possono agevolare il lavoro e facilitare il test, ma se azionati da personale inesperto, possono anche creare dei problemi. e’ possibile che la rete ne risulti rallentata e i computer sensibilmente meno reattivi, fino anche a possibili crash di uno o piu’ dei sistemi coinvolti.

Puntando alla certificazione per lo standard ISO 27001, e’ meglio non fare gli eroi e assicurarsi davvero che i controlli siano rispettati. Richiedere l’intervento di professionisti del settore, serve proprio a minimizzare i rischi e assicurarsi che il processo sia svolto in modo impeccabile

SOD offre un servizio di verifica delle vulnerabilita’ e pentest affidandosi ad hacker etici professionisti. Dopo un primo colloquio, le varie fasi del processo sono eseguite per verificare e testare le potenziali minacce. E’ possibile anche richiedere che la verifica delle vulnerabilita’ sia svolta con regolarita’ per verificare la sicurezza dei sistemi. 

Richiedi informazioni specifiche, oppure visita la pagina dedicata. Per ulteriori informazioni sulle nostre certificazioni, e’ possibile visitare l’apposita pagina.

[btnsx id=”2929″]

Link utili:

Sicurezza: pentest e verifica delle vulnerabilita’

 

Network Lateral Movement
Tempo di lettura: 5 min

Durante un attacco informatico, gli hacker hanno un unico obiettivo in mente. Questo obiettivo potrebbe essere l’accesso alla macchina di uno sviluppatore e il furto del codice sorgente di un progetto, l’analisi delle e-mail di un particolare dirigente o l’estrazione di dati dei clienti da un server. Tutto cio’ che devono fare e’ entrare nella macchina o sistema che contiene i dati desiderati, giusto? Non proprio. In realta’, e’ un po’ piu’ complicato di cosi’. Per raggiungere il loro obiettivo, e’ probabile che gli hacker si introducano in un server web di basso livello, in un account di posta elettronica o un dispositivo per dipendenti, per fare qualche esempio. Da quel nodo, si muoveranno lateralmente (da cui il nome network lateral movement) per raggiungere il loro obiettivo.

In effetti, quando gli aggressori compromettono una risorsa in una rete, quel dispositivo non e’ quasi mai la loro destinazione finale. La compromissione iniziale, inoltre, raramente causa gravi danni e potrebbe passare inosservata. Solo se le squadre di sicurezza sono in grado di rilevare un lateral movement prima che gli aggressori raggiungano l’obiettivo previsto, e’ possibile prevenire la violazione dei dati.

In questo articolo esamineremo alcuni dei tipi piu’ comuni di network lateral movement e identificheremo i modi in cui possiamo rilevare l’attacco e difenderci.

Capire il network lateral movement

Il lateral movement avviene quando un aggressore si impossessa di una risorsa all’interno di una rete e poi estende la sua portata da quel dispositivo ad altri all’interno della stessa rete. Vediamolo con uno schema per aiutarci a capire meglio.

Il perimetro dell’infrastruttura da penetrare e’ rappresentato con una linea orizzontale. La meta’ superiore rappresenta cio’ che e’ al di fuori della rete, mentre cio’ che si trova al di sotto della linea rappresenta cio’ che e’ all’interno. Affinche’ un aggressore possa entrare nella rete, deve muoversi verticalmente, cioe’ dall’esterno verso l’interno (chiamato anche traffico Nord-Sud). Ma una volta che si e’ stabilito un punto d’appoggio, e’ possibile muoversi lateralmente o orizzontalmente, cioe’ all’interno della stessa rete (chiamato traffico Est-Ovest) per raggiungere l’obiettivo finale dell’attacco.

Lateral Movement - Schema

Possibile percorso di un lateral movement. La freccia indica i nodi della rete che vengono coinvolti nell’attacco.

Gli approcci al Lateral Movement

Nel complesso, ci sono due comuni metodi con cui un hacker applica il lateral movement.

Primo approccio: l’aggressore effettua una scansione interna per scoprire quali altre macchine si trovano all’interno della rete. In particolare, scansiona le porte aperte che sono in ascolto e le macchine che soffrono di vulnerabilita’. A quel punto, l’aggressore puo’ abusare di queste debolezze per spostarsi lateralmente verso un’altra risorsa.

Il secondo approccio al lateral movement sfrutta credenziali rubate, ed e’ il piu’ comune dei due. In questo tipo di attacco, l’hacker potrebbe utilizzare una tecnica di phishing via e-mail per infettare una macchina che si interfaccia con un particolare server. Dopo potra’ utilizzare il suo accesso per recuperare le password tramite un keylogger o altri strumenti simili. A questo punto, puo’ utilizzare qualsiasi credenziale sia stato in grado di ottenere per impersonare l’utente vittima del phishing e accedere a un’altra macchina. Una volta stabilito l’accesso su quel computer, si puo’ ripetere la tattica cercando ulteriori credenziali e/o privilegi da sfruttare. In questo modo, il malintenzionato puo’ farsi strada e creare connessioni remote al dispositivo target.

In entrambi i casi e’ complicato individuare l’attacco, perche’ non si presenta tramite malfunzionamenti di software o applicazioni.

Come difendersi

Un lateral movement si manifesta spesso tramite un’attivita’ di rete anomala. E’ sospettoso, ad esempio, che una macchina, che dialoga normalmente con poche altre, inizi a scansionare l’intera rete. Lo stesso vale se quella macchina tenta di connettersi a porte aperte, di interagire con servizi e credenziali con cui normalmente non ha contatti, o di utilizzare un nome utente che non e’ mai stato utilizzato prima.

La lista dei campanelli d’allarme va avanti all’infinito. La cosa fondamentale da capire e’ che un lateral movement implica macchine che fanno qualcosa fuori dalla loro routine, senza un’adeguata autorizzazione da parte dell’IT.

Questo e’ cio’ che da’ alle organizzazioni la possibilita’ di rilevare questo tipo di attacchi. Implementare una monitorizzazione dei log file e’ un primo passo per la difesa. Idealmente, i dati dovrebbero essere costantemente analizzati per individuare anomalie e possibili brecce.

Problematiche nella difesa

Queste difese non sono infallibili. I team di sicurezza che si affidano semplicemente ai log file limitano la portata della loro posizione difensiva, ad esempio, a causa di log file raccolti solo da particolari applicazioni. Si potrebbe decidere di monitorare un certo servizio per i furti di credenziali, ma gli aggressori potrebbero non sfruttare quel particolare servizio per effettuare un lateral movement. Cio’ significa che tutte le azioni dannose che non utilizzano i servizi monitorati non verranno rilevate tempestivamente.

Oltre a questo, gli hacker conoscono i tipi di protocolli che il personale di sicurezza tende a monitorare, rendendo il loro compito ulteriormente complesso. Gli attaccanti possono usare questa conoscenza per modellare le loro campagne di attacco in modo da avere maggiori possibilita’ di passare inosservati. E’ uno dei motivi per cui e’ stato creato il database MITRE ATT&CK, per raccogliere tecniche conosciute e alzare le difese.

Il vantaggio di un SOCaaS

Non e’ sufficiente che le organizzazioni cerchino il lateral movement utilizzando i log file o uno strumento EDR. E’ necessario rivolgere l’attenzione alla rete nel suo complesso. In questo modo e’ possibile vedere tutto il traffico di rete, stabilire una baseline della normale attivita’ di rete per ogni utente e dispositivo e in seguito monitorare le azioni insolite che potrebbero essere indicative di attacchi. E’ conosciuto come anomaly detection, ed e’ piu’ completo e spesso piu’ facile rispetto all’esame di ogni log file alla ricerca di eventi fuori dalla norma.

Il problema del anomaly detection e’ che molte di queste irregolarita’ sono benigne, e si perde quindi molto tempo ad analizzarle. Cio’ che serve per separare il lateral movement dannoso dalle anomalie di rete benigne e’ la comprensione dell’aspetto del comportamento dannoso

E’ qui che entra in gioco un sistema completo che utilizza sia strumenti di analisi comportamentale che tecnici professionisti della sicurezza.

Il SOCaaS offerto da SOD comprende un Security Data Lake (SDL) per la raccolta dei dati e vari strumenti per l’analisi degli stessi. Uno di questi e’ lo UEBA, particolarmente indicato per la rilevazione di minacce sociali, in quanto analizza tramite IA i comportamenti degli utenti usando le loro azioni come fonte dei dati.

Con questi e altri strumenti che compongono il SOC, e’ possibile attivamente ridurre il rischio di attacchi ai propri dati aziendali. Se sei interessato a saperne di piu’ del SOCaaS di SOD, ti invito a visitare la pagina dedicata o a contattarci direttamente.

Link utili:

Il SOCaaS e’ utile per la tua azienda?

SOCaaS

 

Mitre Att&ck cover
Tempo di lettura: 6 min

Mitre Att&ck e’ una knowledge base globale di tattiche e tecniche avversarie basate su osservazioni reali degli attacchi cibernetici. Queste sono visualizzate in matrici organizzate per tattiche di attacco, dall’accesso iniziale al sistema al furto di dati, fino al controllo della macchina. Esistono matrici per le comuni piattaforme desktop (Linux, macOS e Windows) e per quelle mobili.

Cos’e’ e cosa significa MITRE ATT&CK ™?

ATT&CK sta per “adversarial tactics, techniques, and common knowledge” e cioe’: tattiche, tecniche avversarie e conoscenze comuni. Cerchiamo di andare piu’ a fondo.

Tattiche e tecniche sono un modo moderno di pensare gli attacchi cibernetici. Piuttosto che guardare ai risultati di un attacco, cioe’ a un indicatore di compromissione (IoC), gli analisti della sicurezza dovrebbero guardare alle tattiche e alle tecniche che indicano che un attacco e’ in corso. Le tattiche rappresentano l’obiettivo che si vuole raggiungere, mentre le tecniche rappresentano il modo in cui un avversario conta di raggiungerlo.

La common knowledge o conoscenza comune e’ l’uso documentato di tattiche e tecniche utilizzate dagli avversari. Essenzialmente, la common knowledge e’ la documentazione delle procedure usate da chi sferra gli attacchi. Chi ha familiarita’ con la sicurezza informatica, potrebbe avere familiarita’ con il termine “tattiche, tecniche e procedure” o TTP. Questo stesso concetto e’ stato usato da ATT&CK ™, con la sostituzione del termine procedure con common knowledge.

Chi e’ MITRE e qual e’ l’obiettivo di ATT&CK ™?

MITRE e’ un’organizzazione di ricerca finanziata dal governo USA con sede a Bedford, MA, e McLean, VA. La societa’ e’ stata scorporata dal MIT nel 1958 ed e’ stata coinvolta in una serie di progetti commerciali e top secret per diverse agenzie. Questi includevano lo sviluppo del sistema di controllo del traffico aereo della FAA e del sistema radar AWACS. Il MITRE ha una sostanziale pratica di sicurezza informatica finanziata dal National Institute of Standards and Technology (NIST).

Una curiosita’: la parola Mitre non significa nulla. A quanto pare uno dei primi membri, James McCormack, voleva un nome che non significasse nulla ma che fosse evocativo. Alcuni pensano erroneamente che significhi Massachusetts Institute of Technology Research and Engineering.

L’obiettivo di ATT&CK e’ quello di creare un elenco completo delle tattiche e delle tecniche avversarie conosciute utilizzate durante un attacco cibernetico. Aperto alle organizzazioni governative, educative e commerciali, dovrebbe essere in grado di raccogliere un’ampia, e si spera esaustiva, gamma di fasi e sequenze di attacco. MITRE ATT&CK ha lo scopo di creare una tassonomia standard per rendere piu’ specifiche le comunicazioni tra le organizzazioni.

Come si usa la matrice ATT&CK ™?

La matrice organizza visivamente tutte le tattiche e le tecniche conosciute in un formato di facile comprensione. Le tattiche di attacco sono mostrate in alto e le singole tecniche sono elencate in basso in ogni colonna. Una sequenza di attacco comporterebbe almeno una tecnica per tattica, e una sequenza di attacco completa sarebbe costruita spostandosi da sinistra (Accesso iniziale) a destra (Comando e controllo). E’ possibile utilizzare piu’ tecniche per una sola tattica. Per esempio, un attaccante potrebbe provare sia uno Spearphishing Attachment che uno Spearphishing Link come tattiche di accesso iniziale.

Ecco un esempio di matrice:

Mitre Atta&ck matrice

In questa matrice sono presenti tutte le fasi di una sequenza di attacco. E’ organizzata in modo che le tattiche siano ordinate da destra a sinistra secondo la sequenza di attacco. Sotto ogni tattica le tecniche corrispondenti, alcune delle quali contengono delle sotto-tecniche. Le due tecniche citate prima, sono in effetti sotto-tecniche del phishing che fa parte del primo passaggio nella sequenza (prima colonna a sinistra).

Esempio

Non e’ necessario che un attaccante usi tutte e undici le tattiche nella parte superiore della matrice. Piuttosto, l’attaccante utilizzera’ il numero minimo di tattiche per raggiungere il suo obiettivo, in quanto e’ piu’ efficiente e fornisce meno possibilita’ di scoperta. In questo attacco (illustrato nello schema qui sotto), l’avversario esegue l’accesso iniziale alle credenziali dell’assistente amministrativo del CEO utilizzando uno Spearphishing link consegnato in una e-mail. Una volta in possesso delle credenziali dell’amministratore, l’aggressore cerca un Remote System Discovery della fase Discovery.

Fasi di un attacco

Esempio: le tattiche e le tecniche usate nella fasi di un attacco

Supponiamo che stiano cercando dati sensibili in una cartella Dropbox alla quale anche l’amministratore ha accesso, quindi non c’e’ bisogno di aumentare i privilegi. La raccolta, che e’ l’ultima fase, viene eseguita scaricando i file da Dropbox alla macchina dell’aggressore.

Si noti che se si utilizza l’analisi del comportamento, un analista della sicurezza potrebbe rilevare l’attacco in corso identificando il comportamento anomalo dell’utente.

Ed e’ proprio quello che un SOC dovrebbe fare, ecco, grossomodo, come potrebbe essere mitigato l’attacco: supponiamo che l’amministratore abbia cliccato un link che nessuno dell’azienda ha mai cliccato prima, poi l’amministratore e’ entrato in una particolare cartella di Dropbox in un momento insolito. Durante la fase finale dell’attacco, il computer dell’aggressore e’ entrato per la prima volta nella cartella Dropbox. Con l’analisi comportamentale, queste attivita’ verrebbero segnalate come comportamento sospetto dell’utente.

Consultare ATT&CK

Per consultare questa risorsa e’ sufficiente visitare il suo sito e ci si trovera’ davanti alla matrice di cui ho pubblicato uno screenshot poco fa. Supponiamo di voler consultare la tecnica Spearphishing Link. Cliccando su di essa, verra’ aperta la pagina corrispondente che contiene informazioni approfondite a riguardo, come una descrizione della tecnica, quali sotto-tecniche esistono, degli esempi di procedura che la includono e i suggerimenti per la mitigazione del rischio. 

In sostanza sono disponibili tutte le informazioni necessarie per conoscere e difendersi in modo appropriato da ogni tecnica.

Tecnica Spearphishing Link Scheda Mitre Att&ck

La parte iniziale della scheda della tecnica Spearphishing Link.

Conclusioni

I vantaggi di una risorsa come MITRE ATT&CK sono davvero notevoli. I team di sicurezza informatica hanno a disposizione un alleato prezioso, a cui possono aggiungere degli strumenti dedicati alla sua consultazione.

Se e’ quasi certo che gli aggressori si stanno adattando man mano che i difensori mettono in opera nuove competenze, e’ anche vero che ATT&CK fornisce un modo per descrivere le nuove tecniche che essi sviluppano. 

Link utili:

Sicurezza: pentest e verifica delle vulnerabilita’

Il SOCaaS e’ utile per la tua azienda?

SOCaaS – Security Operation Center as a Service

SOCaaS - Post Cover
Tempo di lettura: 6 min

Nell’articolo di oggi, spiegheremo cos’e’ un Security Operations Center (SOC) e aiuteremo a determinare se una soluzione SOC-as-a-Service (SOCaaS) sia adatta alla vostra azienda. Solo perché dovete gestire la sicurezza informatica, non significa che la vostra azienda si debba occupare di sicurezza informatica. Di fatto il vostro core business potrebbe essere praticamente qualsiasi altra cosa.

Una gestione corretta della sicurezza informatica, pero’, e’ indispensabile per consentire alla vostra azienda di crescere e di ottenere le certificazioni al trattamento dei dati richieste per legge. Avere le giuste competenze in materia di sicurezza informatica disponibili al momento giusto e’ fondamentale per il vostro successo, ma non avete idea di quando sara’ quel momento.

Scegliere la tecnologia, le persone e i processi giusti per costruire una moderna sezione operativa di sicurezza e’ una delle sfide piu’ grandi per i responsabili della sicurezza informatica.

Cos’e’ un SOCaaS e cosa puo’ fare per te

Prima di capire quali siano le sfide per la gestione, e’ bene capire cosa sia un SOC. Esso svolge le seguenti funzioni:

Pianifica, configura e mantiene l’infrastruttura di sicurezza.

Con un SOC e’ possibile configurare lo stack tecnologico (endpoint, applicazioni SaaS, infrastruttura cloud, rete, etc.) per identificare l’attivita’ rilevante ed eliminare i dati non necessari. Monitorare le fonti di dati per garantire che l’ecosistema sia sempre connesso.

Rilevare e rispondere

Inoltre, e’ possibile monitorare l’attivita’ di allarme in arrivo. Indagare sugli allarmi per determinare se si tratta di un vero problema di sicurezza o di un falso allarme. Se qualcosa e’ una reale minaccia alla sicurezza, si puo’ valutare l’ampiezza della situazione ed eseguire azioni di risposta.

Caccia alle minacce

SOCaaS - Hacker

Si puo’ esaminare l’attivita’ di un certo evento per determinare se ci fossero dei segni di compromissione che possono aver eluso i controlli automatici. Lo scenario piu’ comune e’ quello di rivedere la cronologia di un indirizzo IP o di un file che e’ stato determinato essere dannoso.

Stoccaggio dei log file

Altra possibilita’ e’ raccogliere e archiviare in modo sicuro i log file, per un periodo fino a sette anni, per la conformita’ alle norme. Il team dovra’ fornire questi dati critici per un’analisi forense nel caso si verifichi una situazione di sicurezza.

Misurare gli indicatori di performance

Ovviamente e’ possibile monitorare le KPI (indicatori di performance). Nel dettaglio e’ possibile misurare e riportare le KPI per dimostrare al team esecutivo come stia funzionando il SOC.

Le sfide per implementare un proprio SOC

Trovare, formare e conservare i professionisti della sicurezza informatica e’ costoso

Le abilita’ necessarie per gestire le mansioni di sicurezza informatica sono molto richieste. Sfortunatamente, la carenza e’ destinata a peggiorare prima di migliorare. Secondo l’International Certification Organization (ISC), il numero di posizioni non occupate in tutto il mondo era di oltre 4 milioni di professionisti nel 2019, rispetto ai quasi tre milioni dell’anno precedente.

La formazione di personale con un ampio background IT nelle competenze di sicurezza informatica e’ un’opzione, ma mantenere queste persone e’ costoso. La loro sostituzione, quando eventualmente vengono assunte altrove, da’ inizio a un ciclo che di solito finisce per essere piu’ costoso del previsto, soprattutto rispetto al SOCaaS.

Inoltre, le persone che lavorano bene in questo settore di solito vogliono esplorare nuovi argomenti e affrontare nuove sfide. Dovrete trovare altri progetti o ruoli correlati per far ruotare il personale del SOC per tenerli impegnati. Questo aiuta anche a costruire le loro competenze, in modo che siano pronti a rispondere e ad agire prontamente quando necessario.

La sicurezza informatica e’ uno sport di squadra

E’ importante avere un insieme di competenze diverse e un team che lavori bene come squadra. Le minacce alla sicurezza si evolvono rapidamente, indagini e risposte adeguate richiedono persone che comprendano gli endpoint, le reti, le applicazioni cloud e altro ancora. Spesso si finisce per essere un manager SOC, un amministratore di sistema e un cacciatore di minacce, a seconda della giornata e da cio’ che accade nel proprio ambiente.

Questo significa che avrete bisogno di un team che impari in continuazione, in modo da avere le giuste competenze quando ne avrete bisogno. Le persone che vanno bene in questo settore prosperano in un ambiente di squadra in cui possono imparare e sfidarsi a vicenda. Per questo, avete bisogno di un workflow che riunisca regolarmente diversi analisti SOC.

Pensatela in questo modo: non mettereste sul campo una squadra di calcio che non si e’ allenata insieme. La vostra squadra SOC si scontra con un avversario che gioca di squadra ogni giorno. Per avere successo, avete bisogno di professionisti che abbiano molta esperienza di gioco per costruire le loro capacita’ sia nella posizione singola che come squadra.

Una squadra di analisti SOC che non faccia un allenamento regolare non sara’ pronta quando verra’ colpita da un avversario ben allenato. E’ difficile ottenere questa esperienza in una piccola organizzazione.

Un SOCaaS e’ la risposta immediata a questa esigenza. La squadra che si occupera’ della vostra sicurezza IT e’ allenata e stimolata ogni giorno da sfide sempre nuove, dovendo avere a che fare con infrastrutture diverse quotidianamente.

La copertura 24/7 e’ una necessita’

Lasciare che un avversario sia libero di lanciare esche per ore, giorni o settimane rende infinitamente piu’ difficile contenere e rimuovere le minacce. L’avversario sa di avere un tempo limitato per fare piu’ danni possibili, come nel caso del ransomware, o per mettere in secondo piano le porte, come nel caso dell’estrusione dei dati.

Avrete le migliori possibilita’ di recupero se potrete indagare e rispondere in pochi minuti. Una soluzione che fornisca una copertura 24×7 e’ quindi fondamentale.

Nella sicurezza informatica non esistono “orari di lavoro” per un motivo in particolare: un attacco potrebbe arrivare da un punto qualunque del globo, di conseguenza non si puo’ fare affidamento a orari convenzionali. Questo e’ frutto della diffusione della rete come strumento di connessione mondiale, possiamo solo farci i conti in modo adeguato. Un SOCaaS solleva l’azienda che lo utilizza dal mantenere una divisione aperta 24/7.

Gestire i fornitori e integrare gli strumenti e’ piuttosto costoso

La sicurezza informatica e’ complessa e la tecnologia si evolve rapidamente. Ci saranno sempre piu’ tecnologie che devono lavorare insieme, il che richiede il mantenimento delle competenze per implementare, aggiornare e configurare ogni componente e formare il vostro personale sulle nuove versioni e caratteristiche. Se avete il vostro SOC, dovete gestire anche queste relazioni tra i fornitori, le licenze e l’attivita’ di formazione.

La linea di fondo e’ che la creazione delle capacita’ di cui avete bisogno richiede un sacco di compiti di basso livello e un esteso lavoro quotidiano. Per le organizzazioni in grado di sostenerlo, lo sforzo ha senso. Per la maggior parte delle organizzazioni, il compito e’ meglio lasciarlo a un partner in grado di fornire questo servizio, consentendo di ottenere tutti i vantaggi di un SOC di alto livello senza la spesa e la distrazione di costruirlo voi stessi.

Conclusioni

Se il budget non e’ un problema e si dispone di abbastanza personale che si concentri sulla costruzione e manutenzione di un SOC 24×7, allora puo’ avere senso seguire questa strada. Se siete vincolati su uno di questi due fronti, allora il SOCaaS sara’ l’approccio migliore.

In sintesi, il SOCaaS vi permette di:

1. Passare il tempo a gestire la sicurezza, non la tecnologia e i fornitori
2. Avere una spesa prevedibile. Nessuna richiesta di budget a sorpresa
3. Ottenere informazioni sulla sicurezza da altre organizzazioni
4. Gestire gli allarmi in modo piu’ efficiente e con risultati piu’ prevedibili
5. Essere agili e stare al passo con le esigenze IT della vostra organizzazione in continua evoluzione
6. Rimanere al passo con le innovazioni degli strumenti di sicurezza di oggi.

Se la tua azienda vuole saperne di piu’ sulle soluzioni SOCaaS di Secure Online Desktop, contattateci per una consulenza non vincolante. Vi illustreremo tutti i vantaggi e chiariremo ogni dubbio riguardo a questa soluzione.

Link utili:

Sicurezza: pentest e verifica delle vulnerabilita’

SOC as a Service

 

Sicurezza delle reti informatiche con il Pentest e il Vulnerability assessment
Tempo di lettura: 6 min

La sicurezza delle reti informatiche e’ di vitale importanza per un’azienda. Con le tecnologie che fanno sempre piu’ affidamento a servizi in remoto, e’ bene assicurarsi che la sicurezza sia garantita. Per farlo si ricorre a due strumenti: Vulnerability Assessment e Penetration Test. Ma qual e’ la differenza tra di loro? La risposta a questa domanda non e’ cosi’ scontata come si potrebbe pensare.

La risposta breve e’: un Pentest (PT) puo’ essere una forma di valutazione della vulnerabilita’ (VA), ma una valutazione della vulnerabilita’ non e’ sicuramente un Pentest. Cerchiamo di capire meglio come funzionano e i loro scopi.

Verifica della sicurezza delle reti informatiche: Vulnerability Assessment

Una valutazione delle vulnerabilita’ e’ il processo di esecuzione di strumenti automatizzati contro indirizzi IP definiti per identificare le vulnerabilita’ nell’ambiente in cui si opera. Tipicamente le vulnerabilita’ includono sistemi non protetti o configurati in modo errato. Gli strumenti utilizzati per eseguire le scansioni delle vulnerabilita’ sono software specifici che automatizzano il processo. Ovviamente questi software sono praticamente inutili senza un operatore che sappia usarli correttamente.

Questi strumenti forniscono un metodo semplice per eseguire la scansione delle vulnerabilita’ e ne esistono sia open source che proprietari. Il vantaggio principale di quelli open-source e’ che, con grande probabilita’, sono gli stessi usati dagli hacker, e’ improbabile che questi paghino un costoso abbonamento, quando possono scaricare degli applicativi open source gratuitamente.

Nella pratica, una VA permette di:

identificare e classificare falle di sicurezza nella rete informatica
comprendere le minacce informatiche a cui l’azienda e’ esposta
raccomandare misure correttive per eliminare le debolezze riscontrate

Lo scopo di una Vulnerability Assessment e’ quello di identificare le vulnerabilita’ note in modo che possano essere corrette. Le scansioni sono tipicamente eseguite almeno trimestralmente, anche se molti esperti consigliano scansioni mensili.

Come si esegue una VA

Il processo di esecuzione si divide in due fasi e non prevede lo sfruttamento delle debolezze riscontrate. Questo ulteriore passaggio e’ invece previsto nel Penetration Test.

Fase 1: prima analisi
durante questa fase vengono raccolte tutte le informazioni disponibili sull’obiettivo per determinare quali potrebbero essere i punti deboli e le falle nel sistema di sicurezza delle reti informatiche
Fase 2: seconda analisi
in questa fase, tramite l’uso delle informazioni ricavate, vengono messe alla prova i possibili problemi. In questa fase le vulnerabilita’ sono testate per capire se siano effettivi problemi come supposto precedentemente.

Data l’incredibile velocita’ in cui le tecnologie e le tecniche informatiche si evolvono, e’ possibile che un sistema si mostri sicuro questo mese, ma abbia invece delle criticita’ da risolvere il mese successivo. Per questo e’ consigliato ripetere regolarmente e con frequenza i controlli di sicurezza sulle reti informatiche aziendali.

Risultati

Alla fine del processo di verifica delle vulnerabilita’ di un sistema, i report finali contengono tutti i risultati raccolti. Tipicamente questi racchiudo tutte le informazioni rilevanti, tra cui:

l’elenco delle vulnerabilita’ riscontrate
una descrizione approfondita delle vulnerabilita’
contromisure da adottare per ridurre i rischi

La verifica delle vulnerabilita’ e’ una procedura fondamentale per l’azienda, ma non ne garantisce la sicurezza delle reti informatiche. Per la corretta manutenzione della sicurezza dei propri sistemi, e’ indispensabile ricorrere anche a un altro strumento: il Penetration Test.

Penetration test

Il Pentest, o test di penetrazione, ha lo scopo di verificare come si possano sfruttare le vulnerabilita’ di un sistema per ottenere accesso e muoversi al suo interno. Una delle fasi iniziali eseguite da un pentester e’ la scansione della rete per trovare gli indirizzi IP, il tipo di dispositivo, i sistemi operativi e le possibili vulnerabilita’ del sistema. Ma, a differenza della Vulnerability Assessment, il Pentest non si ferma qui.

Di cruciale importanza per un tester e’ lo sfruttamento (exploit) delle vulnerabilita’ individuate al fine di ottenere il controllo della rete o per impossessarsi di dati sensibili. Il tester utilizza strumenti automatizzati configurabili per eseguire exploit contro i sistemi delle reti informatiche. La parte peculiare, pero’, avviene quando il tester esegue dei tentativi manuali di exploit, proprio come farebbe un hacker.

Classificazione

I test di penetrazione sono classificati in due modi: grey box oppure black box.

I test grey box sono eseguiti con la piena conoscenza del reparto IT dell’azienda target. Le informazioni sono condivise con il tester, per esempio diagrammi di rete, indirizzi IP e configurazioni di sistema. L’approccio di questo metodo e’ la verifica sulla sicurezza della tecnologia presente.

Un test black box, invece, rappresenta piu’ propriamente l’azione di un hacker che tenta di ottenere accesso non autorizzato ad un sistema. Il dipartimento IT non sa nulla del test eseguito e al tester non vengono fornite informazioni sull’ambiente di destinazione. Il metodo black box valuta sia la tecnologia sottostante sia le persone e i processi coinvolti per identificare e bloccare un attacco cosi’ come avverrebbe nel mondo reale.

Fasi del Pentest

Fase 1: Analisi
Viene analizzato il sistema, studiandone punti di forza e debolezza. Vengono raccolte tutte le informazioni preliminari. Questo, ovviamente, non avviene se si tratta di un pentest di tipo grey box.
Fase 2: Scansione
Viene scansionata tutta l’infrastruttura per trovare i punti deboli su cui concentrarsi.
Fase 3: Pianificazione
Grazie alle informazioni raccolte, si pianifica con quali strumenti e tecniche usare per colpire il sistema. Le possibilita’ sono moltissime e si tratta sia di tecniche prettamente tecnologiche che di ingegneria sociale.
Fase 4: Attacco vero e proprio
In questa fase i tester cercano di sfruttare le vulnerabilita’ individuate per ottenere il pieno controllo del sistema preso di mira.

Report

Anche al termine del Penetration Test viene compilato un rapporto che riporta nel dettaglio tutto il processo eseguito e comprende:

valutazione dell’impatto di un reale attacco sull’azienda
soluzioni per risolvere i problemi e mettere in sicurezza i sistemi delle reti informatiche

Un Penetration Test che non va a buon fine e’ segno che il sistema preso in esame e’ sicuro* e i dati al suo interno non rischiano nulla. Questo pero’ non significa che l’azienda sara’ protetta per sempre da ogni attacco: proprio perche’ le strategie degli hacker evolvono costantemente, e’ importante eseguire i Penetration Test regolarmente.

(*) Va precisato però che sebbene un buon Penetration Test segua delle linee guida o delle metodologie strutturare (es. OWASP) rimane un test a forte impatto soggettivo del Penetration Tester e del team che lo ha eseguito pertanto non si può escludere che ripetendo il test a carico di un gruppo di Penetration Tester differente non si abbiamo nuovi risultati. Inoltre, come è ben noto ai nostri lettori, nel campo della Cyber Security il concetto di “sicuro” in termini assoluti è inadeguato.

Come fare

Sebbene le Vulnerability Assessment e i Penetration Test abbiano obiettivi diversi, entrambi dovrebbero essere eseguiti regolarmente per verificare la sicurezza complessiva del sistema informatico.

La valutazione delle vulnerabilita’ dovrebbe essere effettuata spesso per identificare e correggere le vulnerabilita’ note. Il Pentest dovrebbe essere effettuato almeno una volta all’anno e sicuramente dopo significativi cambiamenti nell’ambiente IT, per identificare le possibili vulnerabilita’ sfruttabili che possono consentire l’accesso non autorizzato al sistema. Entrambi i servizi descritti in questo articolo sono disponibili tramite SOD, anche su base ricorsiva per garantire l’efficacia dei test. contattaci per saperne di piu’.

Link utili:

Vulnerability Assessment & Penetration Test

Dettagli tecnici di un VA/PT

Sicurezza: pentest e verifica delle vulnerabilità

 

Customers

Newsletter