cybersecurity predittiva

Tempo di lettura stimato: 4 minuti

Oggi, affrontare un attacco in un SOC aziendale è molto simile ad essere sotto attacco senza sapere da quale direzione sta arrivando il colpo. La threat intelligence è in grado di tenervi informati sui problemi di sicurezza. Tuttavia, in molti casi, queste informazioni sono fornite solo quando siete già sotto attacco, e raramente sono molto utili se non a posteriori. Ci vorrebbe un approccio diverso all’analisi dei dati, ed è proprio quello che proponiamo con la cybersecurity predittiva.

Nella cybersecurity, ci si affida ancora alla threat intelligence come strumento difensivo fondamentale. Purtroppo, le informazioni sulle minacce coprono solo un sottoinsieme delle minacce che sono già state trovate, mentre gli aggressori innovano costantemente. Questo significa che nuovi eseguibili malware, domini di phishing e strategie di attacco sono creati in continuazione.

Le informazioni sulle minacce hanno un forte valore per la risposta reattiva agli incidenti. Aiuta quando si fa perno durante un’indagine, identificando l’intento o altri dati utili, e fornisce ulteriore assistenza investigativa. Ma ha un valore limitato per il rilevamento, poiché gli attori delle minacce evitano di riutilizzare la loro infrastruttura di attacco da un obiettivo all’altro.

Se gli indizi che vedrete sono diversi da quelli conosciuti dagli attacchi precedenti, cosa si può fare per andare avanti con un rilevamento efficace? Una domanda legittima, per cui forse la cybersecurity predittiva ha una risposta.

…e se si potesse sapere cosa sta per colpire?

SOCaaS: cybersecurity predittiva

Occhi sugli avversari piuttosto che sugli attacchi passati

La soluzione SOCaaS offerta da SOD porta capacità di cybersecurity predittiva alla sicurezza informatica. La soluzione mappa gli avversari, invece delle minacce, e analizza le loro azioni per prevedere il comportamento e gli strumenti utilizzati nei loro attacchi.

Il motore analitico traduce i modelli comportamentali in profili di infrastrutture di attacco avversarie, che indicano come (trojan, phishing o altre forme di attacco) e dove (filiali, clienti, partner, pari, settore e aree geografiche) gli aggressori stanno progettando di colpire la vostra azienda.

Questo fornisce una mappa di attacco preventiva, che identifica gli avversari in base alla loro fase di attacco e alla posizione attuale all’interno del panorama aziendale esteso. Ma non solo, infatti sono identificate anche le informazioni sull’avversario, i modelli di attacco tipici e le possibili contromisure che possono essere prese in anticipo. In questo modo si può annullare la minaccia prima che si materializzi.

cybersecurity predittiva

Cybersecurity predittiva: capire prima ciò che accadrà

Il nostro SOCaaS fornisce capacità di rilevamento predittivo contro le minacce interne ed esterne con la combinazione di analisi del comportamento di utenti, entità e avversari. Il nostro Next-Gen SIEM utilizza un approccio guidato dall’analisi per il rilevamento delle minacce. Il SOC fornisce visibilità nelle prime fasi cruciali di un attacco. Cioè quando gli attori informatici stanno prendendo di mira, pianificando e preparando l’infrastruttura per un attacco.

Con questo livello di visibilità predittiva, il team può prevenire gli attacchi e contenere sistematicamente quelli in corso. La cybersecurity predittiva permette ai difensori di sintonizzare i loro sistemi contro l’infrastruttura di attacco. È, infatti, possibile costruire blacklist che includono gli indirizzi IP e i nomi host delle istanze utilizzate per l’attacco. Altre misure includono la fortificazione dei sistemi aziendali contro il malware specifico che viene utilizzato per colpirli, rendendo l’attacco impotente, quando avviene.

L’analisi del comportamento degli avversari estende le capacità del Next-Gen SIEM fornendo continuamente un’analisi aggiornata delle informazioni degli avversari e del loro comportamento. Questo comprende l’intera infrastruttura di attacco, per una protezione dalle minacce dinamica e preventiva.

Il SOCaaS traduce automaticamente il comportamento pre-attacco degli avversari in azioni o contromisure che è possibile adottare contro il phishing, la compromissione della posta elettronica aziendale, il ransomware, le frodi e molte altre minacce comuni.

Casi comuni di utilizzo

Concatenamento delle minacce

Correlare le violazioni provenienti dallo stesso avversario/campagna in una minaccia coesiva, anche se per ogni evento vengono utilizzati diversi pezzi di infrastruttura di attacco.

Prevenzione e difesa preventiva

Bloccare preventivamente l’intera infrastruttura di attacco di un avversario, come i domini di phishing appena creati, per una difesa preventiva.

Rafforzare le risorse vulnerabili

Concentratevi e mettete in sicurezza le parti più vulnerabili della vostra infrastruttura sulla base di informazioni che identificano quali aree sono possibili obiettivi.

cybersecurity predittiva

Le informazioni fornite dal SOCaaS vengono utilizzate per aggiungere un maggiore contesto alle minacce esistenti, oltre a fornire informazioni sugli attacchi che non sono ancora stati realizzati o sono nelle prime fasi, come la ricognizione. Questo permette di intraprendere azioni dirette contro le minacce in evoluzione e una difesa più robusta.

Conclusioni

Affidarsi alla fortuna per catturare le minacce è una follia, come ci ha dimostrato il recente attacco SolarWinds. Create la vostra fortuna con la soluzione SOCaaS di SOD, assicurandovi di vedere le minacce prima che accadano e di essere abbastanza “fortunati” da contrastarle.

Advanced Persistent Threat hacker

Estimated reading time: 7 minutes

Una advanced persistent threat (APT) è un termine ampio utilizzato per descrivere una campagna di attacco in cui un intruso, o un gruppo di intrusi, stabilisce una presenza illecita e a lungo termine su una rete al fine di estrarre dati altamente sensibili. Gli obiettivi di questi assalti, che sono scelti e studiati con molta attenzione, includono tipicamente grandi imprese o reti governative. Le conseguenze di tali intrusioni sono vaste, e includono:

– Furto di proprietà intellettuale (ad esempio, segreti commerciali o brevetti)
– Compromissione di informazioni sensibili (ad esempio, dati privati di dipendenti e utenti)
– Il sabotaggio di infrastrutture organizzative critiche (ad esempio, la cancellazione di database)
– Prendere il controllo totale del sito

L’esecuzione di un assalto APT richiede più risorse di un attacco standard alle applicazioni web. Gli autori sono di solito squadre di criminali informatici esperti che hanno un sostanziale sostegno finanziario. Alcuni attacchi APT sono finanziati dal governo e utilizzati come armi di guerra informatica.

Gli attacchi più comuni, come il Remote File Inclusion (RFI), la SQL injection e il cross-site scripting (XSS), sono frequentemente utilizzati dagli autori per stabilire un punto d’appoggio in una rete mirata. Poi, Trojan e backdoor shell sono spesso utilizzati per espandere quel punto d’appoggio e creare una presenza persistente all’interno del perimetro.

Advanced Persistent Threat Laptop

Progressione delle advanced persistent threat

Un attacco APT di successo può essere suddiviso in tre fasi: 1) infiltrazione nella rete, 2) espansione della presenza dell’attaccante e 3) estrazione dei dati accumulati, il tutto senza essere rilevato.

1. Infiltrazione nella rete

Come abbiamo detto, ogni advanced persistent threat parte da un’infiltrazione. Le aziende sono tipicamente infiltrate attraverso la compromissione di una delle seguenti aree: risorse web, risorse di rete o utenti umani autorizzati. Questo si ottiene sia attraverso upload maligni o attacchi di ingegneria sociale. Sono tutte minacce affrontate regolarmente dalle grandi organizzazioni.

Gli infiltrati possono eseguire contemporaneamente un attacco DDoS contro il loro obiettivo. Questo serve sia come cortina per distrarre il personale della rete sia come mezzo per indebolire un perimetro di sicurezza, rendendo più facile la violazione.

Una volta ottenuto l’accesso iniziale, gli aggressori installano rapidamente una shell-malware backdoor che garantisce l’accesso alla rete e permette operazioni remote e furtive. Le backdoor possono anche presentarsi sotto forma di Trojan mascherati da software legittimi.

2. Espansione della presenza

Dopo che il punto d’appoggio è stabilito, gli aggressori si muovono per ampliare la loro presenza all’interno della rete e quindi “creare” la advanced persistent threat vera e proprio.

Questo comporta lo spostamento verso l’alto della gerarchia di un’organizzazione, compromettendo i membri del personale con accesso ai dati più sensibili. Così facendo, gli attaccanti sono in grado di raccogliere informazioni aziendali critiche, comprese le informazioni sulla linea di prodotti, i dati dei dipendenti e i record finanziari.

A seconda dell’obiettivo finale dell’attacco, i dati accumulati possono essere venduti a un’impresa concorrente, alterati per sabotare la linea di prodotti di un’azienda o utilizzati per abbattere un’intera organizzazione. Se il sabotaggio è il motivo, questa fase viene utilizzata per ottenere sottilmente il controllo di più funzioni critiche e manipolarle in una sequenza specifica per causare il massimo danno.

Per esempio, gli aggressori potrebbero cancellare interi database all’interno di un’azienda e poi interrompere le comunicazioni di rete al fine di prolungare il processo di recupero.

3. Estrazione dei dati

Mentre un evento APT è in corso, le informazioni rubate sono tipicamente memorizzate in un luogo sicuro all’interno della rete assaltata. Una volta che sono stati raccolti abbastanza dati, i ladri devono estrarli senza essere rilevati.

Tipicamente, vengono utilizzate tattiche di white noise per distrarre il team di sicurezza in modo che le informazioni possano essere spostate fuori. Questo potrebbe prendere la forma di un attacco DDoS, ancora una volta legando il personale di rete e/o indebolendo le difese del sito per facilitare l’estrazione.

Advanced Persistent Threat hacker

Misure di sicurezza contro le advanced persistent threat

Un rilevamento e una protezione adeguati contro le APT richiedono un approccio multiplo da parte degli amministratori di rete, dei fornitori di sicurezza e dei singoli utenti.

Monitoraggio del traffico

Il monitoraggio del traffico in entrata e in uscita è considerato la pratica migliore per prevenire l’installazione di backdoor e bloccare l’estrazione di dati rubati. Ispezionare il traffico all’interno del perimetro aziendale di rete può anche aiutare ad avvisare il personale di sicurezza di qualsiasi comportamento insolito che può puntare ad attività dannose.

Un web application firewall (WAF) distribuito sul bordo della rete filtra il traffico verso i server web proteggendo così una delle vostre superfici di attacco più vulnerabili. Tra le altre funzioni, un WAF può aiutare ad eliminare gli attacchi a livello di applicazione, come gli attacchi RFI e SQL injection, comunemente utilizzati durante la fase di infiltrazione APT.

I servizi di monitoraggio del traffico interno, come i firewall di rete, sono l’altro lato di questa equazione. Essi possono fornire una visione granulare che mostra come gli utenti stanno interagendo all’interno della vostra rete, mentre aiutano a identificare le anomalie del traffico interno, (ad esempio, login irregolari o trasferimenti di dati insolitamente grandi). Quest’ultimo potrebbe segnalare un attacco APT in corso. È anche possibile monitorare l’accesso alle condivisioni di file o agli honeypots di sistema.

Infine, i servizi di monitoraggio del traffico in entrata potrebbero essere utili per rilevare e rimuovere le shell backdoor. Per un servizio di controllo a 360°, l’adozione del SOCaaS di SOD potrebbe fare al caso vostro.

Controllo degli accessi

Per gli attaccanti, i dipendenti dell’azienda rappresentano tipicamente il soft-spot più grande e vulnerabile nel vostro perimetro di sicurezza. Il più delle volte, questo è il motivo per cui gli utenti della vostra rete sono visti dagli intrusi come un facile gateway per infiltrarsi nelle vostre difese, mentre espandono la loro presa all’interno del vostro perimetro di sicurezza.

In questo caso, gli obiettivi probabili rientrano in una delle seguenti tre categorie:

Utenti disattenti che ignorano le politiche di sicurezza della rete e concedono inconsapevolmente l’accesso a potenziali minacce
Insider malintenzionati che abusano intenzionalmente delle loro credenziali per concedere l’accesso al criminale
Utenti compromessi i cui privilegi di accesso alla rete sono compromessi e utilizzati dagli aggressori

Lo sviluppo di controlli efficaci richiede una revisione completa di tutti i membri della vostra organizzazione, specialmente delle informazioni a cui hanno accesso. Per esempio, classificare i dati sulla need-to-know basis aiuta a bloccare la capacità di un intruso di dirottare le credenziali di accesso da un membro del personale di basso livello, usandole per accedere a materiali sensibili.

I punti chiave di accesso alla rete dovrebbero essere protetti con l’autenticazione a due fattori (2FA). Essa richiede agli utenti di utilizzare una seconda forma di verifica quando si accede alle aree sensibili (in genere un codice di accesso inviato al dispositivo mobile dell’utente). Questo impedisce ad attori non autorizzati, travestiti da utenti legittimi, di muoversi nella rete.

advanced persistent threat security

Misure ulteriori contro gli advanced persistent threat

Oltre alle già citate best practice per prevenire il verificarsi di un advanced persistent threat sulla rete aziendale, è bene intervenire su più fronti. In numerosi altri articoli abbiamo trattato quanto sia vantaggioso, per il team di sicurezza, avere un unico luogo in cui monitorare ogni punto della rete. Uno strumento eccellente per questo scopo è un SOC.

Il nostro SOCaaS offre tutte le funzionalità di un Centro Operativo di Sicurezza senza l’incombenza degli investimenti in attrezzature e personale specializzato. Inoltre, grazie alla tecnologia UEBA, non solo il nostro SOC è in grado di recuperare i log e archiviarli in modo sistematico, ma è anche attivamente coinvolto nell’individuare comportamenti sospetti degli utenti.

Queste caratteristiche sono ottime per aumentare la reattività del team di sicurezza e scongiurare anche i tentativi di advanced persistent threat ai danni della rete aziendale.

Per sapere come possiamo aiutare la vostra azienda a alzare la propria sicurezza, non esitare a contattarci, saremo lieti di rispondere a ogni domanda.

Link utili:

XDR laptop

Estimated reading time: 5 minutes

Proprio come qualsiasi altro campo IT, il mercato della cybersecurity è guidato dall’hype. Attualmente si fa hype verso l’XDR, ossia eXtended Detection and Response.

XDR è la novità per quello che concerne il rilevamento e alla risposta alle minacce, un elemento chiave della difesa dell’infrastruttura e dei dati di un’azienda.

Cos’è esattamente l’XDR?

XDR è un’alternativa ai tradizionali approcci reattivi che forniscono solo una layer visibility sugli attacchi. Mi riferisco a procedure come il rilevamento e la risposta degli endpoint (EDR), l’analisi del traffico di rete (NTA) e i SIEM, di cui abbiamo parlato in molti altri articoli.

La layer visibility implica che si adottino diversi servizi, stratificati (layer), che tengono sotto controllo ciascuno una specifica entità nell’infrastruttura. Questo può essere problematico. Infatti, bisogna assicurarsi che i livelli non finiscano isolati, rendendo difficile, o quasi impossibile gestire e visualizzare i dati. La layer visibility fornisce informazioni importanti, ma può anche portare a problemi, tra cui:

Collezionare troppi avvisi incompleti e senza contesto. L’EDR rileva solo il 26% dei vettori iniziali di attacco e a causa dell’elevato volume di avvisi di sicurezza, il 54% dei professionisti della sicurezza ignora gli avvisi che dovrebbero essere indagati.
Indagini complesse e dispendiose in termini di tempo che richiedono competenze specialistiche. Con l’EDR, il tempo medio per identificare una violazione è aumentato a 197 giorni, e il tempo medio per contenere una violazione è aumentato a 69 giorni.
Strumenti incentrati sulla tecnologia piuttosto che sull’utente o sul business. L’EDR si concentra sulle lacune tecnologiche piuttosto che sulle esigenze operative degli utenti e delle aziende. Con più di 40 strumenti utilizzati in un Security Operations Center (SOC) medio, il 23% dei team di sicurezza passa il tempo a mantenere e gestire gli strumenti di sicurezza piuttosto che eseguire indagini. (Fonte)

XDR raccolta dati

Per i team di sicurezza già sovraccarichi, il risultato può essere un flusso infinito di eventi, troppi strumenti e informazioni da alternare, tempi più lunghi per il rilevamento e spese per la sicurezza che superano il budget e non sono nemmeno pienamente efficaci.

La novità nell’eXtended Detection Response

XDR implementa un approccio proattivo al rilevamento delle minacce e alla risposta. Offre visibilità sui dati attraverso le reti, i cloud e gli endpoint, mentre applica l’analisi e l’automazione per affrontare le minacce sempre più sofisticate di oggi. I vantaggi dell’approccio XDR per i team di sicurezza sono molteplici:

Identificare le minacce nascoste, furtive e sofisticate in modo proattivo e rapido.
Tracciare le minacce attraverso qualsiasi fonte o posizione all’interno dell’organizzazione.
Aumentare la produttività delle persone che operano con la tecnologia.
Ottenere di più dai loro investimenti in sicurezza.
Concludere le indagini in modo più efficiente.

Dal punto di vista del business, XDR permette alle compagnie di individuare i cyber threat e fermare gli attacchi, oltre a semplificare e rafforzare i processi di sicurezza. Di conseguenza, consente alle aziende di servire meglio gli utenti e accelerare le iniziative di trasformazione digitale. Quando utenti, dati e applicazioni sono protetti, le aziende possono concentrarsi sulle priorità strategiche.

Perché considerarlo per la propria azienda

I due motivi principali per cui è vantaggioso questo tipo di approccio sono: gli endpoint non hanno visibilità sulle minacce in luoghi come i servizi cloud, inoltre, potrebbe non essere possibile mettere un software agent su tutti gli endpoint dell’azienda.

Ma ci sono anche altre motivazioni da considerare. L’aggiunta di altre fonti di dati può fornire maggiore contesto nei risultati dell’EDR, migliorando il triage e l’indagine degli avvisi. I provider si stanno movimentando non solo per fornire maggiori dati meglio organizzati, ma anche consegnando piattaforme di analisi per alleggerire il carico analitico sugli operatori. Questo si traduce in facilità d’uso e costi operativi ridotti.

L’XDR può sembrare molto attraente come prodotto: Integrazione stretta delle parti, contenuto altamente sintonizzato (poiché il fornitore ha il controllo totale sugli eventi dalle fonti di dati), uso di analitiche e automazione della risposta.

XDR dati virtuali

A cosa prestare attenzione prima dell’adozione

Alcuni provider stanno posizionando il loro XDR come la soluzione definitiva al rilevamento delle minacce. Tuttavia, molti fornitori non sono in grado di offrire tutti gli strumenti necessari per ottenere il vantaggio venduto. Alcuni provider offrono nel pacchetto il monitoring di endpoint e cloud, altri di endpoint e rete, ma se si esaminano le esigenze complete della maggior parte delle organizzazioni, ci sono spesso dettagli mancanti nell’immagine complessiva.

Se poi, una volta che l’azienda si impegna con un provider e nota una mancanza in uno dei settori monitorati, quali sono le possibili soluzioni? Si genera una situazione di vendor lock-in da cui svincolarsi significa recidere un contratto per poi aprirne un altro, con tutti i costi che ne conseguono.

L’XDR come un approccio, non come prodotto

Prima di sottoscrivere un contratto con un provider che vende un soluzione come definitiva, è sempre bene soppesare in modo analitico i vantaggi e le implicazioni.

L’integrazione stretta e bidirezionale di più capacità di rilevamento e risposta alle minacce è la prima caratteristica distintiva. Ma non è necessario acquistare due componenti tecnologici dallo stesso fornitore per ottenere una buona integrazione. Infatti, molti prodotti hanno la capacità di integrarsi con alcune soluzioni di altri fornitori come uno dei loro principali punti di forza.

L’approccio XDR deve fornire una piattaforma che consente la necessaria raccolta e conservazione dei dati, ma anche forti capacità di analisi, di orchestrare e automatizzare le azioni di risposta fornite dalle altre parti della soluzione. Un Next Generation SIEM cloud based è una soluzione perfetta.

Come muoversi dunque?

L’interesse per i prodotti XDR è un chiaro segnale che l’eccessiva frammentazione stava portando un’eccessiva complessità. Un po’ di consolidamento è un bene, ma deve essere fatto proteggendo la flessibilità e la capacità di seguire le soluzioni migliori.

Secondo noi, un SOCaaS è una soluzione ottimale. Fornisce un SIEM di nuova generazione, con forti capacità di analisi. Inoltre, integra anche un’intelligenza artificiale che aiuta nel riconoscere in tempo le minacce tramite l’analisi del comportamento. Un SOCaaS è il futuro delle piattaforme operative di sicurezza.

Per sapere con i nostri servizi possono aiutarti a proteggere i dati della tua azienda e dei tuoi clienti, contattaci, risponderemo volentieri a ogni tuo dubbio.

Threat Intelligence Virtual

Estimated reading time: 6 minutes

I dati di threat intelligence forniscono alle aziende approfondimenti rilevanti e tempestivi necessari per comprendere, prevedere, rilevare e rispondere alle minacce alla sicurezza informatica. Le soluzioni di intelligence sulle minacce raccolgono, filtrano e analizzano grandi volumi di dati grezzi relativi a fonti esistenti o emergenti di minacce. Il risultato sono feed di threat intelligence e rapporti di gestione. I data scientist e i team di sicurezza utilizzano questi feed e report per sviluppare un programma con risposte mirate agli incidenti per attacchi specifici.

Tutti, dalla prevenzione delle frodi alle operazioni di sicurezza all’analisi dei rischi, traggono vantaggio dalla threat intelligence. Il software di intelligence sulle minacce fornisce visualizzazioni interattive e in tempo reale dei dati relativi alle minacce e alle vulnerabilità.

Il vantaggio offerto agli analisti ed esperti di sicurezza è evidente e serve a identificare facilmente e rapidamente i modelli degli attori delle minacce. Comprendere la fonte e l’obiettivo degli attacchi aiuta i capi d’azienda a mettere in atto difese efficaci per mitigare i rischi e proteggersi dalle attività che potrebbero avere un impatto negativo sull’azienda.

La cyber threat intelligence può essere classificata come strategica, tattica oppure operativa. Quella Strategica riguarda le capacità e gli intenti generali degli attacchi informatici. Di conseguenza anche lo sviluppo di strategie informate associate alla lotta contro le minacce a lungo termine. Quella Tattica riguarda le tecniche e le procedure che gli aggressori potrebbero utilizzare nelle operazioni quotidiane. Infine, la threat intelligence Operativa, fornisce informazioni altamente tecniche a livello forense riguardanti una specifica campagna di attacco.

Threat Intelligence Virtual

Il ciclo della threat intelligence

Le soluzioni di intelligence sulle minacce raccolgono dati grezzi sugli attori e le minacce da varie fonti. Questi dati vengono poi analizzati e filtrati per produrre feed e rapporti di gestione che contengono informazioni che possono essere utilizzate in soluzioni automatizzate di controllo della sicurezza. Lo scopo principale di questo tipo di sicurezza è quello di mantenere le organizzazioni informate sui rischi delle minacce persistenti avanzate, delle minacce zero-day e degli exploit, e su come proteggersi da esse.

Il ciclo di intelligence delle minacce informatiche consiste nelle seguenti fasi.

Pianificazione: I requisiti dei dati devono essere prima definiti.

Raccolta: Si raccolgono grandi quantità di dati grezzi da fonti interne ed esterne di threat intelligence.

Elaborazione: I dati grezzi sono filtrati, categorizzati e organizzati.

Analisi: Questo processo trasforma i dati grezzi in flussi di informazioni sulle minacce con l’uso di tecniche analitiche strutturate in tempo reale e aiuta gli analisti a individuare gli indicatori di compromissione (IOC).

Diffusione: I risultati dell’analisi vengono immediatamente condivisi con i professionisti della sicurezza informatica e gli analisti di threat intelligence.

Feedback: Se tutte le domande trovano risposta, il ciclo si conclude. Se ci sono nuovi requisiti, il ciclo ricomincia dalla fase di pianificazione.

Indicatori comuni di compromissione

Le aziende sono sempre più sotto pressione per gestire le vulnerabilità della sicurezza e il panorama delle minacce è in continua evoluzione. I feed di threat intelligence possono aiutare in questo processo identificando gli indicatori comuni di compromissione (IOC). Non solo, possono anche raccomandare i passi necessari per prevenire attacchi e infezioni. Alcuni degli indicatori di compromissione più comuni includono:

Indirizzi IP, URL e nomi di dominio: Un esempio potrebbe essere un malware che prende di mira un host interno che sta comunicando con un noto attore di minacce.

Indirizzi e-mail, oggetto delle e-mail, link e allegati: Un esempio potrebbe essere un tentativo di phishing che si basa su un utente ignaro che clicca su un link o un allegato e avvia un comando dannoso.

Chiavi di registro, nomi di file e hash di file e DLL: Un esempio potrebbe essere un attacco da un host esterno che è già stato segnalato per un comportamento nefasto o che è già infetto.

threat intelligence hacker

Quali strumenti per la threat intelligence

Il crescente aumento del malware e delle minacce informatiche ha portato a un’abbondanza di strumenti di threat intelligence che forniscono preziose informazioni per proteggere le aziende.

Questi strumenti si presentano sotto forma di piattaforme sia open source che proprietarie. Queste forniscono una serie di capacità di difesa contro le minacce informatiche, come l’analisi automatizzata dei rischi, la raccolta di dati privati, strumenti di ricerca rapida di threat intelligence, la segnalazione e condivisione di queste informazioni tra più utenti, avvisi curati, analisi dei rischi di vulnerabilità, monitoraggio del dark web, mitigazione automatizzata dei rischi, threat hunting e molto altro.

Abbiamo parlato di uno di questi strumenti in un altro articolo: il Mitre Att&ck. Questo è uno strumento molto utile per conoscere i comportamenti e le tecniche di attacco hacker. Questo grazie alle informazioni raccolte dalla threat intelligence e la conseguente condivisione. Un framework come questo è molto efficiente per creare meccanismi difensivi che consentono di mettere in sicurezza le infrastrutture aziendali.

Intelligenza artificiale e informazioni sulle minacce

Come abbiamo visto prima, la raccolta di informazioni da varie fonti non è altro che una delle fasi. Queste devono poi venire analizzate e successivamente elaborate in protocolli di controllo, per essere davvero utili per la sicurezza.

Per questo tipo di lavori di analisi, definizione di comportamenti baseline e controllo dei dati ci si affida sempre di più all’intelligenza artificiale e al deep learning. Un Next Generation SIEM, affiancato a una soluzione UEBA sono perfetti per questo tipo di protezione.

Il controllo del comportamento delle entità all’interno del perimetro effettuato dal UEBA è in grado di identificare ogni comportamento sospetto, in base alle informazioni raccolte e analizzate dal SIEM.

Conclusioni

Gli strumenti di difesa che abbiamo nominato sono il valore primario di un piano di sicurezza aziendale. Adottare soluzioni specifiche, implementare la threat intelligence e quindi una ricerca attiva degli indicatori di minacce, offre una posizione di vantaggio strategica. L’azienda può operare un passo avanti ai criminali, i quali possono far leva solo sull’effetto sorpresa contro le loro vittime. Proprio per questa situazione generale, ogni azienda dovrebbe essere nelle condizioni di non farsi cogliere alla sprovvista. Implementare soluzioni proattive è ormai necessario.

La threat intelligence è quindi un’arma da difesa dietro la quale mettere al riparo le risorse più importanti per poter lavorare in tranquillità.

Se vuoi sapere come possiamo aiutarti con i nostri servizi dedicati alla sicurezza, non esitare a contattarci, saremo lieti di rispondere a ogni domanda.

Link utili:

Cyber Threat Intelligence (CTI) – maggiore efficacia per la sicurezza IT

Progetti di Secure Online Desktop

Cos’è la Cyber Security? Definizione e proposte

Prevenire il shoulder surfing e il furto di credenziali aziendali

shoulder surfing cafeteria

Estimated reading time: 8 minutes

Il termine shoulder surfing potrebbe evocare immagini di un piccolo surfista sul colletto della camicia, ma la realtà è molto più banale. Il shoulder surfing è una pratica criminale in cui i ladri rubano i tuoi dati personali spiandoti alle spalle mentre usi un laptop, un bancomat, un terminale pubblico o un altro dispositivo elettronico in mezzo ad altre persone. Questa tecnica di ingegneria sociale è un rischio per la sicurezza che può causare un disastro, soprattutto se le credenziali rubate sono aziendali.

La pratica precede di molto gli smartphone e i computer portatili e risale a quando i criminali spiavano gli utenti dei telefoni a pagamento mentre inserivano i numeri delle loro carte telefoniche per effettuare le chiamate. Sono passati molti anni, ma la tecnica non è andata perduta. I ladri si sono evoluti ad osservare le loro vittime mentre digitano il PIN del bancomat, pagano alle pompe self-service di benzina o anche mentre fanno un acquisto in un negozio.

Una tecnica analoga per il furto di bancomat prevede un dispositivo di clonazione della carta sovrapposto alla buchetta di inserimento della tessera e una microcamera per spiare il codice. La microcamera compie un atto di shoulder surfing. La clonazione della carta è essenziale perché senza un dispositivo fisico il pin è inutile, ma nel caso di credenziali di account in rete, non serve altro che user e password.

Shoulder surfing ATM

Quando avviene il Shoulder Surfing?

Il shoulder surfing può avvenire ogni volta che si condividono informazioni personali in un luogo pubblico. Questo include non solo i bancomat, le caffetterie e i dispositivi POS in generale, ma praticamente qualsiasi luogo in cui si utilizza un computer portatile, un tablet o uno smartphone per inserire dati personali.

I shoulder surfer di vecchia data, di solito, non incombevano alle spalle delle loro vittime per scrutare le informazioni. Invece, stavano a distanza di sicurezza e interpretavano i movimenti delle dita mentre le persone digitavano i numeri sulla tastiera. Allo stesso modo, gli ingegneri sociali di oggi spesso sfuggono all’attenzione mentre osservano tranquillamente gli altri in luoghi pubblici come le sale d’attesa degli aeroporti e i centri commerciali, i bar e i ristoranti, sui treni o le metropolitane, o ovunque ci sia gente, a dire il vero.

Addirittura, i più sofisticati criminali di oggi osservano da più lontano, nascosti alla vista. Potrebbero usare un binocolo, delle microcamere o la fotocamera del loro telefono o tablet per scrutare il tuo schermo o la tua tastiera. Non solo, potrebbero origliare mentre leggi i numeri delle carte di credito al telefono o fornisci altre informazioni sensibili. I criminali potrebbero anche scattare foto, fare un video o registrare l’audio delle informazioni e poi interpretarle in seguito.

Qualunque sia la metodologia, è chiaro che la tecnologia non solo ci ha aiutato a essere più connessi e poterci permettere di pagare un frappuccino con il cellulare, ma ci ha anche esposto a rischi per la nostra sicurezza. Quando si tratta di dati sensibili, soprattutto se c’è di mezzo un account aziendale da cui si potrebbe accedere a dati sensibili di altre persone, non si deve mai abbassare la guardia, le conseguenze potrebbero essere molto gravi.

Come avviene comunemente il shoulder surfing

Prima di suggerire alcuni metodi per prevenire il shoulder surfing da mettere in pratica immediatamente, vediamo ancora più nel dettaglio come potrebbe avvenire un furto di credenziale con questa tecnica.

Al bar o in caffetteria

Sei al bar di un ristorante affollato in attesa di un amico. Per passare il tempo, ti colleghi a Instagram. Sfortunatamente, non ti accorgi che la persona bloccata in fila accanto a te sta guardando la tua password, che si dà il caso sia la stessa che usi per il tuo account e-mail e il tuo conto bancario.

Al bancomat

Stai prendendo contanti a un bancomat. Ti senti al sicuro perché l’uomo dopo di te in fila è ad almeno 3 metri di distanza e sta addirittura guardando il suo telefono. In realtà, sta registrando i movimenti delle tue dita sul suo telefono e li decifrerà successivamente per ottenere il tuo numero PIN.

All’aeroporto

Il tuo volo è in ritardo, quindi prendi il portatile e ammazzi il tempo andando a leggere un paio di e-mail di lavoro, così per restare aggiornato. Accedi al sito aziendale per leggere la posta e inserisci nome utente e password. Sei così tranquillo, che non vedi la donna a pochi posti di distanza che fissa lo schermo mentre inserisci i dati.

shoulder surfing cafeteria

Quali sono le conseguenze del Shoulder Surfing?

Usare i dati della tua carta di credito per fare acquisti fraudolenti è solo un esempio dei danni che potresti subire se rimani vittima di shoulder surfing. Più informazioni personali un criminale cattura su di te, più le conseguenze possono essere gravi per il tuo conto bancario e la tua salute finanziaria.

Un grave caso di shoulder surfing può esporti al furto di identità. Un criminale potrebbe usare le tue informazioni personali, come il tuo codice fiscale, per aprire nuovi conti correnti, richiedere prestiti, affittare appartamenti o fare domanda di lavoro sotto il tuo nome. Un ladro d’identità potrebbe mettere le mani sul tuo rimborso delle tasse, usare il tuo nome per ottenere cure mediche o anche richiedere agevolazioni statali a tuo nome. Potrebbe anche commettere un crimine e fornire le tue informazioni personali quando interrogato dalla polizia, lasciandoti con una fedina penale sporca o un mandato d’arresto.

Ovviamente, se hai il sospetto che questo sia avvenuto, dovrai recarti immediatamente alla polizia, bloccare i conti correnti e avvisare la banca. Se azioni fraudolente sono già state effettuate a tuo nome, dovrai forse dimostrare che non tu non c’entri.

Le cose si fanno pericolose se i dati trafugati sono quelli di un account aziendale. Infatti, con l’uso di credenziali valide, chiunque potrebbe entrare nel sistema della compagnia e compiere ogni tipo di azione, come raccogliere ulteriori dati, piazzare un malware, avviare un ransomware, trafugare i dati dei clienti e poi venderli online.

Come difendersi dallo shoulder surfing

Si possono individuare due livelli di protezione, il primo è proattivo ed è orientato a evitare che le credenziali siano esposte a malintenzionati, il secondo è attivo e prevede dei software per individuare tentativi di utilizzo delle credenziali rubate.

Shoulder surfing

Difendersi proattivamente

Se proprio non puoi evitare di inserire dati sensibili nel laptop, tablet o smartphone in un luogo pubblico, dovresti seguire le contromisure elencate di seguito.

Suggerimento 1: Prima di inserire qualsiasi dato sensibile, trova un posto sicuro. Assicurati di sederti con le spalle al muro. Questo è il modo migliore per proteggersi da occhi indiscreti. Evita i mezzi pubblici, le poltroncine centrali di una sala d’aspetto e luoghi in cui c’è molto via vai di persone.

Suggerimento 2: Utilizzare un filtro per la privacy. Questo dispositivo hardware è un semplice foglio traslucido polarizzato che viene messo sopra lo schermo. Farà sembrare il tuo schermo nero a chiunque lo guardi da un qualunque angolo innaturale. Questo renderà molto più difficile per le persone non autorizzate vedere le tue informazioni.

Suggerimento 3: L’autenticazione a due fattori richiede che un utente provi la propria identità utilizzando due diversi componenti di autenticazione che sono indipendenti l’uno dall’altro. Poiché questo tipo di autenticazione passa solo quando entrambi i fattori sono utilizzati correttamente in combinazione, la misura di sicurezza è particolarmente efficace. Per esempio, questo metodo è spesso usato molto nell’online banking. Sono molti i servizi che permettono di usare anche il tuo cellulare come secondo fattore di autenticazione. Questo avviene tramite apposite app.

Suggerimento 4: un’altra soluzione è quella di utilizzare un gestore di password. Così facendo, non dovrai più inserire ogni password individualmente sul tuo computer. Il gestore di password lo farà per te dopo che avrai inserito la tua password principale. Questo impedisce a persone non autorizzate di usare la tua tastiera per determinare la vera password, a condizione che tu protegga adeguatamente la tua password principale.

Difendersi attivamente con un SOC e l’analisi del comportamento

Adesso immaginiamo che le credenziali dell’account aziendale siano state rubate. A questo punto solo un sistema di controllo del comportamento può far scattare un allarme e quindi il blocco dell’utente prima che ci siano dei danni.

Infatti, usando credenziali corrette, un normale SIEM tradizionale, non farebbe scattare nessun allarme. Per un SIEM di vecchia generazione l’accesso sarebbe legittimo, perché le credenziali risultano giuste. Il malintenzionato avrebbe libero accesso indisturbato al sistema e potrebbe proseguire con il suo piano di attacco.

Con il servizio SOCaaS di SOD, invece, l’accesso anomalo farebbe scattare un allarme. Il SOC messo a disposizione è equipaggiato con un Next Generation SIEM e un sistema UEBA di controllo del comportamento. Questo significa che ogni scostamento dal comportamento usuale dell’utente, verrebbe segnalato.

Nel caso del furto di credenziali, come avviene con il shoulder surfing, l’accesso effettuato dal malintenzionato farebbe quindi scattare un allarme perché ci sarebbe qualcosa che non torna. Per esempio il login potrebbe avvenire in fasce orarie anomale, in un’altra nazione/IP, da un sistema operativo differente, etc.

Conclusioni

Il shoulder surfing è una tecnica dell’ingegneria sociale che punta sulla disattenzione dell’utente mentre inserisce dati sensibili in un sistema. Nel caso in cui le credenziali aziendali di un utente venissero rubate, l’unica cosa davvero efficiente è avere un sistema che analizzi il comportamento degli utenti e segnali ogni volta che azioni sospette vengono individuate.

Se vuoi sapere nel dettaglio come un SOC e un sistema UEBA possano aiutare la tua azienda a difendersi da attacchi di ingegneria sociale, non esitare a contattarci, saremo lieti di rispondere a ogni domanda.

Estimated reading time: 6 minutes

Nonostante alcuni declini stagionali, il ransomware è ancora una seria minaccia alla sicurezza, soprattutto per chi la sottovaluta. Spesso si pensa che per proteggersi da un ransomware basti avere una copia di backup dei dati. Questo punto di vista non prende in considerazione vari aspetti. Uno tra tutti, il rapporto che c’è tra ransomware e NAS (Network Access Storage), dove spesso si stocca una copia di backup del server, pensando sia sufficiente.

Gli attacchi ransomware sono in grado di rendere inutilizzabili interi dischi, cifrando il file system. Sono a rischio i dischi di rete, che possono venire cifrati anch’essi, riducendo l’efficacia di un backup stoccato in un NAS.

Ransomware e Nas: Attacco

Definizione di Ransomware

Il ransomware, come abbiamo visto anche in altri articoli, è una forma di malware che cripta i file della vittima. L’aggressore chiede poi un riscatto alla vittima per ripristinare l’accesso ai dati dietro pagamento.

Agli utenti vengono mostrate le istruzioni su come pagare una tassa per ottenere la chiave di decrittazione. I costi possono variare da poche centinaia di euro a migliaia, pagabili ai criminali informatici in Bitcoin.

Una volta che il malware riesce ad essere eseguito, è quasi sempre troppo tardi. Infatti, spesso la vittima non se ne accorge fintanto che viene fatta la richiesta di riscatto o quando ormai tutto il disco è stato completamente cifrato.

Come funzionano i ransomware

Ci sono diverse vie che il ransomware può prendere per accedere a un server. Uno dei sistemi di consegna più comuni è il phishing. Alcuni allegati arrivano al computer della vittima in un messaggio e-mail, mascherati da un file innocui.

Una volta eseguiti, questi software mascherati da innocui file possono prendere il controllo del computer della vittima, specialmente se hanno strumenti di ingegneria sociale incorporati che ingannano gli utenti a consentire l’accesso amministrativo. Successivamente risalire al server non è poi così complicato come potrebbe sembrare.

Alcune altre forme più aggressive di ransomware, come NotPetya, sfruttano le falle di sicurezza per infettare i computer senza bisogno di ingannare gli utenti.

Ci sono diverse cose che il malware potrebbe fare una volta che ha preso il controllo del computer della vittima, ma l’azione di gran lunga più comune è quella di criptare alcuni o tutti i file a cui ha accesso. Se si vuole scendere nel tecnico, ecco un approfondimento su come avvengono le cifrature.

La cosa più importante da sapere è che alla fine del processo, i file non possono essere decifrati senza una chiave matematica conosciuta solo dall’attaccante. Alla vittima viene presentato una richiesta di riscatto e spiegato che senza un pagamento, i file rimarranno inaccessibili.

A prescindere dalle richieste e da come il ransomware sia scatenato in primo luogo, la cosa da notare è che non ci sono dati che si possono salvare. Quindi, se i dati dei vostri clienti sono su un server, possono venire coinvolti in un attacco di questo tipo.

Se il ransomware cifra i file system e non solo singoli file, i problemi potrebbero moltiplicarsi.

Ransomware e Nas

Ransomware, NAS e backup

Uno dei modi per mitigare il rischio, è quello di avere a disposizione un backup con cui ripristinare i dati senza dover cedere al pagamento. Le best practice per la gestione dei backup vogliono che non ci siano backup sulla stessa macchina, quindi è possibile che si mantengano su dischi di rete, sempre accessibili dai server. Ma di fatto quei dischi sono parte della macchina, in quanto accessibili.

Questi dischi, chiamati NAS (Network Access Storage), sono ottime soluzioni per la gestione di file in una rete, ma possono diventare inutili tanto quanto il server in caso di attacco ransomware. Se l’attacco cifra i file system, è possibile che, trovate le cartelle remote sul NAS cifri anche quelle, rendendo il backup inutilizzabile.

I target di un ransomware

Ci sono diversi modi in cui gli aggressori scelgono le organizzazioni che prendono di mira con gli attacchi ransomware. A volte è una questione di opportunità: per esempio, gli aggressori potrebbero prendere di mira le università perché tendono ad avere team di sicurezza più piccoli e una base di utenti disparati che condividono molti file, rendendo più facile penetrare le loro difese.

D’altra parte, alcune organizzazioni sono obiettivi allettanti perché sembrano più propensi a pagare un riscatto rapidamente. Per esempio, le agenzie governative o le strutture mediche spesso hanno bisogno di un accesso immediato ai loro file.

Gli studi legali e altre organizzazioni con dati sensibili possono essere disposti a pagare per tenere nascosta la notizia di una compromissione, inoltre, queste organizzazioni sono spesso particolarmente sensibili a una minaccia di esfiltrazione di dati.

Si è comunque notato che alcuni ransomware sono in grado di diffondersi da soli nella rete. Di fatto nessuno è al sicuro del tutto, soprattutto se i dati custoditi sui server sono sensibili.

Ransomware e Nas: Laptop e NAS

Ransomware e NAS: come gestire i backup

Come abbiamo visto, un ransomware è una minaccia non da poco ai dati custoditi dai server aziendali. Ora vediamo quali precauzioni è possibile prendere per proteggere i dati e i server.

Non usare i NAS per i backup

Se il ransomware arriva a un NAS, quasi certamente lo cifrerà rendendo il backup inaccessibile. Evitare questo problema è facile: usare il cloud!

Il provider dei server dovrebbe offrire la possibilità di stoccare i backup delle macchine sul cloud. Questo significa che i backup non sono sempre raggiungibili dal server e quindi il software non è in grado di cifrarli.

Questo è lo standard del nostro servizio VPS. In caso di compromissione, infatti, è sufficiente ripristinare la macchina virtuale a uno stato antecedente tramite uno dei backup stoccati nel cloud.

Alternativamente, è possibile eseguire il backup on premise, ossia in locale, fisicamente in azienda. Tramite il servizio Acronis Backup si può eseguire un backup su un disco esterno non collegato alla rete.

Altra soluzione, ibrida delle precedenti, è quella di creare un backup tramite Acronis e di stoccarlo in cloud e non in locale. Si mantiene il vantaggio di avere un backup remoto che non sia collegato al server costantemente.

Prevenire gli attacchi

Infine, è corretto menzionare che è possibile adottare un’ulteriore soluzione, quella precauzionale. Con l’uso del nostro servizio SOC e grazie all’utilizzo di sistemi di analisi di ultima generazione, è possibile individuare immediatamente un malware o un attacco ransowmare e bloccarlo prima che faccia danni.

Sia che si tratti di adottare best practice per il backup e stoccarli in remoto, sia che si adotti un SOC per proteggere questo aspetto e molti altri in ambito di IT security, SOD è disponibile per discutere la situazione e trovare una soluzione su misura per le esigenze della tua azienda.

Contattaci per chiedere informazioni, saremo lieti di rispondere a ogni domanda.

Link utili:

Alternativa al NAS

Cos’è la Cyber Security? Definizione e proposte

Ransomware a doppia estorsione: Cosa sono e come difendersi

Evitare il Ransomware: ecco perché è meglio non correre alcun rischio

Monitoring SIEM Analisi dati

Estimated reading time: 7 minutes

Poiché il panorama delle minacce alla sicurezza informatica diventa sempre più sofisticato, i fornitori di servizi, come SOD, devono prendere ulteriori precauzioni per proteggere le reti dei loro clienti. Un sistema di gestione delle informazioni e monitoring SIEM è una scelta eccellente sotto questo aspetto.

Questo sistema, infatti, aiuta a mitigare le minacce alla sicurezza informatica da due diverse angolazioni, il tutto da una singola interfaccia. Il sistema di monitoring SIEM raccoglie informazioni da più fonti: dati di rete, feed di informazioni sulle minacce, normative di conformità, firewall, ecc. Successivamente, utilizza tali dati per alimentare le funzionalità progettate per aiutare gli amministratori IT a rispondere agli eventi di minaccia in tempo reale.

Monitoring SIEM Raccolta dati

Vantaggi del monitoring SIEM

In contrasto con i singoli sistemi di controllo della sicurezza come la gestione delle risorse o il rilevamento delle intrusioni di rete, il SIEM consente di scavare più a fondo nelle vulnerabilità della sicurezza unificando le informazioni provenienti da vari sistemi anche molto differenti e offrendo una visibilità senza precedenti sugli eventi che si verificano nel sistema.

SIEM non è un sistema di rilevamento delle minacce in sé e per sé, ma migliora gli strumenti di sicurezza già in uso, fornendo approfondimenti in tempo reale su cui lavorare. In particolare, SOD utilizza un Next Gen SIEM in un modello SOAR (Security Orchestration, Automation and Response) che comprende anche strumenti avanzati di analisi comportamentale (UEBA).

Se si inseriscono log file di alta qualità in uno strumento SIEM, si ricevono approfondimenti di alta qualità sulla sicurezza della rete. Queste informazioni possono aiutare a migliorare i protocolli di sicurezza della rete.

Sfortunatamente, molti amministratori trattano l’implementazione SIEM come una soluzione da impostare e poi dimenticare. Per sperimentare tutti i benefici della gestione delle informazioni e degli eventi di sicurezza, è necessario implementare una serie di best practice per ottimizzare la soluzione, a partire proprio dalla registrazione di sicurezza.

I log di un SIEM

Come si inserisce il monitoring della sicurezza nelle best practice di implementazione del SIEM? Se si analizza il SIEM nei suoi componenti principali, si tratta di un sistema di gestione dei log.

Tutte le informazioni che uno strumento SIEM raccoglie sono sotto forma di log, o registrazioni di eventi che si verificano all’interno dell’infrastruttura IT e della rete di un’organizzazione.

Esempi di log raccolti da SIEM includono, ma non sono limitati a: Firewall, router, punti di accesso wireless, rapporti di vulnerabilità, informazioni sui partner, antivirus e antimalware.

Tuttavia, poiché gli strumenti SIEM hanno una portata molto ampia e raccolgono costantemente dati di log da ogni parte del sistema, possono essere un po’ complicati e poco pratici da implementare. Le best practice SIEM aiutano ad evitare i punti dolenti lungo la linea operativa. In questo modo si usa il SIEM nella maniera più efficace possibile fin dall’inizio.

Monitoring SIEM Analisi dati

Best practice

1. Iniziare con calma

L’errore più comune che si commette nell’implementazione del monitoring SIEM è cercare di fare troppo e troppo presto. Prima ancora di iniziare a cercare una soluzione SIEM, infatti, è meglio definire la portata dell’implementazione SIEM e pensare a ciò che si vuole che il SIEM faccia per la rete e l’infrastruttura.

Si inizia isolando gli obiettivi, facendo il punto sui protocolli di sicurezza esistenti e facendo un brainstorming su come questi protocolli si inseriscono nella futura implementazione SIEM. È anche possibile segmentare tutto ciò che si vuole monitorare in gruppi e definire come si vuole monitorarli. Questo aiuta a garantire di avere un piano preciso per la registrazione dei log.

Una volta che si è svolta una prima pianificazione, non bisogna ancora implementare il sistema SIEM nell’intera infrastruttura IT. È meglio infatti procedere in modo frammentario.

Si dovrebbe, quindi, testare la soluzione di monitoring SIEM su una piccola sezione del sistema, per verificare come funziona. Solo successivamente, si identificano le vulnerabilità chiave della sicurezza che dovrebbero essere affrontate immediatamente e si procede con l’implementazione nei segmenti successivi.

Impostare un monitoring SIEM poco alla volta, piuttosto che lanciare tutto subito, aiuterà a garantire che la raccolta di log funzioni in armonia con il resto della sezione IT.

2. Pensare ai requisiti

Il monitoring SIEM può aiutare l’azienda a dimostrare la conformità con i regolamenti e gli audit di sicurezza, ma solo sapendo quali sono questi standard in anticipo. Prima di impegnarvi in un sistema SIEM, si crea un elenco di HIPAA, GDPR, HITECH e qualsiasi altra normativa IT che è necessario rispettare. L’elenco viene poi usato per confrontare le normative richieste con le soluzioni che si mettono in pratica.

Non solo questo restringe la lista degli standard, ma costringerà a considerare la quantità di dati di log di cui si ha effettivamente bisogno. Tenere la quantità più corretta per essere conformi, si allinea anche con le best practice di registrazione e monitoraggio SIEM.

Ovviamente, le soluzioni e protocolli da seguire non sono uguali per tutti e necessitano di un adattamento in base alla posizione della singola azienda. Per questo particolare aspetto, SOD può aiutare la tua azienda sia in fase di raccolta delle informazioni necessarie per individuare a quali standard attenersi, sia nella verifica degli standard una volta implementati.

3. Sistemare le correlazioni

La correlazione SIEM ottimizza la sua implementazione, consentendo di configurare il sistema in base alle esigenze specifiche dei loro clienti. SIEM funziona raccogliendo dati da più fonti e poi filtrandoli, analizzandoli e correlandoli per determinare se meritino di essere segnalati come un allarme per la sicurezza.

Per questo è indispensabile correlare le regole e impostare soglie di allarme in base al tipo di dati e alla loro provenienza. È importante ricordare, infatti, che il SIEM è progettato per trovare connessioni tra gli eventi che non sarebbero altrimenti correlati tra loro.

Impostare un sistema di monitoring SIEM è un’operazione delicata ma fondamentale per migliorare il sistema di sicurezza per una determinata azienda.

4. Raccogliere i dati in modo efficiente

Attraverso un sistema di monitoring SIEM è possibile raccogliere una mole tale di dati che potrebbe diventare complicata da gestire. Diventa importante scegliere in modo equilibrato quali dati usare in modo tale da ottimizzarne la giusta quantità senza perdere il vantaggio di avere sotto controllo l’intero sistema.

Tra i dati che è meglio non tralasciare ci sono: Autorizzazioni riuscite e tentativi falliti, modifiche ai privilegi dell’utente, errori delle applicazioni e problemi di prestazioni, opt-in e in generale tutte le azioni fatte da utenti con privilegi amministrativi.

Vengono esclusi, invece: informazioni la cui raccolta è illegale, informazioni bancarie o dati di carte di credito, chiavi di crittografia, password e dati personali.

5. Avere un piano in caso di minaccia rilevata

Scegliere la giusta soluzione SIEM e impiegare le best practice di registrazione dei log è solo una parte del lavoro. È necessario avere un piano di azione in caso di cyber threat.

Per l’azienda che si affida a un MSSP come SOD, questo significa assicurarsi che il monitoring sia solo la prima parte del servizio erogato. Idealmente il monitoring SIEM è il primo tassello di un SOAR ben architettato che mette in campo operatori professionisti, notifiche di allerta e un recovery plan in accordo con il tipo di dati messi a rischio.

Sotto questo aspetto, il SOC as a Service che offriamo copre gran parte delle evenienze.

Monitoring SIEM Analisi dati

Conclusioni

Il monitoring è parte fondamentale del sistema di sicurezza aziendale e un SIEM è uno dei modi in cui metterlo in pratica. Non ci si deve però fermare alla raccolta di informazioni, bisogna saperle trattare, arricchire e analizzare.

SOD offre servizi completi che implementano sistemi di monitoring SIEM. La messa in opera implica, ovviamente, una “calibrazione” dei sistemi e delle correlazioni tra i dati in modo da offrire sempre la soluzione più adatta.

Se volessi ulteriori informazioni sui nostri prodotti, non esitare a contattarci, saremo lieti di rispondere alle tue domande.

Link utili:

Progetti di Secure Online Desktop

Cyber Threat Intelligence (CTI) – maggiore efficacia per la sicurezza IT

Cos’è la Cyber Security? Definizione e proposte

cyber threat hunting IT specialist

Tempo di lettura stimato: 6 minuti

La Cyber Threat Hunting è una ricerca proattiva della sicurezza attraverso reti, endpoint e set di dati per dare la caccia alle attività dannose, sospette o rischiose che sono sfuggite al rilevamento da parte degli strumenti esistenti.

Definizione

C’è una distinzione tra il rilevamento delle minacce informatiche e la cyber threat hunting. Il rilevamento delle minacce è un approccio passivo al monitoraggio dei dati e dei sistemi per individuare potenziali problemi per la sicurezza. È comunque una necessità e può aiutare un threat hunter (il cacciatore di minacce). Invece, le tattiche proattive di threat hunting si sono evolute per utilizzare nuove informazioni sulle minacce su dati precedentemente raccolti per identificare e classificare i potenziali rischi prima dell’attacco.

Il personale di sicurezza non può permettersi di credere che il proprio sistema di sicurezza sia impenetrabile. Deve rimanere sempre vigile per la prossima minaccia o vulnerabilità. Piuttosto che sedersi e aspettare che le minacce colpiscano, la cyber threat hunting sviluppa ipotesi basate sulla conoscenza dei comportamenti degli attori delle minacce e sulla convalida di tali ipotesi attraverso ricerche attive nell’ambiente.

Con la threat hunting, un esperto non parte da un allarme o da indicatori di compromissione (IOC), ma da un ragionamento più profondo. In molti casi gli sforzi dello threat hunter creano e concretizzano l’allarme o l’IOC.

Questo presuppone aggressivamente che si sia verificata o si verificherà una violazione nell’azienda. Gli addetti alla sicurezza danno la caccia alle minacce nel loro ambiente piuttosto che affidarsi ad automatismi.

cyber threat hunting hardware

Pratica di threat hunting

Per le aziende che sono pronte ad assumere un approccio più proattivo alla sicurezza informatica, che tenta di fermare gli attacchi prima che diventino troppo profondi, aggiungere protocolli di threat hunting al loro programma di sicurezza è il passo logico successivo.

Dopo aver consolidato la sicurezza degli endpoint e le strategie di risposta agli incidenti per mitigare gli attacchi di malware noti ormai inevitabili, le aziende possono iniziare a passare all’offensiva. Questo significa scavare in profondità e trovare ciò che non è stato ancora rilevato. Proprio questo è lo scopo della cyber threat hunting.

Come detto in precedenza, lo threat hunting è una tattica aggressiva che parte dalla premessa del “presupposto della violazione”. Gli aggressori sono già all’interno della rete di un’organizzazione e stanno segretamente monitorando e muovendosi in essa.

Questo può sembrare inverosimile, ma in realtà, gli aggressori possono essere all’interno di una rete per giorni, settimane e persino mesi. Nel frattempo preparano ed eseguono attacchi come minacce persistenti avanzate, senza che nessuna difesa automatica rilevi la loro presenza. Lo cyber threat hunting ferma questi attacchi cercando indicatori occulti di compromissione (IOC) in modo che possano essere mitigati prima che gli attacchi raggiungano i loro obiettivi.

cyber threat hunting Monitor

Gli elementi chiave di un threat hunting

L’obiettivo della caccia alle minacce è quello di monitorare le attività quotidiane e il traffico attraverso la rete e indagare sulle possibili anomalie per trovare qualsiasi attività dannosa ancora da scoprire che potrebbe portare a una violazione completa. Per raggiungere questo livello di rilevamento proattivo, la caccia alle minacce incorpora quattro componenti ugualmente importanti.

1. Metodologia

Per avere successo nella caccia alle minacce, le aziende devono impegnarsi in un approccio proattivo e a tempo pieno che sia continuo e in continua evoluzione. Invece, un’implementazione reattiva, ad hoc, “quando abbiamo tempo“, sarà autolesionista e porterà solo a risultati minimi.

2. Tecnologia

La maggior parte delle aziende dispone già di soluzioni di sicurezza endpoint complete con rilevamento automatico. Lo threat hunting funziona in aggiunta a queste e aggiunge tecnologie avanzate. Il fine è quello di trovare anomalie, modelli insoliti e altre tracce di aggressori che non dovrebbero essere nei sistemi e nei file.

Le nuove piattaforme di protezione degli endpoint (EPP) cloud-native che sfruttano l’analisi dei big data possono catturare e analizzare grandi volumi di dati non filtrati sugli endpoint, mentre l’analisi comportamentale e l’intelligenza artificiale possono fornire un’ampia visibilità ad alta velocità sui comportamenti dannosi che all’inizio sembrano normali.

3. Personale altamente qualificato e dedicato

I threat hunter, o cacciatori di minacce alla sicurezza informatica, sono una razza a sé stante. Questi esperti sanno come utilizzare la tecnologia di sicurezza messa in campo dalle aziende. Inoltre, combinano anche l’aspirazione di passare all’offensiva con capacità intuitive di problem-solving per scoprire e mitigare le minacce nascoste.

4. Threat intelligence

Avere accesso all’intelligence globale basata su prove da parte di esperti di tutto il mondo (per esempio Mitre Att&ck) migliora e accelera ulteriormente la caccia alle minacce già esistenti. I cacciatori sono aiutati da informazioni come le classificazioni degli attacchi per l’identificazione di malware e gruppi di minacce, così come gli indicatori avanzati delle minacce.

cyber threat hunting hacker manifesto

Le abilità di un threat hunter

Il Threat Hunting Report di Crowd Research Partners conferma l’importanza di determinate capacità per il threat hunting. Quando è stato chiesto di classificare la capacità più importante, il sondaggio ha rilevato che:

Il 69% ha scelto l’intelligence delle minacce
Il 57% ha scelto l’analisi del comportamento
Il 56% ha scelto il rilevamento automatico
il 54% ha scelto l’apprendimento automatico e l’analisi automatizzata

ITC analyst al telefono

Il profilo di un threat hunter

I cacciatori di minacce (threat hunter) cercano gli aggressori che riescono ad entrare attraverso vulnerabilità che un’azienda potrebbe non sapere nemmeno che esistono. Questi aggressori passano una quantità considerevole di tempo a pianificare ed eseguire la ricognizione, agendo solo quando sanno di poter penetrare con successo nella rete senza preavviso. Inoltre, inseriscono e costruiscono malware che non sono ancora stati riconosciuti oppure usano tecniche che non si basano affatto sui malware, per dotarsi di una base persistente da cui attaccare.

Cosa serve per superare in astuzia anche gli aggressori più intelligenti?

Un cyber threat hunter è implacabile e in grado di trovare anche la più piccola traccia di ciò che gli aggressori si sono lasciati dietro di sé. In generale, i cacciatori di minacce utilizzano le loro abilità per azzerare i piccoli cambiamenti che si verificano quando gli aggressori fanno le loro mosse all’interno di un sistema o di un file.

I migliori cacciatori di minacce si affidano al loro istinto per fiutare le mosse furtive dell’aggressore più pericoloso.

Sei un threat hunter? Contattaci!

SOD è alla ricerca di un analista SOC/ICT da aggiungere al team. Se pensi di essere la persona giusta, visita questa pagina per visualizzare l’annuncio di lavoro dettagliato.

Link utili:

Cyber Threat Intelligence (CTI) – maggiore efficacia per la sicurezza IT

Cos’è la Cyber Security? Definizione e proposte

La minaccia del ransomware DDoS

Cyber Security Cover

Estimated reading time: 6 minutes

La Cyber Security è la pratica di difendere computer, server, dispositivi mobili, sistemi elettronici, reti e dati da attacchi maligni. È anche conosciuta come Information Technology Security e Electronic Information Security. Il termine si applica in una grande varietà di contesti, dal business al mobile computing e può essere diviso in alcune categorie comuni.

Possiamo dividere la cyber security in diverse aree di interesse che elenco qui di seguito brevemente. In quasi ogni situazione elencata, SOD dispone di un servizio dedicato.

Aree di interesse della Cyber Security

La network security è la pratica di proteggere una rete di computer dagli intrusi, sia che si tratti di aggressioni mirate o di malware generici.

L’application security si concentra sul mantenere il software e i dispositivi liberi da minacce. Un’applicazione compromessa potrebbe fornire l’accesso ai dati che è stata progettata per proteggere. Una sicurezza solida inizia nella fase di progettazione, ben prima che un programma o un dispositivo venga distribuito. Per questo l’analisi del codice di un’app è essenziale prima che venga rilasciata.

L’operational security include i processi e le decisioni nella gestione e protezione delle risorse e dei dati. I permessi che gli utenti hanno quando accedono a una rete e le procedure che determinano come e dove i dati possono essere memorizzati o condivisi rientrano tutti in questo ambito.

Disaster recovery e business continuity definiscono come un’organizzazione sia in grado di rispondere a un incidente che riguarda la cyber security o a qualsiasi altro evento che causi la perdita di dati. Le politiche di disaster recovery dettano come l’organizzazione ripristina le sue operazioni e informazioni per tornare alla stessa capacità operativa di prima dell’evento. La continuità del business è il piano a cui l’organizzazione ricorre mentre cerca di operare senza certe risorse.

Cyber Security Laptop

La parte umana della cyber security

L’educazione dell’utente finale affronta il fattore più imprevedibile della sicurezza informatica: le persone. Chiunque può accidentalmente introdurre un virus in un sistema altrimenti sicuro non seguendo le best practice per la sicurezza. Per esempio, insegnare agli utenti a cancellare gli allegati di posta elettronica sospetti e a non inserire unità USB non identificate è vitale per la sicurezza di qualsiasi organizzazione.

In quest’area, particolare rilievo va dato alle truffe, al phishing e in generale all’ingegneria sociale, che fa leva sull’elemento solitamente più debole del sistema informatico: l’operatore.

La portata delle cyber threat

La minaccia informatica (cyber threat) globale continua ad evolversi ad un ritmo rapido, con un numero crescente di violazioni dei dati ogni anno. Un rapporto di RiskBased Security ha rivelato che 7,9 miliardi di documenti sono stati esposti a violazioni di dati nei primi nove mesi del 2019. Questa cifra è più del doppio (112%) del numero di documenti esposti nello stesso periodo l’anno precedente.

I servizi medici, i rivenditori e gli enti pubblici hanno sperimentato il maggior numero di violazioni, con criminali malintenzionati responsabili della maggior parte degli incidenti. Alcuni di questi settori sono più attraenti per i criminali informatici perché raccolgono dati finanziari e medici, ma tutte le aziende che utilizzano le reti possono essere prese di mira per i dati dei loro clienti, lo spionaggio aziendale o per attaccare i clienti.

Cosa fanno i governi

Con la scala della minaccia cibernetica destinata a continuare a crescere, l’International Data Corporation prevede che la spesa mondiale per le soluzioni di cyber security raggiungerà una cifra record di $133,7 miliardi entro il 2022. I governi di tutto il mondo hanno risposto alla crescente minaccia informatica con una guida per aiutare le organizzazioni a implementare pratiche efficaci di sicurezza informatica.

Negli Stati Uniti, il National Institute of Standards and Technology (NIST) ha creato un cyber security framework, per combattere la proliferazione del codice malware e aiutare il rilevamento preventivo. Il framework raccomanda il monitoraggio continuo e in tempo reale di tutte le risorse elettroniche.

L’importanza del monitoraggio del sistema è ripresa nei “10 passi verso la sicurezza informatica“, una guida fornita dal National Cyber Security Centre del governo britannico. In Australia, l’Australian Cyber Security Centre (ACSC) pubblica regolarmente una guida su come le organizzazioni possono contrastare le ultime minacce alla sicurezza informatica.

In Italia abbiamo il framework nazionale per la cyber security che fornisce tutorial, guide e norme europee in fatto di sicurezza informatica.

MSSP e servizi per la cyber security

Un Managed Security Service Provider (MSSP) fornisce monitoraggio e gestione in outsourcing per dispositivi e sistemi di sicurezza. In pratica si occupa di tutte le misure di cyber security per l’azienda che ne richiede i servizi.

SOD è un MSSP e i servizi offerti includono protezione e monitoring di diversi settori del reparto IT aziendale.

I nostri servizi di verifica includono test di vulnerabilità e di penetrazione, così come l’analisi delle procedure di sicurezza. Con il servizio SOC as a Service mettiamo a disposizione le potenzialità di un Security Operation Center sollevando l’azienda dai costi di installazione e gestione. Il SOC adotta tecnologie di ultima generazione come SIEM Next Gen e UEBA, che introducono l’analisi da parte di una IA per il motoring dei log e degli utenti.

SOD utilizza centri operativi di sicurezza per fornire servizi 24/7 progettati per ridurre il numero di personale operativo che un’azienda deve gestire, garantendo comunque livelli di cyber security eccellenti.

Ma i fronti di difesa non si devono fermare al software e alle macchine, devono includere anche l’elemento più imprevedibile: l’utente finale. Ecco perché nella nostra offerta per le aziende si trovano anche servizi people-oriented, come vedremo tra poco.

Cyber Security Hacker

Protezione dell’utente finale

La protezione dell’utente finale è un aspetto cruciale della cyber security. Dopo tutto, è spesso l’utente finale che accidentalmente carica un malware o un’altra forma di minaccia informatica sul proprio dispositivo.

Come suggerito prima, i protocolli di sicurezza messi in piedi da SOD analizzano i software in tempo reale. Attraverso sistemi di analisi comportamentale possiamo monitorare sia il comportamento di un software che dell’utente. Nel caso di un attacco basato sul lateral movement, per esempio, accessi e richieste anomale da parte di un utente possono essere indicatori di un attacco in corso.

Ma non ci fermiamo a questo, possiamo mettere alla prova l’azienda contro tecniche di ingegneria sociale, phishing e manomissione fisica. Grazie ai servizi di ethical hacking e conseguente report, siamo in grado di individuare i punti deboli dell’azienda e suggerire strategie efficaci per mitigare i rischi. Nel caso del phishing, organizziamo anche formazione ad hoc in base alle debolezze evidenziate dal report.

Tramite il servizio di sicurezza fisica, in aggiunta ai servizi di test delle vulnerabilità informatiche, ci mettiamo nei panni dei malintenzionati e proviamo a portare a termine attacchi fisici. Per esempio, cerchiamo di entrare negli edifici aziendali che dovrebbero essere protetti, cerchiamo di raggiungere le infrastrutture di rete e installare hardware potenzialmente dannosi, etc.

Grazie a un team di hacker etici e operatori formati e preparati, testiamo ogni aspetto di cyber security prima che un rischio diventi un problema.

Se vuoi maggiori informazioni riguardo ai nostri servizi o hai delle domande, non esitare a contattarci.

Link utili:

La minaccia del ransomware DDos

Cyber Threat Intelligence (CTI)

Vulnerability Assessment & Penetration Test

Mobile App Penetration Test & Code Review

Ethical Phishing

VPN Aziendali e navigazione internet sicura

Tecniche spammer cover

Estimated reading time: 9 minutes

Lo spam sembra arrivare ad ogni singolo account di posta elettronica che usiamo, non importa quanto siamo attenti o quale sia il provider dell’indirizzo. Come fanno gli spammer ad avere tutti i nostri indirizzi e-mail? Possiamo fare qualcosa per nascondere il nostro indirizzo e-mail alle più comuni tecniche spammer?

Sfortunatamente, non c’è molto che tu possa fare per evitare che gli spammer ti bombardino di email. Ci sono alcuni consigli che ti aiuteranno a proteggerti, ma gli spammer probabilmente troveranno il tuo indirizzo e-mail comunque.

Il problema non è tanto il messaggio di pubblicità indesiderato, quanto piuttosto cosa comporta il fatto che tu abbia ricevuto un messaggio. Come hai reagito? Lo hai cancellato? Hai cliccato su qualche link? Lo hai flaggato come spam? Ogni azione potrebbe portare informazioni utili agli attaccanti senza che tu te ne accorga.

Vediamoci più chiaro e partiamo da una domanda: dove gli spammer trovano le nostre e-mail?

Tecniche spammer per il recupero degli indirizzi e-mail

Nessuno fornisce la propria e-mail a un sito web e si aspetta che finisca nelle mani di un truffatore. Eppure non è raro che qualcuno trovi la propria casella di posta piena di email di spam non richieste.

Database rubati

La più semplice tra le tecniche usate dagli spammer per raccogliere grandi liste di indirizzi e-mail attivi è attraverso database di account trafugati. Questi furti di password accadono con spaventosa regolarità. Compagnie come Adobe, LinkedIn, eHarmony, Gawker, Last.fm, Yahoo!, Snapchat e Sony sono state tutte compromesse negli ultimi anni.

I database trapelati sono normalmente considerati una minaccia alla sicurezza perché spesso mostrano nomi di account e password. Tuttavia, generalmente mostrano anche gli indirizzi e-mail. Gli spammer possono scaricare questi database trapelati e aggiungere i milioni di indirizzi e-mail alle loro liste. Gli spammer sanno che la maggior parte di questi indirizzi e-mail dovrebbe essere attiva, quindi questi database sono eccellenti per loro.

Questo è probabilmente il modo in cui la maggior parte degli spammer sta trovando indirizzi e-mail per inviare spam. Non c’è davvero molto che tu possa fare per proteggerti da uno spammer che ottiene il tuo indirizzo in questo modo.

Un sito come Have I been pwned? può dirti se le informazioni del tuo account potrebbero essere state diffuse.

Puoi proteggerti dal furto di password utilizzandone di diverse, purtroppo però, devi utilizzare sempre lo stesso indirizzo email ovunque, sarebbe impensabile avere un indirizzo per ogni servizio usato.

Se ricevi email di spam, dovresti evitare di cliccare sui link nell’email. Se trovi un link “Unsubscribe” in un’e-mail da un’azienda legittima, è probabilmente sicuro cliccarlo. Un’azienda reale non vuole spammare e potenzialmente incorrere nelle leggi anti-spam, quindi ti rimuoverà semplicemente dalla sua lista.

Tuttavia, se vedi un link “Unsubscribe” (o, peggio ancora, un link “Buy Now!”) in un’e-mail che sembra molto poco professionale e truffaldina, lo spammer non ti rimuoverà necessariamente dalle sue liste.

Qui le cose si fanno più complesse. Noteranno il tuo clic e i loro sistemi identificheranno il tuo indirizzo email come attivo. Sanno che sei lì, e potresti vedere quantità maggiori di spam dopo aver cliccato il link.

Lo stesso vale per il caricamento delle immagini nelle e-mail di spam. Non cliccare sul pulsante “Carica immagini”, o gli spammer sapranno che hai aperto l’e-mail. Anche se non vedi un’immagine nel messaggio, potrebbe esserci un piccolo pixel di tracciamento che permette allo spammer di identificarti se carichi la risorsa.

Questo è il motivo per cui la maggior parte dei client di posta elettronica non carica automaticamente le immagini.

Tecniche spammer posta elettronica

E-mail scraping, cercare e-mail in chiaro nella rete

Un’altra tecnica spammer per recuperare indirizzi dalla rete, è quella di raschiarle (scraping) dai dati in chiaro in rete. Ci sono in giro dei software che leggono i file in rete e trovano quelli che contengono e-mail e se le salvano. Un po’ come fanno i crawler di Google quando scansionano un sito, ma con intenti malevoli.

Ti sarà capitato di leggere un commento in cui qualcuno lascia il proprio indirizzo per essere contattato. Il bot che scansiona la rete salverà indirizzi simili.

Lo spammer aggiunge questo indirizzo alle sue liste di spam et voilà, lo spam è servito. Questo è il motivo per cui eBay fornisce un indirizzo email temporaneo dove puoi essere raggiunto piuttosto che includere il tuo vero indirizzo email. Questa tecnica è probabilmente meno comune ora che gli spammer hanno dei database di account trapelati enormi con cui lavorare.

Gli spammer possono anche cercare di acquisire indirizzi email validi curiosando in altri posti che sono pubblicamente disponibili, come i record whois per un dominio. Questi record mostrano un indirizzo email associato alla persona o all’organizzazione che ha registrato il nome del dominio.

Tecniche spammer e-mail

Acquisto di indirizzi e-mail

Un’altra tecnica spammer, decisamente per hacker pigri, è quella di acquistare indirizzi da banche dati che li mettono a disposizione.

Persone senza scrupoli vendono liste di e-mail agli spammer per un basso prezzo. Questi indirizzi erano spesso distribuiti su CD in passato, e potrebbero esserlo ancora, ma i database di account trapelati hanno probabilmente eliminato un po’ di interesse per questo mercato.

Gli spammer possono anche semplicemente scambiarsi le loro liste di indirizzi tra loro, assicurandosi che altri malintenzionati mettano le mani sul tuo indirizzo, una volta che accade la prima volta.

Sia chiaro che questa tecnica non è del tutto illegale. Quando ci iscriviamo ad un servizio, spesso abbiamo la possibilità di fornire il nostro indirizzo e-mail a terzi per scopi pubblicitari. Alcuni utenti accettano senza rifletterci e senza verificare se sia un obbligo per sottoscrivere il servizio o no.

Mi è personalmente successo di venire contatto da una persona che, senza intento di spam, ma per fare numero, aveva acquistato il mio indirizzo da un’agenzia di rivendita di contatti, suddivisi per aree di interesse. Se fosse stato uno spammer, avrebbe potuto usare un servizio simile.

Come proteggere il proprio indirizzo

Gli spammer possono anche ottenere indirizzi e-mail in altri modi ma i metodi elencati qui sopra sono alcuni dei più comuni.

Non c’è molto che tu possa fare per evitare che il tuo indirizzo e-mail venga diffuso e riceva spam.

  • – puoi evitare di mettere il tuo indirizzo e-mail sul web in forma di testo semplice
  • – non cliccare mai su un link
  • – non caricare un’immagine in una email sospetta.

Tuttavia, il tuo indirizzo finirà quasi sicuramente nell mani di uno spammer, ad un certo punto.

In realtà, non bisogna preoccuparsi tanto che l’indirizzo sia in circolazione, quanto piuttosto su come viene usato l’indirizzo, soprattutto se attivo.

Tecniche spammer di uso degli indirizzi

Una volta che un truffatore ottiene il tuo indirizzo e-mail, è molto probabile che lo userà per avvantaggiarsi in ogni modo possibile. Più è bravo, maggiori saranno i rischi.

Molti ti invieranno email di spam, con la speranza di raccogliere informazioni private come i numeri delle carte di credito. Cercheranno di ingannarti facendoti credere di aver vinto qualcosa, o che hanno un articolo vantaggioso in vendita. Gli hacker potrebbero anche usare la tua email per rubarti l’identità e mandare messaggi ai tuoi contatti. Ricordi le tecniche di Zombie Phishing?

Altri truffatori useranno le tue informazioni personali per cercare di accedere ai tuoi altri account. La maggior parte delle persone riutilizza le stesse password per diversi account, il che significa che gli hacker che hanno accesso a un account possono facilmente infiltrarsi negli altri.

Questo è il motivo per cui usare password uguali in giro per il web è sconsigliatissimo e per niente sicuro.

Creare botnet

Uno dei motivi per cui non dovresti mai interagire attivamente con i messaggi di spam è che le interazioni mandano agli hacker un’importante informazione: l’indirizzo è attivo, qualcuno lo usa sul proprio dispositivo.

Un indirizzo attivo, una volta che viene individuato, è un bersaglio perfetto per attacchi più specifici di phishing, e poiché tutti gli indirizzi sono a rischio, anche quelli aziendali, dal phishing si può facilmente arrivare a un ransomware a doppia estorsione.

In quest’ultimo caso, la minaccia di un attacco DDoS potrebbe arrivare dalla già citata tecnica dello zombie phishing, e potrebbe tutto essere partito da qualche messaggio di spam.

I computer che praticamente invieranno le richieste al server per eseguire il DDoS attack potrebbero essi stessi essere parte di una botnet creata a seguito di tecniche usate dagli spammer.

Tecniche spammer malware

Fenomenologia di un attacco

Come prima tecnica spammer, vengono recuperati degli indirizzi aziendali. Questo può avvenire tramite scraping o acquisto di database nel dark web. Successivamente, per verificare quali indirizzi siano attivi, vengono inviate un paio di campagne di spam. Niente di dannoso, delle finte newsletter con un evidente messaggio Unsubscribe, oppure un pixel di tracciamento.

Nota: un pixel di tracciamento è solitamente un’immagine trasparente molto piccola che viene caricata da un server remoto. Basterà verificare quante volte è stata scaricata e da chi per capire quali indirizzi siano attivi e quali no.

Come risultato, il database di contatti si sarà ridotto a una lista di indirizzi attivi, in cui gli utenti sono stati abbastanza disattenti da cliccare su un link da una mail sospetta.

Infine, a questi indirizzi selezionati, viene inviato un vero e proprio messaggio di phishing contenente un malware oppure una richiesta di intervento su una pagina web apparentemente legittima. Per esempio, la richiesta di reset delle proprie credenziali tramite il link allegato.

L’ignaro utente, pensando di stare facendo una cosa sicura, segue il link, inserisce le credenziali regalandole di fatto allo spammer. A questo punto l’attaccante ha ottenuto accesso a un account. Da quel momento i rischi sono molti di più e molto più dannosi.

Tecniche spammer phishing

Come difendersi dalle tecniche spammer

Facciamo qualche passo indietro. Tutta la catena di eventi che ha portato l’hacker ad ottenere l’accesso ad un account importante è passato attraverso lo spam e messaggi di phishing.

Ethical Phishing

In alcuni dei passaggi, l’attacco si sarebbe potuto evitare. L’abilità di riconoscere un messaggio sospetto e quindi ignorarlo, è la prima arma a disposizione di un utente. SOD può aiutare la vostra azienda in questo.

Tramite un servizio di ethical phishing, testiamo prima di tutto la resilienza degli utenti. Una volta individuati gli eventuali punti deboli, viene costruito un percorso formativo ad hoc per fornire gli adeguati strumenti di difesa proattiva a tutti i dipendenti.

SOC as a Service

Non sempre essere utenti consapevoli è sufficiente, e un errore di distrazione potrebbe costare moltissimo ad un’azienda che tratta dati sensibili. Per questo, possiamo mettere in campo anche un servizio SOCaaS per la mitigazione del rischio e del danno in seguito ad un attacco.

In questo scenario, un sistema formato da SIEM di nuova generazione e protocolli UEBA implementati da una intelligenza artificiale, monitorano la rete in cerca di ogni anomalia. Ogni comportamento sospetto è individuato e analizzato da tecnici per verificare se possa diventare effettivamente una minaccia oppure no.

Se vuoi avere maggiori informazioni in merito a come SOD può aiutarti ad alzare il livello di sicurezza informatica della tua azienda, non esitare a contattarci.

Zombie Phishing protezione

Estimated reading time: 6 minutes

Dal nulla, qualcuno risponde a una conversazione email datata mesi fa. Si tratta di una conversazione vera che è realmente accaduta. Forse riguarda una riunione, un’opportunità di lavoro. Questa email sembra molto rilevante, ma attenzione, potrebbe essere zombie phishing.

Infatti, qualcosa non va, l’argomento discusso è passato da mesi e ora c’è uno strano messaggio di errore nel corpo della mail. Questa è una tattica subdola: far rivivere una conversazione via email morta da tempo.

Non il solito phishing

Il Cofense™ Phishing Defense Center™ (PDC) ha individuato nel 2018 una vasta campagna di Zombie Phishing. La truffa, come quasi ogni attacco di phishing, viene realizzata attraverso account di posta elettronica compromessi.

I truffatori si impadroniscono di un account email e rispondono a conversazioni già chiuse da tempo con un link di phishing o un allegato dannoso (per esempio malware o un keylogger). Dato che l’oggetto dell’email è solitamente rilevante per la vittima, è molto probabile che si verifichi un clic guidato dalla curiosità. Non scordiamoci, infatti, che la conversazione originale era già presente tra i messaggi ricevuti, è facile pensare che si tratti di un follow up o simili.

Questi attacchi di Zombie Phishing sembrano utilizzare URL di infezione generati automaticamente per eludere il rilevamento. Non ci sono due link uguali, inoltre, sono nascosti dietro messaggi di “errore” senza troppi fronzoli nel corpo del messaggio. Questo scenario fornendo uno schema di apparente legittimità per gli utenti che ne sono vittime.

Gli zombie in informatica

Nel settore informatico, uno zombie è un computer compromesso connesso alla rete. Lo stato di compromissione potrebbe essere dovuto a un hacker, un virus, un malware o un trojan horse.

La macchina infetta esegue compiti dannosi sotto una direzione remota. Le botnet di computer zombie sono spesso utilizzate per diffondere spam e-mail e lanciare attacchi di tipo denial-of-service (DoS).

Tipi di attacco

Ecco alcuni modelli osservati di Zombie Phishing che trasportano link dannosi. Un fattore distintivo era l’uso di due template grafici distinti contenenti messaggi di errore con pulsante o link.

Il messaggio recita qualcosa tipo “Messaggio incompleto” o “Impossibilità di mostrare tutto il messaggio”. Il link o pulsante invita a cliccare per vedere il messaggio originale. Ovviamente il click comporta solo l’installazione di un malware o altri eventi simili. Da notare che non sono stati individuati due link uguali, segno che probabilmente a generare gli indirizzi era un bot.

Un altro fattore comune è l’utilizzo di domini con TLD .icu. Questo è probabilmente un fattore che col tempo varia sensibilmente. Ecco alcuni dei domini riscontrati nella prima analisi del 2018:

Zombie phishing - domini originali
Fonte immagine Cofence™

Si è osservato che questi attacchi zombie phishing utilizzano loghi organizzativi ufficiali per aggiungere legittimità alle false pagine di login. Una pratica comune nelle tecniche di phishing che abbiamo già visto in altri articoli.

Le pagine di destinazione sono progettate per sembrare un portale online legittimo, compreso di logo dell’azienda e persino una favicon. In questi casi l’obiettivo finale è il furto di credenziali della vittima.

Inoltre, qualsiasi vittima che visita il sito web dannoso viene “marcata” utilizzando l’indirizzo IP dell’host come identificatore e, dopo aver inserito le credenziali, viene indirizzata allo stesso sito web di spam visto da altre vittime. Questo avviene spesso tramite link offuscati utilizzando accorciatori di URL (come hxxps://href[.]li/).

Se lo stesso host tenta di visitare di nuovo il link di phishing, la finta pagina di login viene saltata e si viene inoltrati direttamente alla pagina di spam. Questa marcatura e l’offuscamento dell’URL shortener aiuta gli aggressori a mantenere un basso profilo e a continuare la loro campagna senza sosta.

Conversation Hijacking

Zombie Phishing  protezione

La tattica del conversation hijacking non è affatto nuova e sta ora vivendo una nuova vita grazie al zombie phishing . I truffatori hanno dirottato account di posta elettronica compromessi per distribuire malware ed email di phishing come risposte a conversazioni concluse da anni ormai.

Questa tecnica è ancora popolare perché rende le vittime molto più propense a cliccare su link e scaricare o aprire i file. La soglia di attenzione contro i classici attacchi di phishing è abbassata quando i messaggi sono portati all’interno di conversazioni già nella loro casella di posta.

Un esempio datato un paio d’anni di questo è stata la botnet Geodo. Sostanzialmente si tratta di inserimento in thread di posta elettronica esistenti (conversation hijacking) per consegnare documenti dannosi. Questi, a loro volta, scaricano un campione di Geodo o altri malware come Ursnif, che secondo il Key4Biz era il più diffuso in Italia a giugno 2020.

Tuttavia, l’efficacia di questa tattica può dipendere molto dal contenuto delle conversazioni. Una risposta a un’email pubblicitaria automatica ha meno probabilità di provocare un’infezione rispetto a una risposta a un thread di supporto help-desk.

Sono state diverse le campagne zombie phishing di Geodo consistenti in risposte a email pubblicitarie automatizzate. Questo è indice del fatto che, in alcuni casi, le campagne consistono in risposte indiscriminate a tutte le email in una casella di posta. Dato che il volume di queste campagne di conversation hijacking è ancora relativamente basso, la portata ridotta di queste email è probabilmente limitata dal numero di conversazioni in corso.

Alcuni tipi di account hanno quindi maggiori probabilità di attirare l’attenzione diretta degli attori delle minacce e di indurli a investire ulteriori sforzi e tempo nello sviluppo di campagne di phishing uniche per quegli account.

Difesa dal zombie phishing

Ecco alcuni suggerimenti veloci per evitare di perdere le credenziali per un attacco Zombie Phishing:

  • Attenzione ai soggetti delle email che possono sembrare rilevanti ma che provengono da vecchie conversazioni
  • Fate attenzione a un eventuale messaggio di errore nel corpo del messaggio
  • Non fidatevi dei documenti allegati solo perché stanno rispondendo a una conversazione
  • Passate il mouse sopra i pulsanti o i link nei messaggi sospetti per controllare che non contengano domini sospetti

È stato osservato che queste campagne sono diventate sempre più intelligenti. Per combattere questo e altre forme di phishing, la formazione dei dipendenti è fondamentale.

Una forza lavoro adeguatamente formata è ciò che serve per difendere la tua organizzazione contro gli attacchi di Zombie Phishing.

SOD offre un servizio completo a riguardo. Cominciamo attaccando in modo controllato l’azienda, testando eventuali debolezze nella sicurezza o nel comportamento dei dipendenti. Successivamente viene progettata una formazione specifica per rimediare alle lacune e formare in modo completo il personale.

Per mantenere alte le difese, inoltre, il nostro SOCaaS comprende l’analisi del comportamento degli utenti, dei log delle macchine collegate e della rete in modo da individuare immediatamente tentativi di phishing.

ingegneria sociale email

Estimated reading time: 10 minutes

Ingegneria sociale è il termine usato per una vasta gamma di attività dannose compiute attraverso le interazioni umane. Utilizza la manipolazione psicologica per indurre gli utenti a commettere errori di sicurezza o a fornire informazioni sensibili. In seguito, con quelle informazioni, l’hacker è in grado di portare a termine con successo attacchi mirati, come il furto di dati, un ransomware o un’interruzione di servizi.

Gli attacchi di ingegneria sociale avvengono solitamente in più fasi. L’esecutore prima indaga sulla vittima designata per raccogliere le informazioni di base necessarie, come i potenziali punti di ingresso e i protocolli di sicurezza deboli, necessari per procedere con l’attacco. Poi, l’attaccante si muove per guadagnare la fiducia della vittima e fornire stimoli per azioni successive che violano le pratiche di sicurezza, come rivelare informazioni sensibili o concedere l’accesso a risorse critiche.

Ciò che rende il social engineering particolarmente pericoloso è che si basa sull’errore umano, piuttosto che sulle vulnerabilità del software e dei sistemi operativi. Gli errori commessi dagli utenti legittimi sono molto meno prevedibili, il che li rende più difficili da identificare e contrastare rispetto a un’intrusione basata sul malware.

ingegneria sociale hacker con 2 pc

È da notare che il target di un ingegnere sociale non è per forza una rete o un software. Riuscire ad entrare in un edificio eludendo la sicurezza, per poi installare un dispositivo o rubare dei documenti, sono azioni che rientrano comunque sotto questa tipologia di attacchi.

Le tecniche dell’ingegneria sociale

Gli attacchi di ingegneria sociale si presentano in molte forme diverse e possono essere eseguiti ovunque sia coinvolta l’interazione umana. I seguenti sono cinque metodi più comuni di attacchi di ingegneria sociale digitale.

Baiting (dall’inglese bait, “esca”)

Come suggerisce il nome, gli attacchi di baiting utilizzano una falsa promessa (un esca, appunto) per stuzzicare l’avidità o la curiosità della vittima. Attirano gli utenti in una trappola che ruba le loro informazioni personali o installa sui loro sistemi un malware.

La forma più infame di baiting utilizza supporti fisici per disperdere il malware. Per esempio, gli aggressori lasciano l’esca (tipicamente chiavette infette) in aree appariscenti dove le potenziali vittime sono certe di vederle (ad esempio, bagni, ascensori, il parcheggio di un’azienda presa di mira). L’esca ha un aspetto legittimo, come un’etichetta che indica il contenuto, come la lista degli stipendi dell’azienda. L’indizio che rivela cosa dovrebbe contenere può cambiare, ovviamente, ma ha la prerogativa di essere potenzialmente molto interessante.

Le vittime raccolgono l’esca per curiosità e la inseriscono in un computer di lavoro o di casa, con conseguente installazione automatica di malware sul sistema.

Le truffe di adescamento non devono necessariamente essere eseguite nel mondo fisico. Le forme di baiting online consistono in annunci allettanti che portano a siti dannosi o che incoraggiano gli utenti a scaricare un’applicazione infetta da malware. Qui si sfocia nelle tecniche di phishing, che vedremo tra poco.

Note di difesa: per difendersi da questi attacchi di ingegneria sociale, oltre che prestare la massima attenzione a cosa si collega al proprio computer, non guasta avere un sistema di antivirus e anti-malware efficiente. Per l’azienda, un sistema SIEM di nuova generazione e UEBA aiutano nell’individuare comportamenti sospetti degli utenti e riducono moltissimo il rischio di infezione malware.

ingegneria sociale laptop

Scareware (dall’inglese to scare, “spaventare”)

Lo scareware consiste nel bombardare le vittime con falsi allarmi e minacce fittizie. Gli utenti sono ingannati a pensare che il loro sistema sia infettato da un malware, spingendoli a installare un software che non ha alcun beneficio reale (se non per l’esecutore) o è esso stesso un malware. Lo scareware viene anche chiamato software di inganno (deception software), rogue scanner software e fraudware.

Un esempio comune di scareware è il banner popup dall’aspetto legittimo che appare nel tuo browser mentre navighi sul web, mostrando un testo come “Il tuo computer potrebbe essere infettato da programmi spyware dannosi“. In altri casi il popup si offre di installare lo strumento (spesso infetto da malware) al posto vostro, o vi indirizza a un sito dannoso dove il vostro computer viene infettato.

Lo scareware è anche distribuito tramite email di spam che distribuisce avvisi fasulli, o fa offerte agli utenti per comprare servizi inutili/nocivi. L’ingegneria sociale è spesso molto fantasiosa e riesce a trovare modi sempre nuovi per ingannare. È necessario essere sempre all’erta.

Note di difesa: Nel caso si sospetti che il messaggio ricevuto sia davvero legittimo, la cosa migliore è cerca una soluzione attivamente, senza cioè usare i link suggeriti dal messaggio stesso. Per esempio, si è ricevuto un messaggio da un servizio che annuncia che il nostro account è stato compromesso. In caso di dubbio, si può contattare l’assistenza del servizio direttamente dal loro sito per chiedere chiarimenti. Evitare a tutti i costi di usare i link suggeriti dal messaggio sospetto.

ingegneria sociale multischermo

Pretexting (dall’inglese to pretend, “fingere”)

In questo attacco di ingegneria sociale, un attaccante ottiene informazioni attraverso una serie di menzogne abilmente costruite. La truffa è spesso avviata da un esecutore che finge di aver bisogno di informazioni sensibili da una vittima in modo da eseguire un compito critico.

L’aggressore di solito inizia stabilendo la fiducia con la sua vittima impersonando colleghi, polizia, funzionari bancari e fiscali, o altre persone che hanno il diritto di conoscere l’autorità. L’hacker pone domande che sono apparentemente necessarie per confermare l’identità della vittima, attraverso le quali raccoglie importanti dati personali.

ingegneria sociale dall'alto

Molti tipi di informazioni vengono raccolte utilizzando questa tecnica, come numeri di carta d’identità, indirizzi personali e numeri di telefono, registri telefonici, date di ferie del personale, registri bancari e persino informazioni di sicurezza relative a un impianto fisico.

Ogni informazione, per quanto possa sembrare innocua, potrebbe successivamente essere usata per un secondo attacco. Anche il nome di una guardia giurata assunta dall’azienda potrebbe essere già sufficiente per instaurare fiducia e chiedere uno strappo alla regola quando si domanda il codice di accesso alle porte automatiche.

Phishing (dall’inglese to fish, “pescare”)

Essendo uno dei più popolari tipi di attacco di ingegneria sociale, le truffe di phishing sono campagne di e-mail e messaggi di testo che mirano a creare un senso di urgenza, curiosità o paura nelle vittime. Poi le spinge a rivelare informazioni sensibili, a cliccare su link a siti web dannosi o ad aprire allegati che contengono malware.

Un esempio è un’e-mail inviata agli utenti di un servizio online che li avvisa di una violazione della politica che richiede un’azione immediata da parte loro, come un cambio di password obbligatorio. Include un link a un sito web, quasi identico nell’aspetto alla sua versione legittima, che invita l’utente a inserire le sue credenziali attuali e la nuova password. Dopo aver inviato il modulo, le informazioni vengono inviate all’attaccante.

Dato che i messaggi identici, o quasi identici, vengono inviati a tutti gli utenti nelle campagne di phishing, individuarli e bloccarli è molto più facile per i server di posta che hanno accesso alle piattaforme di condivisione delle minacce.

Nota di difesa: Se è vero che in alcuni casi ci siamo abituati a non dare peso a questo tipo di messaggi, è anche vero che gli ingegneri sociali si sono fatti sempre più furbi. Non è il caso di abbassare la guardia. Invece è molto utile diffidare sempre di messaggi che richiedono inserimento di credenziali.

Questi attacchi fanno leva sul fatto che è facile imbrogliare alcuni utenti, vuoi per distrazione o ingenuità. La difesa migliore è la formazione dei dipendenti tramite un servizio di phishing etico e successivi training mirati.

ingegneria sociale hacker

Spear phishing (dall’inglese spear, “lancia”)

Questa è una versione più mirata del phishing in cui un aggressore sceglie specifici individui o imprese. Quindi adattano i loro messaggi in base alle caratteristiche, alle posizioni lavorative e ai contatti delle loro vittime per rendere il loro attacco meno evidente. Lo spear phishing richiede molto più sforzo da parte dell’autore e può richiedere settimane e mesi per essere portato a termine. Sono molto più difficili da rilevare e hanno migliori tassi di successo se fatti con abilità.

Uno scenario di spear phishing potrebbe coinvolgere un attaccante che, impersonando il consulente IT di un’organizzazione, invia un’e-mail a uno o più dipendenti. È formulata e firmata esattamente come il consulente fa normalmente, ingannando così i destinatari a pensare che sia un messaggio autentico. Il messaggio richiede ai destinatari di cambiare la loro password e fornisce loro un link che li reindirizza a una pagina dannosa dove l’attaccante ora cattura le loro credenziali.

Hacker con grafica

Come difendersi dagli attacchi di ingegneria sociale

Gli ingegneri sociali manipolano i sentimenti umani, come la curiosità o la paura, per portare avanti gli schemi e attirare le vittime nelle loro trappole. Pertanto, è essenziale essere prudenti ogni volta che vi sentite allarmati da un’e-mail, attratti da un’offerta visualizzata su un sito web, o quando vi imbattete in media digitali vaganti in giro. Essere all’erta può aiutarvi a proteggervi dalla maggior parte degli attacchi di ingegneria sociale che avvengono online.

Inoltre, i seguenti consigli possono aiutare a migliorare la tua vigilanza in relazione agli attacchi di ingegneria sociale.

  • Non aprire e-mail e allegati da fonti sospette. Se non si conosce il mittente in questione, non è necessario rispondere a un’e-mail. Anche se li conosci e sei sospettoso del loro messaggio, fai un controllo incrociato e conferma le notizie da altre fonti, come per telefono o direttamente dal sito di un fornitore di servizi. Anche un’e-mail che sembra provenire da una fonte affidabile potrebbe essere stata avviata da un aggressore.
  • Usare l’autenticazione multi-fattore. Uno dei pezzi più preziosi di informazioni che gli aggressori cercano sono le credenziali dell’utente. Usando l’autenticazione a 2 fattori aiuti a garantire la protezione del tuo account in caso di compromissione del sistema. Esistono applicazioni gratuite per ogni tipo di dispositivo mobile che ti permettono di implementare questo tipo di autenticazione.
  • Diffidare delle offerte allettanti. Se un’offerta sembra troppo allettante, pensaci due volte prima di accettarla come reale. Usa Google per verificare l’argomento e determinare rapidamente se hai a che fare con un’offerta legittima o con una trappola.
  • Aggiornare il software antivirus/antimalware. Assicurati che gli aggiornamenti automatici siano attivati. Controlla periodicamente che gli aggiornamenti siano stati applicati e scansiona il tuo sistema per possibili infezioni.

Se l’azienda dispone di un reparto IT, questi consigli dovrebbero essere le misure standard di sicurezza.

Ufficio

Servizi di sicurezza per aziende

Quando si pensa ai dati che la propria azienda custodisce e gestisce, non si è mai troppo prudenti nella difesa. L’ingegneria sociale fa leva sul fatto che un dipendente si hackera più facilmente di un computer, cosa che molto spesso risulta veritiera.

Oltre alle misure di protezione informatica elencate qui sopra, è bene che i dipendenti siano tutti consapevoli dei rischi e delle potenziali minacce.

SOD propone una serie di servizi che vanno proprio in questa direzione. Il primo e forse più importante è quello di phishing etico in cui proviamo ad attaccare l’azienda con tecniche di phishing. Scopriamo quali sono i punti deboli e organizziamo training interni per fornire gli strumenti adeguati al personale.

Abbiamo anche i classici Vulnerability Assessment e Penetration Test per testare i sistemi di sicurezza informatica. A questo servizio sono applicabili degli addon per coprire un maggior numero di aree. È disponibile un addon specifico per l’analisi delle app e la revisione del codice, ma anche uno in cui proviamo a violare l’azienda con attacchi fisici. Testeremo la sicurezza fisica dell’azienda, la possibilità di entrare negli edifici, l’accesso alle centraline di rete e altro.

Infine, per mantenere controllate le reti, il servizio SOCaaS permette di monitorare tutta la rete, individuare azioni sospette (con analisi del comportamento tramite intelligenza artificiale), installazioni non autorizzate, tentativi di violazioni e molto altro.

La sicurezza dei dati in azienda è davvero importante, contattaci per sapere come possiamo aiutarti!

Zero-Day Attack
Tempo di lettura: 5 min

Uno Zero-Day attack (noto anche come 0-day) sfrutta una vulnerabilità software sconosciuta agli addetti alla sicurezza e al fornitore del software. Gli hacker possono sfruttare la debolezza, fintanto che non viene mitigata, tramite Zero-Day exploit o, appunto attack.

Il termine “zero-day” si riferiva originariamente al numero di giorni dal rilascio del software. Un software “zero-day”, quindi, indicava un programma ottenuto attraverso la forzatura del computer di uno sviluppatore prima del rilascio. Il termine è stato poi applicato alle vulnerabilità che questa pratica permette di sfruttare. Una volta che il venditore viene a conoscenza della vulnerabilità, solitamente crea delle patch o consiglia delle soluzioni per mitigarla.

Zero Day Attack Inizio Articolo

Vulnerabilita’ del software

I software hanno spesso delle vulnerabilità. Queste sono difetti involontari, o problemi nei codici che potrebbero ipoteticamente essere sfruttati. Per esempio, ci può essere un difetto che permette a un cyber-criminale di accedere a dati altrimenti sicuri. I programmatori sono spesso alla ricerca di queste vulnerabilità e quando le scoprono, le analizzano, producono una patch per risolverle, poi distribuiscono quella patch in una nuova versione del software.

Tuttavia, questo è un processo che richiede tempo. Quando il difetto diventa noto, gli hacker di tutto il mondo possono iniziare a cercare di sfruttarlo.

Zero-Day Attack

Se un hacker riesce a sfruttare la vulnerabilità prima che gli sviluppatori riescano a trovare una soluzione, questo exploit diventa quindi noto come attacco Zero-Day attack.

Le vulnerabilità zero-day possono assumere quasi ogni forma, perché possono manifestarsi come qualsiasi tipo di vulnerabilità nel software. Per esempio, possono assumere la forma di crittografia dei dati mancanti, SQL injection, buffer overflow, autorizzazioni mancanti, bug o problemi con la sicurezza delle password.

Questo rende queste vulnerabilità difficili da trovare prima che siano sfruttate in zero-day attack. Questo, per certi versi, è una buona notizia: significa anche che gli hacker avranno difficoltà a trovarle. Ma anche che è difficile difendersi da queste vulnerabilità in modo efficace.

Come proteggersi

Abbiamo visto come sia difficile proteggersi dalla possibilità di un zero-day attack, perché può assumere molte forme. Quasi ogni tipo di vulnerabilità di sicurezza potrebbe essere sfruttata come uno zero-day se una patch non viene prodotta in tempo. Inoltre, molti sviluppatori di software cercano intenzionalmente di non rivelare pubblicamente la vulnerabilità nella speranza di poter distribuire una patch prima che qualsiasi hacker scopra la vulnerabilità presente.

Ci sono alcune strategie che possono aiutarti a difendere il tuo business contro gli attacchi del giorno zero:

Resta informato sugli Zero-Day attack

Gli exploit zero-day non sono sempre pubblicizzati, ma occasionalmente si sente parlare di una vulnerabilità che potrebbe essere potenzialmente sfruttata. Se rimani sintonizzato sulle notizie e presti attenzione ai rilasci dei tuoi fornitori di software, potresti avere il tempo di mettere in atto misure di sicurezza o di rispondere a una minaccia prima che venga sfruttata. Un buon metodo per farlo è seguire le newsletter dei tuoi fornitori. In fondo a questa pagina trovi il form per iscriverti a quella di SOD.

Tieni aggiornati i tuoi sistemi

Gli sviluppatori lavorano costantemente per mantenere il loro software aggiornato e sicuro per prevenire la possibilità di exploit. Quando una vulnerabilità viene scoperta, è solo una questione di tempo prima che producano una patch. Tuttavia, spetta a te e al tuo team assicurarsi che le tue piattaforme software siano sempre aggiornate. L’approccio migliore in questo caso è quello di abilitare gli aggiornamenti automatici, in modo che il software venga aggiornato di routine, e senza la necessità di un intervento manuale.

Zero day attack update software

Impiegare misure di sicurezza aggiuntive

Assicurati di utilizzare soluzioni di sicurezza che ti proteggano da un zero-day attack. SOD, offre una soluzione che comprende un set di strumenti che permettono di alzare le difese in modo significativo. Il SOCaaS è un vero e proprio centro operativo di sicurezza per la tua azienda. Tramite strumenti all’avanguardia come SIEM e UEBA e grazie a un controllo granulare sulla rete monitorata, ogni tentativo di attacco viene individuato nel minor tempo possibile.

Ogni tipo di dati prodotto dai sistemi interconnessi nell’infrastruttura vengono raccolti, normalizzati e analizzati alla ricerca di anomalie. Ciò significa che non solo si verifica l’eventuale presenza di indicatori di compromissione noti (IOC), ma si monitorano anche operazioni e comportamenti sospetti degli utenti della struttura. In questo modo è possibile individuare anche tentativi di attacco normalmente molto difficili da individuare, come quelli che riguardano gli Zero-Day Attack, ma non solo. Infatti, tramite il servizio SOCaaS, è possibile individuare account compromessi, la violazione di dati protetti, attacchi lateral movement, phishing, etc.

La sicurezza del sistema IT di un’azienda è un argomento molto importante a cui noi teniamo molto. La compromissione o perdita di dati sensibili può costare parecchio sia da un punto di vista economico che di reputazione. Non trascurare questo aspetto importante per la sicurezza della tua impresa, contattaci per parlarci della tua situazione, saremo lieti di mostrarti come possiamo aiutarti.

Link utili:

Proteggere un sito in WordPress: pacchetto sicurezza

SIEM in informatica: la storia

SOAR: cos’e’ e come puo’ essere utile per le aziende

Shadow IT: una panoramica

Contattaci

MSSP
Tempo di lettura: 5 min

Il mondo IT continua ad evolversi e lo stesso vale per gli acronimi di settore. Uno di questi e’ il termine MSSP che, in un certo senso, e’ l’evoluzione di MSP. Le due sigle significano: Managed Service Provider (MSP) e Managed Security Service Provider (MSSP). Quest’ultimo, in generale, potrebbe essere considerato come un’organizzazione che fornisce servizi di sicurezza in outsourcing ad altre organizzazioni. Questa definizione e’ molto vaga e alquanto ovvia. Ma allora, cos’e’ un MSSP?

Definizione: cos’e’ un MSSP?

MSSP

Un MSSP offre Security-as-a-Service, garantendo alle organizzazioni, agli utenti finali e ai sistemi la sicurezza, la protezione e il rispetto dei requisiti di conformita’ necessari. In realta’ gli MSSP sono in circolazione da un pezzo, ma recentemente hanno acquisito maggiore attenzione e focalizzazione man mano che il panorama della cybersecurity continua ad evolversi rapidamente. Gli utenti finali sono piu’ consapevoli delle minacce e delle conseguenze che devono affrontare se non sono proattivi. 

MSP

Facciamo un passo indietro, esaminiamo cos’e’ un MSP, per meglio distinguerlo da una MSSP. In termini semplici, un fornitore di servizi gestiti (MSP) e’ un’organizzazione incaricata da un cliente di eseguire vari servizi informatici. Gli MSP tipicamente collaborano con i loro clienti per periodi annuali o pluriennali, ricevendo un reddito ricorrente per servizi continuativi.

Un MSP puo’ aiutare un cliente in qualsiasi fase del suo ciclo IT, incluso:

– la creazione di politiche e programmi
– scoprire potenziali soluzioni
– implementazione di soluzioni
– monitoraggio delle prestazioni

Gli MSP possono anche gestire servizi IT in corso, ad esempio aggiornando i sistemi e apportando modifiche alla configurazione per adattarsi alle esigenze aziendali. Questi elementi della linea di servizi possono includere il supporto help desk, la gestione e il monitoraggio della rete e delle applicazioni, la riparazione dell’hardware e altro ancora. Questi servizi sono generalmente delineati e concordati in uno SLA (Service Level Agreement).

MSSP

Cos’e’ che distingue gli MSSP dagli MSP? La “S” in piu’ in MSSP indica che questi sono piu’ focalizzati sulla sicurezza rispetto a un tipico MSP. Mentre gli MSP offrono spesso altri servizi IT e qualcosa legato alla sicurezza, gli MSSP si concentrano esclusivamente sulla sicurezza. Tuttavia, anche in questo caso, potrebbero comprendere un insieme abbastanza ampio di servizi oltre alla sicurezza.

Ad esempio, l’offerta tecnologica degli MSSP puo’ comprendere l’implementazione, la configurazione e/o la gestione delle seguenti tecnologie:

– Sistemi di prevenzione delle intrusioni (IPS)
– Filtraggio dei contenuti web
– Anti-virus, anti-spam, firewall
– VPN
– Scansione delle vulnerabilita’
– Gestione delle patch
– Prevenzione della perdita di dati
– Informazioni sulle minacce

In aggiunta, i servizi MSSP possono includere:

Valutazione dei rischi e analisi delle lacune
– Sviluppo di politiche e gestione del rischio
– Ricerca della soluzione
– Ricerca e requisizione di soluzioni e strumenti
– Implementazione della soluzione
Gestione dei sistemi di sicurezza
– Gestione della configurazione
– Aggiornamenti di sicurezza
– Reporting, revisione e conformita’
– Formazione e istruzione

Un MSSP puo’ offrire una gamma ampia e generalizzata di capacita’ e servizi di sicurezza, oppure puo’ specializzarsi in una o poche aree di interesse. Un’altra cosa che differenzia tra MSP e MSSP sono i NOC e i SOC.

Gli MSP stabiliscono spesso la propria rete operativa di rete (NOC) dalla quale monitorano e amministrano le operazioni dei clienti, gli MSSP invece stabiliscono un centro operativo di sicurezza (SOC), che e’ responsabile della protezione dell’infrastruttura (reti, applicazioni, database, server, ecc.).

Perche’ scegliere un MSSP?

Ora che sappiamo cos’e’ un MSSP, dobbiamo capire perche’ bisognerebbe scegliere un servizio del genere. 

La ragione e’ da cercare nella digitalizzazione del business, che e’ il piu’ grande motore di crescita aziendale degli ultimi anni. Man mano che le aziende diventano sempre piu’ interconnesse attraverso la tecnologia, le opportunita’ crescono, ma con loro anche le minacce alla sicurezza. In questo caso, dirigenti e consigli di amministrazione stanno cercando di trasformare le loro aziende in centri di potere dell’era digitale e stanno esaminando piu’ da vicino la loro posizione in materia di sicurezza.

Ma e’ qui che le cose diventano concrete: le soluzioni sono complicate, e costruire il proprio reparto di sicurezza informatica 24 ore su 24, 7 giorni su 7, richiede tempo, denaro e persone. D’altra parte, una singola violazione dei dati puo’ danneggiare gravemente il valore della vostra azienda e costare una perdita economica non indifferente.

Per questo l’esternalizzazione dell’intera soluzione di sicurezza informatica della vostra azienda a un Managed Security Service Provider (MSSP) e’ una decisione sempre piu’ diffusa. Questo modello di cybersecurity come servizio e’ popolare tra le aziende, indipendentemente dalle dimensioni. Questo perche’ la difesa informatica sta diventando cosi’ complessa e richiede cosi’ tanto tempo che le aziende non hanno altra scelta se non quella di esternalizzare i servizi di sicurezza per seguire le best practices.

Noi di SOD forniamo esattamente questo tipo di servizi per la sicurezza, attraverso varie modalita’. Oltre ai servizi tipici di un MSP, come VPS, Super Cloud, etc., siamo in grado di coprire ogni esigenza per la sicurezza aziendale tramite il nostro SOCaaS che implementa varie soluzioni tra cui UEBA, SIEM, Vulnerability Assessment & Penetration Test, Active Protection, Log Management, Servizio di Monitoraggio IT, Servizi Gestisti, GDPR e Privacy.

Se sei interessato a sapere come SOD puo’ aiutare la tua azienda nel migliorare la cybersecurity applicata, puoi metterti in contatto con noi, saremo lieti di rispondere alle domande e proporre una soluzione adatta alla situazione.

Link utili:

SOAR: cos’e’ e come puo’ essere utile per le aziende

SIEM in informatica: la storiaSOAR: coordinazione per la cyber security

Shadow IT: una panoramica


Contattaci

Long-term Search Cover
Tempo di lettura: 4 min

Il ransomware viene comunemente portato a segno con una e-mail che inganna gli utenti a fidarsi di un file dannoso. Molte delle piu’ recenti violazioni dei dati sono state portate a termine perché un utente e’ stato vittima di un attacco di questo tipo nel periodo precedente. Minacce come il ransomware, che si concentrano sulla compromissione dell’utente, fanno si’ che sempre piu’ aziende adottino l’analisi comportamentale degli utenti e delle entita’ (UEBA) nel loro centro operativo di sicurezza (SOC). Le nuove funzioni del servizio SOC, tra cui la long-term search, sono orientate all’offerta sempre maggiore di strumenti aggiuntivi per la gestione ottimale della sicurezza aziendale.

Noi continuiamo nell’innovazione della nostra piattaforma per aumentare la potenza del SOC nel combattere ransomware e altre minacce. Nella nostra piu’ recente versione, abbiamo aggiunto un numero ancora maggiore di funzionalita’ di rilevamento basate sull’apprendimento automatico e context-aware che consentono agli analisti della sicurezza di affrontare le aggressioni piu’ sofisticate. Inoltre, gli ultimi aggiornamenti portano una sempre maggiore facilita’ d’uso per gli architetti della sicurezza.

Long-term search - novità SOCaaS

Long-term search per l’analista della sicurezza

Il servizio introduce una serie di innovazioni per ridurre i tempi di rilevamento e di risposta degli analisti della sicurezza e dei cercatori di minacce.

Miglioramento del rilevamento di minacce sofisticate

– La long-term search aiuta gli analisti a scoprire le minacce nascoste fornendo una capacita’ di ricerca sui dati archiviati. La ricerca e’ scalabile e non influisce sulle prestazioni del SIEM.
– Analytics Sandbox aiuta ad abbattere i falsi positivi fornendo un ambiente di QA in linea per testare e convalidare i casi d’uso.
– Le catene di minacce Persona-based rilevano le minacce avanzate in modo piu’ accurato, comprendendo la relazione dinamica tra utenti, host, indirizzi IP e indirizzi e-mail. Gli analisti traggono vantaggio da una piu’ ampia visibilita’ sulla progressione di un attacco. Questa funzione combina le attivita’ sospette di un singolo utente in un unico avviso con priorita’, invece di avvisi separati e non correlati.
– Relative Rarity offre agli analisti un contesto piu’ ampio su quanto sia raro un evento rispetto a tutti gli altri eventi nel loro ambiente.
– La visualizzazione degli avvisi di sicurezza utilizzando il MITRE ATT&CK Threat Framework aiuta gli analisti a dare priorita’ al rischio e a ridurre i tempi di risposta.

Riduzione dei tempi di risposta

– Il miglioramento della gestione dei casi consente una migliore gestione, condivisione e investigazione degli allarmi, consentendo agli operatori di rispondere piu’ rapidamente.
– Le nuove integrazioni EDR migliorano la risposta agli incidenti fornendo ulteriori dati sugli endpoint da CarbonBlack Defense, Tanium, Symantec DLP e altri.
– Le migliori visualizzazioni delle ricerche migliorano l’esperienza dell’analista riducendo i tempi di rilevamento e di risposta. Aiutano gli analisti a identificare facilmente gli account compromessi, l’esfiltrazione dei dati e gli hotspot associati.

Perche’ la long-term search e’ cosi’ importante

Con un tempo di permanenza globale di circa 60 giorni in media, la caccia alle minacce continua ad essere una parte importante nella resilienza della sicurezza informatica. Tuttavia, la ricerca attraverso lo storico dei dati richiede solitamente molto tempo.

Molti fornitori non sono in grado di scalare dinamicamente una ricerca veloce attraverso i dati archiviati senza notevole sforzo. Le ultime funzionalita’ del nostro SOCaaS forniscono questa possibilita’ ai cacciatori di minacce con la long-term search su scala quasi illimitata. Con la ricerca a lungo termine, le organizzazioni possono ridurre il tempo necessario per indagare e trovare le minacce che sono gia’ nel loro ambiente.

Gli analisti hanno bisogno di interrogare continuamente i dati per capire se ci sono nuove minacce. Ad esempio, un analista potrebbe apprendere, da una fonte attendibile, che il loro settore e’ stato preso di mira. A questo punto c’e’ bisogno di indagare su un nuovo indicatore di compromesso che e’ stato appena scoperto per verificare se un aggressore e’ gia’ all’interno.

Attraverso la long-term search, il SIEM nativo del SOCaaS di SOD consente ai cacciatori di minacce di essere proattivi, rendendo la ricerca sui dati storici veloce e conveniente.

Conclusioni

Tramite l’introduzione di nuove tecnologie nel nostro servizio SOC, stiamo offrendo sempre piu’ sicurezza per i nostri clienti.

Ci prendiamo cura dei vostri dati verificando non solo che non siano al sicuro ora, ma anche che non abbiano subito violazioni in passato. Nel caso dovessimo avere il sospetto di una nuova minaccia, sappiamo come individuarla.

Nel caso avessi domande, contattaci, saremo lieti di rispondere a ogni tuo dubbio.

Link utili:

shadow IT
Tempo di lettura: 4 min

La pratica dello shadow IT e’ l’utilizzo di sistemi informatici, dispositivi, software, applicazioni e servizi senza l’approvazione esplicita del reparto IT. Negli ultimi anni e’ cresciuto in modo esponenziale con l’adozione di applicazioni e servizi basati sul cloud.

Se da un lato lo shadow IT potrebbe migliorare la produttivita’ dei dipendenti e guidare l’innovazione, dall’altro puo’ anche introdurre gravi rischi per la sicurezza dell’organizzazione a causa di data breach, potenziali violazioni della conformita’ e altro ancora.

Perche’ gli utenti praticano shadow IT

Uno dei motivi principali per cui i dipendenti applicano lo shadow IT e’ semplicemente quello di lavorare in modo piu’ efficiente. Uno studio RSA del 2012 ha riportato che il 35% dei dipendenti ritiene di dover aggirare le politiche di sicurezza della propria azienda solo per riuscire a svolgere il proprio lavoro a dovere. Ad esempio, un dipendente potrebbe scoprire un’applicazione di condivisione dei file migliore di quella ufficialmente consentita. Una volta che inizia a utilizzarla, l’uso potrebbe diffondersi ad altri membri del suo reparto.

La rapida crescita delle applicazioni consumer basate sul cloud ha anche aumentato l’adozione di pratiche shadow IT. Sono ormai lontani i tempi dei software confezionati; applicazioni comuni come Slack e Dropbox sono disponibili con un semplice clic, e i dati aziendali vengono facilmente copiati oltre le applicazioni di lavoro anche ai dispositivi personali dei dipendenti, come smartphone o laptop, soprattutto in condizioni di lavoro di tipo BYOD (Bring Your Own Device).

Shadow IT: rischi e sfide per la sicurezza

Il punto e’ che se il reparto IT non e’ a conoscenza dell’uso di un’applicazione, non puo’ supportare o garantire che sia sicura. L’azienda analista di settore Gartner prevedeva, nel 2018, che entro il 2020, un terzo degli attacchi di successo che le aziende sperimentano si concentrano sulle loro risorse soggette a shadow IT.

Anche se e’ chiaro che la pratica non scomparira’, le organizzazioni possono minimizzare i rischi educando gli utenti finali e prendendo misure preventive per monitorare e gestire le applicazioni non autorizzate.

Non tutto lo shadow IT e’ intrinsecamente pericoloso, ma alcune funzionalita’ come la condivisione dei file e l’archiviazione e la collaborazione (ad esempio, Google Docs) possono provocare fughe di dati sensibili. Questo rischio va oltre le sole applicazioni: lo studio RSA riferisce anche che il 63% dei dipendenti invia documenti di lavoro alla propria email personale per lavorare da casa, esponendo i dati a reti che non possono essere monitorate.

In tempi come quello che stiamo vivendo, in cui il telelavoro e’ incentivato e, in alcuni casi, l’unica soluzione possibile, e’ indispensabile avere un’occhio di riguardo per le applicazioni in uso nei computer dei dipendenti.

Vantaggi di Shadow IT

Nonostante i rischi, lo shadow IT ha i suoi vantaggi. Ottenere l’approvazione dell’IT puo’ richiedere tempo che i dipendenti non possono permettersi di perdere. Per molti dipendenti l’approvazione e’ un collo di bottiglia per la produttivita’, soprattutto quando possono ottenere la soluzione in pochi minuti.

Avere l’IT che si comporta come un “Grande Fratello” orwelliano non sempre favorisce la produttivita’. Discernere i casi di shadow IT positivo puo’ essere il miglior compromesso. Trovare una via di mezzo puo’ consentire agli utenti finali di ricercare soluzioni che funzionano meglio per loro. In questo modo si da tempo all’IT di controllare i dati e le autorizzazioni degli utenti per le applicazioni. Se gli utenti finali non hanno bisogno di richiedere nuove soluzioni, si da tempo al reparto IT di concentrarsi su attivita’ piu’ critiche.

Difesa proattiva

Qualunque sia il motivo per cui lo shadow IT avviene, se il reparto IT non ne e’ a conoscenza, il rischio di breach e’ elevato. Quello che i reparti addetti alla cyber security aziendale dovrebbero fare, e’ mettere in campo sistemi automatizzati di controllo del traffico e del comportamento.

La soluzione offerta da un SOC as a Service e’ la piu’ completa sotto questo aspetto. Consente di tenere sotto controllo tutti i dispositivi del sistema e monitorare anche i comportamenti degli utenti.

Grazie ai sistemi Nextgen SIEM e UEBA, infatti, la raccolta dei dati di utilizzo e’ facile e gestibile in tempo reale. I dati raccolti sono arricchiti e aggregati per dare agli analisti la visione piu’ completa possibile e permettere l’intervento rapido. Il sistema UEBA, intanto, verifica che non ci siano comportamenti anomali da parte degli utenti o traffico sospetto di dati in uscita.

Lo shadow IT, per quanto non sia solitamente un attacco malizioso, e’ una pratica che dovrebbe essere scoraggiata e, in quanto rischiosa, bloccata sul nascere.

Link utili:

UEBA
Tempo di lettura: 6 min

I classici strumenti e sistemi di difesa contro gli le minacce informatiche stanno rapidamente diventando obsoleti e ci sono diversi modi per superarli. Cio’ che rimane comune con sicurezza tra i cyber criminali che tentano un attacco e’ l’intento dell’attacco stesso. Infatti, sapendo che esistono sistemi in grado di rilevare gli indicatori di compromesso (IOC), e’ naturale che gli hacker competenti cercheranno di non lasciare tracce riconducibili agli standard. L’analisi del comportamento degli utenti e delle entita’ (UEBA) offre un modo piu’ completo per assicurarsi che l’azienda disponga di una sicurezza IT di prim’ordine. Al tempo stesso, aiuta a rilevare gli utenti e le entita’ che potrebbero compromettere l’intero sistema.

Una definizione di User Entity Behaviour Analytics

L’analisi del comportamento degli utenti e delle entita’, o UEBA (User Entity Behaviour Analytics), e’ un tipo di processo di sicurezza informatica che prende atto del comportamento standard degli utenti. A loro volta, il sistema rileva ogni comportamento anomalo o i casi in cui ci sono deviazioni dagli schemi “normali” citati prima. Ad esempio, se un particolare utente scarica regolarmente 10 MB di file ogni giorno, e improvvisamente ne scarica 1 GB, il sistema sarebbe in grado di rilevare questa anomalia e di avvertire immediatamente gli operatori. Il comportamento potrebbe essere legittimo, ma vale la pena controllare.

Il sistema UEBA utilizza l’apprendimento automatico, gli algoritmi e le analisi statistiche per sapere quando c’e’ una deviazione dai modelli stabiliti. Successivamente, mostra quale di queste anomalie potrebbe risultare in una potenziale e reale minaccia. Inoltre, UEBA puo’ aggregare i dati dei report e dei log, cosi’ come analizzare le informazioni su file, flusso e pacchetti.

Con un UEBA si tracciano tutti gli utenti e le entita’ del sistema. In questo modo il sistema si concentra sulle minacce interne, come dipendenti disonesti, quelli compromessi e le persone che hanno accesso al sistema e quindi effettuano attacchi mirati e tentativi di frode, cosi’ come i server, le applicazioni e i dispositivi che lavorano all’interno del sistema.

Vantaggi

E’ la spiacevole verita’ che gli strumenti di sicurezza informatica di oggi stanno rapidamente diventando obsoleti. Ormai gli hacker e i cyber criminali piu’ abili sono in grado di aggirare le difese perimetrali utilizzate dalla maggior parte delle aziende. Qualche anno fa si era sicuri se si disponeva di gateway web, firewall e strumenti di prevenzione delle intrusioni. Questo non e’ piu’ il caso nel complesso panorama delle minacce, ed e’ particolarmente vero per le grandi aziende che hanno dimostrato di avere perimetri IT molto porosi che sono anche molto difficili da gestire e supervisionare.

Il punto fondamentale? Le misure preventive non sono piu’ sufficienti. I firewall non saranno infallibili al 100% e gli aggressori entreranno nel sistema in un punto o nell’altro. Ecco perche’ il rilevamento e’ altrettanto importante: quando gli hacker entrano con successo nel sistema, allora bisogna essere in grado di rilevare rapidamente la loro presenza per ridurre al minimo i danni.

Come funziona?

La premessa del sistema e’ in realta’ molto semplice. Si puo’ facilmente rubare il nome utente e la password di un dipendente, ma e’ molto piu’ difficile imitare il comportamento normale della persona una volta dentro la rete.
Per esempio, diciamo che si riesca a rubare la password e il nome utente di Mario Rossi. E’ quasi impossibile comunque agire esattamente come Mario Rossi una volta dentro al sistema, a meno che non venga fatta anche un’ampia ricerca e preparazione in questa direzione. Pertanto, quando il nome utente di Mario e’ collegato al sistema e il suo comportamento e’ diverso da quello tipico, e’ il momento in cui iniziano a suonare gli allarmi UEBA.

Un’altra analogia correlabile sarebbe il furto di una carta di credito. Un ladro puo’ rubare il portafoglio e andare in un negozio di articoli di lusso e iniziare a spendere migliaia di euro. Ma, se il modello di spesa su quella carta e’ diverso da quello del ladro, il reparto di rilevamento delle frodi riconoscera’ le spese anomale e blocchera’ gli acquisti sospetti, inviandovi un avviso o chiedendo di verificare l’autenticita’ di una transazione.

Cosa puo’ fare UEBA?

UEBA e’ una componente molto importante della sicurezza informatica moderna e permette di:

1. Rilevare le minacce interne: Non e’ troppo azzardato immaginare che un dipendente, o forse un gruppo di dipendenti, possa disobbedire, rubare dati e informazioni utilizzando il proprio accesso. UEBA puo’ aiutarvi a rilevare violazioni dei dati, sabotaggi, abusi di privilegi e violazioni di policy da parte del personale.

2. Rilevare gli account compromessi: A volte, gli account utente vengono compromessi. Puo’ essere che l’utente abbia involontariamente installato malware sulla sua macchina, o che a volte un account legittimo sia stato falsificato. UEBA puo’ aiutare ad eliminare gli utenti compromessi prima che possano fare danni.

3. Rilevare gli attacchi di forza bruta: Gli hacker a volte prendono di mira le entita’ basate sul cloud cosi’ come i sistemi di autenticazione di terze parti. Con UEBA, si e’ in grado di rilevare i tentativi di attacco brute force, permettendo di bloccare l’accesso a queste entita’.

4. Rilevare le modifiche dei permessi e la creazione di super utenti: Alcuni attacchi prevedono l’uso di super users. UEBA consente di rilevare quando i super utenti vengono creati, o se ci sono account a cui sono stati concessi permessi non necessari.

5. Rilevare la violazione di dati protetti: Se si dispone di dati protetti, non e’ sufficiente tenerli al sicuro. Bisogna sapere quando un utente accede a questi dati se non ha alcun motivo commerciale legittimo per farlo.

UEBA e SIEM

Security Information and Event Management, o SIEM, e’ l’utilizzo di un complesso insieme di strumenti e tecnologie che fornisce una visione completa della sicurezza del vostro sistema IT. Si avvale di dati e informazioni sugli eventi, consentendo di vedere modelli e tendenze normali e di avvertire in caso di anomalie. UEBA funziona allo stesso modo, solo che utilizza le informazioni sul comportamento dell’utente (e dell’entita’) per verificare cio’ che e’ normale e cio’ che non lo e’.

Il SIEM, tuttavia, e’ basato su regole, e gli hacker competenti possono facilmente aggirare o eludere queste regole. Inoltre, le regole del SIEM sono progettate per rilevare immediatamente le minacce che si verificano in tempo reale, mentre gli attacchi piu’ avanzati sono solitamente effettuati nell’arco di mesi o anni. L’UEBA, invece, non si basa su regole. Utilizza invece tecniche di risk scoring e algoritmi avanzati che gli consentono di rilevare le anomalie nel tempo.

Una delle migliori pratiche per la sicurezza informatica e’ quella di utilizzare sia SIEM che UEBA per avere migliori capacita’ di sicurezza e di rilevamento.

Come andrebbe usato un UEBA

L’UEBA e’ nato dalla necessita’ di individuare il comportamento dannoso degli utenti e di altre entita’. Gli strumenti e i processi UEBA non sono destinati a sostituire i sistemi di monitoraggio precedenti, ma dovrebbero invece essere utilizzati per integrarli e migliorare la sicurezza generale di un’azienda. Un’altra grande pratica e’ quella di sfruttare le capacita’ di memorizzazione e di calcolo dei grandi dati, utilizzando l’apprendimento automatico e l’analisi statistica per evitare di ricevere una valanga di allarmi inutili e di essere sopraffatti dal grande volume di dati generati.

Ed e’ esattamente quello che accade nel SOCaaS offerto da SOD, in cui il SOAR e’ garantito anche dalla collaborazione di questi sistemi.

UEBA utilizza l’apprendimento automatico e gli algoritmi per rafforzare la sicurezza monitorando gli utenti e altre entita’, rilevando anomalie nei modelli di comportamento che potrebbero essere indicative di una minaccia. Adottando un approccio proattivo alla sicurezza e acquisendo una maggiore visibilita’ sul comportamento degli utenti e delle entita’, le imprese di oggi sono in grado di costruire sistemi di sicurezza piu’ forti e di mitigare piu’ efficacemente le minacce e prevenire le violazioni.

Link utili:

SOC as a Service

Cos’e’ un Network Lateral Movement e come difendersi

Log Management

MITRE Att&ck: una panoramica

Il SOCaaS è utile per la tua azienda?

SOAR: cos’e’ e come puo’ essere utile per le aziende

Sicurezza: pentest e verifica delle vulnerabilita’

SIEM in informatica: la storia

 

SOAR
Tempo di lettura: 5 min

La tecnologia SOAR (Security Orchestration, Automation and Response) aiuta a coordinare, eseguire e automatizzare le attivita’ tra persone e strumenti, consentendo alle aziende di rispondere rapidamente agli attacchi alla sicurezza informatica. Lo scopo e’ quello di migliorare la loro posizione complessiva in materia di sicurezza. Gli strumenti SOAR utilizzano playbook (strategie e procedure) per automatizzare e coordinare i flussi di lavoro che possono includere strumenti di sicurezza e mansioni manuali.

In che modo SOAR aiuta nel campo della sicurezza?

1. Combinando in un’unica soluzione l’orchestrazione della sicurezza, l’automazione intelligente, la gestione degli incidenti e le indagini interattive.
2. Facilitando la collaborazione dei team e consentendo agli analisti della sicurezza di intraprendere azioni automatiche sugli strumenti in tutto il loro stack di sicurezza.
3. Fornendo ai team un’unica console centralizzata per gestire e coordinare tutti gli aspetti della sicurezza della loro azienda.
4. Ottimizzando la gestione dei casi, incrementando l’efficienza con l’apertura e la chiusura dei ticket per investigare e risolvere gli incidenti.

Perche’ le aziende necessitano di un SOAR?

Le compagnie moderne devono affrontare regolarmente molte sfide e ostacoli, quando di tratta di lotta contro i cyber threat.

Una prima sfida e’ rappresentata da un volume sempre crescente di minacce complesse per la sicurezza. Inoltre, gli strumenti di sicurezza coinvolti molto spesso faticano a parlare tra loro, il che e’ di per se’ un ostacolo fastidioso.

Un cosi’ grande numero di dati e software, non puo’ che significare un numero elevato di allarmi di sicurezza. Infatti, sono troppi i dati di intelligence sulle minacce per consentire ai team di classificare manualmente, assegnare priorita’, indagare e indirizzare le minacce. Inoltre, il lavoro degli addetti alla sicurezza comporta competenze molto specifiche e con l’aumentare della richiesta e’ sempre piu’ complicato trovare un numero sufficiente di addetti alla sicurezza per svolgere il lavoro.

Implementazione del sistema

SOAR aiuta le aziende ad affrontare e superare queste sfide consentendo loro di:

Unificare i sistemi di sicurezza esistenti e centralizzare la raccolta dei dati per ottenere piena visibilita’.
Automatizzare le attivita’ manuali ripetitive e gestire tutti gli aspetti del ciclo di vita degli incidenti.
Definire l’analisi degli incidenti e le procedure di risposta, oltre a sfruttare i playbook di sicurezza per dare priorita’, standardizzare e scalare i processi di risposta in modo coerente, trasparente e documentato.
Identificare e assegnare in modo rapido e preciso i livelli di gravita’ degli incidenti agli allarmi di sicurezza e supportare la riduzione degli allarmi.
Identificare e gestire meglio le potenziali vulnerabilita’ in modo proattivo e reattivo.
Indirizzare ogni incidente di sicurezza all’analista piu’ adatto a rispondere, fornendo al contempo funzioni che supportino una facile collaborazione e il monitoraggio tra i team e i loro membri.

Applicazioni pratiche

Qui di seguito ho voluto elencare qualche esempio pratico di come un SOAR entra in azione in determinate situazioni.

Gestione degli allarmi

Arricchimento e risposta del phishing: attivazione di un playbook. Automazione ed esecuzione di attivita’ ripetibili come il triage e il coinvolgimento degli utenti interessati. Applicare un’estrazione e il controllo degli indicatori per l’identificazione di falsi positivi, in seguito richiedere l’attivazione del SOC per una risposta standardizzata su scala.

Infezione da malware degli endpoint: estrazione dei dati di alimentazione delle minacce dagli strumenti degli endpoint e arricchimento di tali dati. Riferimenti incrociati tra i file recuperati e gli hash con una soluzione SIEM, notifica agli analisti, pulizia degli endpoint e aggiornamento del database degli strumenti.

Login utente non riuscito: dopo un numero predefinito di tentativi di login utente non riusciti, valutando se un login non riuscito e’ autentico o dannoso, un SOAR puo’ attivarsi in vari modi. Innanzi tutto mettendo in pratica un playbook, coinvolgendo gli utenti e in seguito analizzando le loro risposte, poi anche le password in scadenza e infine chiudendo il processo.

Caccia alle minacce

Indicatori di compromesso (IOC): prendere ed estrarre gli indicatori dai file, rintracciare gli indicatori attraverso gli strumenti di intelligence e aggiornare i database.

Analisi del malware: verifica di dati da fonti multiple, estrazione ed eliminazione dei file dannosi. Successivamente viene generato un rapporto e controllata la presenza di malizia.

Risposta agli incidenti cloud: questo avviene attraverso l’utilizzo di dati provenienti da strumenti di rilevamento delle minacce e di registrazione degli eventi focalizzati sul cloud. I dati vengono poi unificati tra le infrastrutture di sicurezza cloud e on-premises, messi in correlazione grazie a un SIEM. Gli indicatori sono poi estratti e arricchiti, per poi controllare la presenza di malizia. Un ultimo passaggio di controllo umano agli analisti che fanno una loro revisione delle informazioni aggiornano il database e chiudono il caso.

I benefici di un SOAR

In sostanza un SOAR implementa metodi di lavoro e protocolli di azione nel sistema di lotta alle minacce informatiche di un azienda. In questo modo migliora notevolmente l’efficienza operativa e accelera il rilevamento degli incidenti cosi’ come i tempi di risposta, che vengono, di fatto, standardizzati.

Un SOAR aumenta la produttivita’ degli analisti e consente loro di concentrarsi sul miglioramento della sicurezza invece che sull’esecuzione di attivita’ manuali.

Sfruttando e coordinando gli investimenti tecnologici di sicurezza esistenti in un’azienda e’ possibile davvero fare la differenza.

Link utili:

SOC as a Service

Cos’e’ un Network Lateral Movement e come difendersi

Log Management

MITRE Att&ck: una panoramica

Il SOCaaS è utile per la tua azienda?

SOAR: cos’e’ e come puo’ essere utile per le aziende

Sicurezza: pentest e verifica delle vulnerabilita’

 

Next Generation SIEM
Tempo di lettura: 7 min

Il SIEM esiste gia’ da un bel po’ di tempo, ma non e’ ancora ben compreso. Inoltre, il fatto che la tecnologia si sia evoluta in modo significativo negli ultimi anni non aiuta a fare chiarezza. Oggi vediamo a che punto siamo, cercando di capire il Next Generation SIEM e i sistemi gestiti offerti come servizi che si avvalgono dell’uso di SIEM di ultima generazione (SOCaaS, per esempio). Vediamo cosa significa tutto questo per le aziende. 

Essendo una parte fondamentale del SOCaaS offerto da SOD, mi sembra opportuno spiegare nel dettaglio cosa sia un Next Generation SIEM e quali le sue funzioni.

Breve storia del SIEM

Prima di esaminare che cos’e’ un Next Generation SIEM, e’ giusto ripercorrere brevemente la storia di questa tecnologia e del suo inizio.

Il termine Security Information and Event Management (SIEM) viene coniato nel 2005 da Mark Nicolett e Amrit T. Williams di Gartner. La parola e’ la fusione di Security Event Management (SEM) e di Security Information Management (SIM).

La sua definizione originale data dai creatori del termine e’: una tecnologia che supporta il rilevamento delle minacce e la risposta agli incidenti di sicurezza, attraverso la raccolta in tempo reale e l’analisi storica degli eventi da un’ampia varieta’ di fonti di dati contestuali.

Il SIEM e’ nato dalla necessita’ di affrontare l’enorme numero di allarmi emessi dai sistemi di prevenzione delle intrusioni (IPS) e dai sistemi di rilevamento delle intrusioni (IDS) che stavano travolgendo i reparti IT. Aiutando le organizzazioni ad aggregare gli eventi e ad analizzare meglio quelli all’interno della rete, SIEM ha aiutato le organizzazioni a migliorare il rilevamento delle minacce. Ha inoltre portato le organizzazioni ad adottare un approccio piu’ proattivo alla sicurezza. Le tecnologie di sicurezza preventive non sono piu’ sufficienti da sole.

Le difficolta’ dei SIEM nei primi anni

Desiderose di migliorare la loro situazione di sicurezza informatica, molte organizzazioni a livello aziendale hanno adottato rapidamente la tecnologia SIEM. Nel corso degli anni, tuttavia, sono emersi problemi ereditati dal passato:

1. I set di dati erano poco flessibili, quindi alcuni SIEM non erano in grado di elaborare i dati richiesti, il che significava che la loro efficacia era limitata
2. Erano difficili da mantenere e da gestire, il che aggiungeva complessita’ e prosciugava le risorse di personale
3. I SIEM producevano un elevato numero di falsi positivi, creando ancora piu’ lavoro per i team di sicurezza
4. Con l’avanzare della tecnologia, i SIEM hanno faticato a stare al passo con l’evoluzione delle minacce e quindi il rischio informatico per le aziende e’ cresciuto

Arriva il Next Generation SIEM 

Molte minacce avanzate sono ora polimorfiche piuttosto che statiche. Sono in grado, cioe’, di modificare costantemente il loro comportamento per eludere il rilevamento. In quanto tali, i sistemi Next Generation SIEM devono, non solo elaborare un maggior numero di dati, ma anche diventare molto piu’ capaci nel riconoscere nuovi modelli al loro interno.

Date le difficolta’ e i limiti dei sistemi SIEM ereditati, molti pensavano che sarebbero scomparsi con il tempo. Ma questo non e’ accaduto, il SIEM rimane ancora una tecnologia chiave utilizzata dalle aziende. La tecnologia ha dovuto pero’ evolversi.

Mentre un tempo il SIEM si basava solo su una manciata di fonti di dati, la “Next Generation” dei sistemi SIEM e’ stata sviluppata per elaborare un volume e una varieta’ di dati maggiori, oltre a correlarli in modo tempestivo.

Gartner ha riferito che il mercato SIEM e’ in continua crescita. Una delle ragioni di questa crescita e’ che i sistemi Next Gen SIEM sono ora utilizzati da organizzazioni di medie dimensioni, non solo dalle grandi imprese.

Next Generation SIEM on the Cloud

Next Generation SIEM si avvale dell’uso del cloud per la raccolta dei dati

Quali sono le capacita’ del Next Gen SIEM?

I Next Gen SIEM, talvolta denominati SIEM di tipo analitico o SIEM 3.0, hanno portato nuove capacita’ alle organizzazioni e ai loro team di sicurezza. 

Permettono una piu’ rapida integrazione in un’infrastruttura aziendale attraverso un’architettura aperta per coprire le risorse cloud, on-premise e BYOD
Includono strumenti di visualizzazione in tempo reale per comprendere le attivita’ piu’ importanti e ad alto rischio
Utilizzano l’analisi degli scenari e del comportamento per “fotografare” scenari ben compresi ed evidenziare cambiamenti significativi nel comportamento
Integrano e utilizzano le informazioni sulle minacce (Threat Intelligence) provenienti da fonti personalizzate, open source e commerciali
Forniscono un quadro flessibile che consente l’implementazione di un flusso di lavoro su misura per i principali casi d’uso organizzativi
Misurano lo stato rispetto ai quadri normativi (ad esempio PCI DSS) per la prioritizzazione e la gestione del rischio

Security Orchestration, Automation and Response

Security Orchestration, Automation and Response (SOAR) e’ un’area di sicurezza in crescita che i fornitori di Next Gen SIEM stanno sfruttando per contribuire e mettere a frutto le piu’ recenti funzionalita’. Nella sua essenza, SOAR ha due aspetti fondamentali:

1. Permette di portare piu’ dati in un Next Gen SIEM per l’analisi

SOAR sta aiutando la tecnologia SIEM a diventare piu’ intelligente e orientata ai Big Data, consentendo cosi’ ai team di sicurezza di prendere decisioni piu’ rapide e meglio informate. Un’intelligence piu’ ampia significa un’identificazione piu’ affidabile delle minacce e meno falsi positivi.

2. Aiuta ad automatizzare la risposta agli incidenti

Un altro modo importante in cui SOAR sta influenzando l’evoluzione dei SIEM Next Gen e’ quello di contribuire a standardizzare l’analisi degli incidenti e le procedure di risposta. L’obiettivo e’ quello di automatizzare parzialmente o completamente le attivita’ di risposta, al fine di ridurre i potenziali danni e i disagi che le violazioni possono causare. Tali attivita’ di risposta potrebbero includere il blocco degli account utente compromessi e il blocco degli indirizzi IP su un firewall.

Automatizzando le azioni di routine, SOAR aiuta i team di sicurezza a diventare piu’ efficienti e libera loro tempo per concentrarsi sulla caccia alle minacce e sulla gestione delle patch.

Analisi del comportamento degli utenti (UEBA)

Un’altra importante caratteristica dei Next Generation SIEM e’ l’uso della User and Entity Behaviour Analytics (UEBA). L’UEBA non tiene traccia degli eventi di sicurezza ne’ monitora i dispositivi, ma si concentra invece sul monitoraggio e sull’analisi del comportamento degli utenti di un’organizzazione.

UEBA puo’ essere estremamente utile per aiutare le organizzazioni ad identificare gli account compromessi, cosi’ come le minacce da parte di insider. Funziona utilizzando tecniche avanzate di machine learning e di profilazione comportamentale per identificare attivita’ anomale come compromissioni di account e abuso di privilegi. Non utilizzando un monitoraggio basato su regole, l’UEBA e’ piu’ efficace nel rilevare le anomalie nel tempo.

Le sfide per un SIEM moderno

Nonostante gli indiscutibili progressi nel rilevamento di complesse minacce informatiche, i SIEM Next Gen possono ancora, se non vengono impiegati e mantenuti correttamente, generare un gran numero di allarmi. Per le organizzazioni che non dispongono di risorse IT e di personale di sicurezza dedicato, la ricerca di questi allarmi per distinguere i veri problemi di sicurezza della rete dai falsi positivi puo’ essere estremamente complessa e richiedere molto tempo.

Anche quando vengono identificate minacce reali, sapere come rispondere ad esse puo’ essere altrettanto impegnativo.

Ottenere il massimo dal SIEM, per aiutare ad affrontare le crescenti sfide di sicurezza, dipendera’ anche da personale meglio addestrato che possa utilizzare i sistemi in modo piu’ efficace e convalidare gli allarmi. Per le organizzazioni che non dispongono di conoscenze o capacita’ interne, ha quindi senso lavorare con un fornitore esterno in grado di coprire o aumentare le capacita’ di sicurezza.

Un servizio completo di SOCaaS, comprendente Next Generation SIEM e UEBA per la caccia alle minacce, e’ la scelta ideale. Non solo si risparmia in termini di tempo per la convalida e controllo degli allarmi, ma anche in termini economici, non dovendo affrontare spese di installazione e formazione del personale.

Se fossi interessato a saperne di piu’, non esitare a contattarci, risponderemo alle tue domande.

Link utili:

SOC as a Service

Cos’e’ un Network Lateral Movement e come difendersi

Log Management

MITRE Att&ck: una panoramica

Il SOCaaS è utile per la tua azienda?

SIEM software: cos’e’ e come funziona

SIEM in informatica: la storia

 

SIEM informatica
Tempo di lettura: 6 min

Una soluzione SIEM in informatica e’ uno dei componenti essenziali di un SOC (Security Operation Center). Il suo compito e’ quello di raccogliere informazioni e analizzarle alla ricerca di anomalie e possibili breach nel sistema. Ma non e’ sempre stato cosi’ semplice il processo di difesa. Quello che oggi chiamiamo SIEM, Security Information and Event Management, e’ l’unione di due differenti tipi di tool di cyber security. 

SIM e SEM: le origini

Prima dell’arrivo di una soluzione completa SIEM in informatica, la sicurezza era fortemente incentrata sulla protezione del perimetro e non teneva adeguatamente controllata la rete interna. Le prime soluzioni sviluppate negli anni ’90 erano basilari e sostanzialmente si occupavano di  gestione delle informazioni di sicurezza (SIM) oppure di gestione degli eventi di sicurezza (SEM). Erano soluzioni disponibili come strumenti che dovevano essere implementati in loco nel data center da proteggere. Questo limitava la scalabilita’, perché l’aggiunta di capacita’ richiedeva l’acquisto di ulteriore strumentazione.

Queste prime soluzioni erano anche costruite su database proprietari che obbligavano i clienti alla tecnologia di un unico fornitore. Se si voleva spostare i dati su un altro sistema, il processo era lungo e complicato. Da notare inoltre che l’archiviazione era piu’ costosa, quindi venivano raccolti solo i dati piu’ preziosi. Inoltre, sebbene le soluzioni SIM e SEM contenevano tutti i dati necessari alla difesa, la ricerca e l’allarme erano rudimentali. Inoltre, dipendevano da analisti della sicurezza esperti per ricercare, capire e interpretare cio’ che trovavano nei dati.

Le origini SIEM in informatica

Man mano che i dati diventavano piu’ sensibili e la tecnologia piu’ potente, i sistemi SIEM (SIM+SEM) diventavano capaci di ingerire, elaborare e memorizzare moltissimi dati. Le soluzioni SIEM in informatica di generazione successiva sono in grado di utilizzare gli avvisi signature-based per individuare le minacce nei dati raccolti. Tuttavia, in questo modo si possono individuare solo gli avvisi che abbiano individuato degli indicatori di compromesso (IOC) di una certa minaccia.

Per intenderci, se il tipo di attacco a cui viene sottoposto un sistema non e’ stato catalogato in una serie di IOC, un SIEM di prima generazione non e’ in grado di rilevarlo. Il principale svantaggio di quei sistemi era proprio la capacita’ molto limitata nello scoprire cyber threat sconosciuti.

Per fare un esempio pratico: era possibile usare una regola di questo tipo: “dare un avviso se un utente inserisce 10 password sbagliate consecutive”. In teoria questo potrebbe essere usato per rilevare attacchi con password di forza bruta. Ma cosa succederebbe se l’aggressore provasse solo 9 password di fila? O se l’allarme venisse dato per un utente molto smemorato?

Next Gen SIEM

Un SIEM di nuova generazione e’ costruito su una grande piattaforma di dati che fornisce una scalabilita’ illimitata ed e’ ospitato nel cloud. Un next gen SIEM include la gestione dei log, il rilevamento avanzato delle minacce basato sull’analisi del comportamento e la risposta automatica agli incidenti, il tutto su un’unica piattaforma. 

Questo elimina i problemi a cui erano proni i vecchi sistemi on-premises. Non dovendo installare alcunché e potendo mandare i dati necessari nel cloud abbastanza semplicemente, la potenza di calcolo della macchina locale non e’ compromessa e il SIEM puo’ gestire tutti i dati tranquillamente.

Come procede un SIEM in analisi informatica delle minacce

1. Raccolta dati: una soluzione SIEM in informatica raccoglie dati da tutta l’organizzazione utilizzando agenti installati su vari dispositivi, tra cui endpoint, server, apparecchiature di rete e altre soluzioni di sicurezza. Il SIEM di nuova generazione include il supporto per applicazioni e infrastrutture cloud, applicazioni aziendali, dati di identita’ e feed di dati non tecnici.

2. Arricchimento dei dati: L’arricchimento aggiunge ulteriore contesto agli eventi. Il SIEM arricchira’ i dati con identita’, risorse, geolocalizzazione e informazioni sulle minacce. 

3. Stoccaggio dei dati: I dati saranno poi memorizzati in una banca dati in modo da poterli ricercare durante le indagini. Il SIEM di nuova generazione sfrutta architetture open source e big data architectures, sfruttandone la scalabilita’.

4. Correlazione e analisi: Le soluzioni SIEM utilizzano diverse tecniche per trarre conclusioni utilizzabili dai dati del SIEM. Queste tecniche variano notevolmente.

5. Report: Un SIEM, in particolare un SIEM di nuova generazione, da’ la possibilita’ di cercare rapidamente i dati, permettendo di scavare negli avvisi e di cercare gli attori della minaccia e gli indicatori di compromesso. I dati visualizzati possono essere salvati o esportati. E’ inoltre possibile utilizzare report out-of-the-box o creare report ad hoc a seconda delle esigenze.

Per cosa e’ utilizzato un SIEM

Threat hunting e investigazione

La capacita’ di eseguire threat hunting su un SIEM e’ fondamentale per comprendere i veri modelli di attacchi basati sull’accesso, sull’attivita’ e sulle violazioni dei dati. Sviluppando una visione dettagliata e contestuale degli attacchi, gli analisti della sicurezza possono sviluppare piu’ facilmente politiche, contromisure e processi di risposta agli incidenti per contribuire a mitigare e rimuovere la minaccia.

Risposta in caso di incidente

Una risposta efficace agli incidenti e’ fondamentale per intervenire piu’ rapidamente e ridurre i tempi di permanenza della minaccia. Per questo, un SIEM fornisce un playbook per la risposta agli incidenti con azioni automatizzate configurabili. Un SIEM e’ in grado di integrarsi con soluzioni di terze parti per l’orchestrazione della sicurezza (SOAR) o la gestione dei singoli casi.

Difesa contro le minacce interne

Il motivo per cui le minacce interne sono un problema cosi’ grande perché non si tratta di entrare nel perimetro, ma di sfruttare posizioni interne. Possono essere i vostri dipendenti, appaltatori o soci in affari. Potrebbero essere loro stessi a voler sfruttare la loro posizione, oppure il loro account potrebbe essere stato violato.

Con ogni tipo di minaccia interna, l’aggressore cerca di rimanere nascosto, raccogliendo dati sensibili da sfruttare. Questo potrebbe  causare notevoli danni alla compagnia, alla sua posizione nel settore e al suo rapporto con i consumatori o gli investitori. Con l’utilizzo di un SIEM, si evita questo rischio.

Individuazione di cyber threat

E’ probabile che la tua organizzazione disponga di almeno un archivio di dati sensibili. I cyber criminali prosperano sul saccheggio di questi dati per ottenere guadagni finanziari. Molte violazioni iniziano con una semplice e-mail phishing contro un obiettivo di un’organizzazione. Il semplice clic su un allegato puo’ lasciare codice dannoso dietro di sé. Un SIEM vi permettera’ di monitorare modelli avanzati di minacce informatiche come il phishing, il beaconing e il lateral movement.

Standard di conformita’

Per molti settori industriali, l’adesione agli standard di conformita’ e’ fondamentale. Un SIEM puo’ essere d’aiuto fornendo report incentrati sulle richieste per la conformita’ dei dati. I pacchetti integrati che coprono tutti i principali mandati, inclusi PCI DSS, SOX e ISO 27001, sono una caratteristica standard anche dei SIEM.

Next Generation SIEM

Un SIEM di nuova generazione non e’ solo un sistema ospitato nel cloud. Si avvale anche dell’implementazione di IA e Machine Learning per aumentare la difesa del sistema IT.

Lo vedremo in un prossimo articolo, ma e’ giusto specificare che il SOCaaS offerto da SOD si avvale della tecnologia di ultima generazione offerta da sistemi Next Gen. SIEM. Contattaci per saperne di piu’ a riguardo e parlare con esperti che possono fugare ogni tuo dubbio.

Link utili:

SOC as a Service

Cos’e’ un Network Lateral Movement e come difendersi

Log Management

MITRE Att&ck: una panoramica

Il SOCaaS è utile per la tua azienda?

SIEM software: cos’e’ e come funziona

Network Lateral Movement
Tempo di lettura: 5 min

Durante un attacco informatico, gli hacker hanno un unico obiettivo in mente. Questo obiettivo potrebbe essere l’accesso alla macchina di uno sviluppatore e il furto del codice sorgente di un progetto, l’analisi delle e-mail di un particolare dirigente o l’estrazione di dati dei clienti da un server. Tutto cio’ che devono fare e’ entrare nella macchina o sistema che contiene i dati desiderati, giusto? Non proprio. In realta’, e’ un po’ piu’ complicato di cosi’. Per raggiungere il loro obiettivo, e’ probabile che gli hacker si introducano in un server web di basso livello, in un account di posta elettronica o un dispositivo per dipendenti, per fare qualche esempio. Da quel nodo, si muoveranno lateralmente (da cui il nome network lateral movement) per raggiungere il loro obiettivo.

In effetti, quando gli aggressori compromettono una risorsa in una rete, quel dispositivo non e’ quasi mai la loro destinazione finale. La compromissione iniziale, inoltre, raramente causa gravi danni e potrebbe passare inosservata. Solo se le squadre di sicurezza sono in grado di rilevare un lateral movement prima che gli aggressori raggiungano l’obiettivo previsto, e’ possibile prevenire la violazione dei dati.

In questo articolo esamineremo alcuni dei tipi piu’ comuni di network lateral movement e identificheremo i modi in cui possiamo rilevare l’attacco e difenderci.

Capire il network lateral movement

Il lateral movement avviene quando un aggressore si impossessa di una risorsa all’interno di una rete e poi estende la sua portata da quel dispositivo ad altri all’interno della stessa rete. Vediamolo con uno schema per aiutarci a capire meglio.

Il perimetro dell’infrastruttura da penetrare e’ rappresentato con una linea orizzontale. La meta’ superiore rappresenta cio’ che e’ al di fuori della rete, mentre cio’ che si trova al di sotto della linea rappresenta cio’ che e’ all’interno. Affinche’ un aggressore possa entrare nella rete, deve muoversi verticalmente, cioe’ dall’esterno verso l’interno (chiamato anche traffico Nord-Sud). Ma una volta che si e’ stabilito un punto d’appoggio, e’ possibile muoversi lateralmente o orizzontalmente, cioe’ all’interno della stessa rete (chiamato traffico Est-Ovest) per raggiungere l’obiettivo finale dell’attacco.

Lateral Movement - Schema

Possibile percorso di un lateral movement. La freccia indica i nodi della rete che vengono coinvolti nell’attacco.

Gli approcci al Lateral Movement

Nel complesso, ci sono due comuni metodi con cui un hacker applica il lateral movement.

Primo approccio: l’aggressore effettua una scansione interna per scoprire quali altre macchine si trovano all’interno della rete. In particolare, scansiona le porte aperte che sono in ascolto e le macchine che soffrono di vulnerabilita’. A quel punto, l’aggressore puo’ abusare di queste debolezze per spostarsi lateralmente verso un’altra risorsa.

Il secondo approccio al lateral movement sfrutta credenziali rubate, ed e’ il piu’ comune dei due. In questo tipo di attacco, l’hacker potrebbe utilizzare una tecnica di phishing via e-mail per infettare una macchina che si interfaccia con un particolare server. Dopo potra’ utilizzare il suo accesso per recuperare le password tramite un keylogger o altri strumenti simili. A questo punto, puo’ utilizzare qualsiasi credenziale sia stato in grado di ottenere per impersonare l’utente vittima del phishing e accedere a un’altra macchina. Una volta stabilito l’accesso su quel computer, si puo’ ripetere la tattica cercando ulteriori credenziali e/o privilegi da sfruttare. In questo modo, il malintenzionato puo’ farsi strada e creare connessioni remote al dispositivo target.

In entrambi i casi e’ complicato individuare l’attacco, perche’ non si presenta tramite malfunzionamenti di software o applicazioni.

Come difendersi

Un lateral movement si manifesta spesso tramite un’attivita’ di rete anomala. E’ sospettoso, ad esempio, che una macchina, che dialoga normalmente con poche altre, inizi a scansionare l’intera rete. Lo stesso vale se quella macchina tenta di connettersi a porte aperte, di interagire con servizi e credenziali con cui normalmente non ha contatti, o di utilizzare un nome utente che non e’ mai stato utilizzato prima.

La lista dei campanelli d’allarme va avanti all’infinito. La cosa fondamentale da capire e’ che un lateral movement implica macchine che fanno qualcosa fuori dalla loro routine, senza un’adeguata autorizzazione da parte dell’IT.

Questo e’ cio’ che da’ alle organizzazioni la possibilita’ di rilevare questo tipo di attacchi. Implementare una monitorizzazione dei log file e’ un primo passo per la difesa. Idealmente, i dati dovrebbero essere costantemente analizzati per individuare anomalie e possibili brecce.

Problematiche nella difesa

Queste difese non sono infallibili. I team di sicurezza che si affidano semplicemente ai log file limitano la portata della loro posizione difensiva, ad esempio, a causa di log file raccolti solo da particolari applicazioni. Si potrebbe decidere di monitorare un certo servizio per i furti di credenziali, ma gli aggressori potrebbero non sfruttare quel particolare servizio per effettuare un lateral movement. Cio’ significa che tutte le azioni dannose che non utilizzano i servizi monitorati non verranno rilevate tempestivamente.

Oltre a questo, gli hacker conoscono i tipi di protocolli che il personale di sicurezza tende a monitorare, rendendo il loro compito ulteriormente complesso. Gli attaccanti possono usare questa conoscenza per modellare le loro campagne di attacco in modo da avere maggiori possibilita’ di passare inosservati. E’ uno dei motivi per cui e’ stato creato il database MITRE ATT&CK, per raccogliere tecniche conosciute e alzare le difese.

Il vantaggio di un SOCaaS

Non e’ sufficiente che le organizzazioni cerchino il lateral movement utilizzando i log file o uno strumento EDR. E’ necessario rivolgere l’attenzione alla rete nel suo complesso. In questo modo e’ possibile vedere tutto il traffico di rete, stabilire una baseline della normale attivita’ di rete per ogni utente e dispositivo e in seguito monitorare le azioni insolite che potrebbero essere indicative di attacchi. E’ conosciuto come anomaly detection, ed e’ piu’ completo e spesso piu’ facile rispetto all’esame di ogni log file alla ricerca di eventi fuori dalla norma.

Il problema del anomaly detection e’ che molte di queste irregolarita’ sono benigne, e si perde quindi molto tempo ad analizzarle. Cio’ che serve per separare il lateral movement dannoso dalle anomalie di rete benigne e’ la comprensione dell’aspetto del comportamento dannoso

E’ qui che entra in gioco un sistema completo che utilizza sia strumenti di analisi comportamentale che tecnici professionisti della sicurezza.

Il SOCaaS offerto da SOD comprende un Security Data Lake (SDL) per la raccolta dei dati e vari strumenti per l’analisi degli stessi. Uno di questi e’ lo UEBA, particolarmente indicato per la rilevazione di minacce sociali, in quanto analizza tramite IA i comportamenti degli utenti usando le loro azioni come fonte dei dati.

Con questi e altri strumenti che compongono il SOC, e’ possibile attivamente ridurre il rischio di attacchi ai propri dati aziendali. Se sei interessato a saperne di piu’ del SOCaaS di SOD, ti invito a visitare la pagina dedicata o a contattarci direttamente.

Link utili:

Il SOCaaS e’ utile per la tua azienda?

SOCaaS

 

Mitre Att&ck cover
Tempo di lettura: 6 min

Mitre Att&ck e’ una knowledge base globale di tattiche e tecniche avversarie basate su osservazioni reali degli attacchi cibernetici. Queste sono visualizzate in matrici organizzate per tattiche di attacco, dall’accesso iniziale al sistema al furto di dati, fino al controllo della macchina. Esistono matrici per le comuni piattaforme desktop (Linux, macOS e Windows) e per quelle mobili.

Cos’e’ e cosa significa MITRE ATT&CK ™?

ATT&CK sta per “adversarial tactics, techniques, and common knowledge” e cioe’: tattiche, tecniche avversarie e conoscenze comuni. Cerchiamo di andare piu’ a fondo.

Tattiche e tecniche sono un modo moderno di pensare gli attacchi cibernetici. Piuttosto che guardare ai risultati di un attacco, cioe’ a un indicatore di compromissione (IoC), gli analisti della sicurezza dovrebbero guardare alle tattiche e alle tecniche che indicano che un attacco e’ in corso. Le tattiche rappresentano l’obiettivo che si vuole raggiungere, mentre le tecniche rappresentano il modo in cui un avversario conta di raggiungerlo.

La common knowledge o conoscenza comune e’ l’uso documentato di tattiche e tecniche utilizzate dagli avversari. Essenzialmente, la common knowledge e’ la documentazione delle procedure usate da chi sferra gli attacchi. Chi ha familiarita’ con la sicurezza informatica, potrebbe avere familiarita’ con il termine “tattiche, tecniche e procedure” o TTP. Questo stesso concetto e’ stato usato da ATT&CK ™, con la sostituzione del termine procedure con common knowledge.

Chi e’ MITRE e qual e’ l’obiettivo di ATT&CK ™?

MITRE e’ un’organizzazione di ricerca finanziata dal governo USA con sede a Bedford, MA, e McLean, VA. La societa’ e’ stata scorporata dal MIT nel 1958 ed e’ stata coinvolta in una serie di progetti commerciali e top secret per diverse agenzie. Questi includevano lo sviluppo del sistema di controllo del traffico aereo della FAA e del sistema radar AWACS. Il MITRE ha una sostanziale pratica di sicurezza informatica finanziata dal National Institute of Standards and Technology (NIST).

Una curiosita’: la parola Mitre non significa nulla. A quanto pare uno dei primi membri, James McCormack, voleva un nome che non significasse nulla ma che fosse evocativo. Alcuni pensano erroneamente che significhi Massachusetts Institute of Technology Research and Engineering.

L’obiettivo di ATT&CK e’ quello di creare un elenco completo delle tattiche e delle tecniche avversarie conosciute utilizzate durante un attacco cibernetico. Aperto alle organizzazioni governative, educative e commerciali, dovrebbe essere in grado di raccogliere un’ampia, e si spera esaustiva, gamma di fasi e sequenze di attacco. MITRE ATT&CK ha lo scopo di creare una tassonomia standard per rendere piu’ specifiche le comunicazioni tra le organizzazioni.

Come si usa la matrice ATT&CK ™?

La matrice organizza visivamente tutte le tattiche e le tecniche conosciute in un formato di facile comprensione. Le tattiche di attacco sono mostrate in alto e le singole tecniche sono elencate in basso in ogni colonna. Una sequenza di attacco comporterebbe almeno una tecnica per tattica, e una sequenza di attacco completa sarebbe costruita spostandosi da sinistra (Accesso iniziale) a destra (Comando e controllo). E’ possibile utilizzare piu’ tecniche per una sola tattica. Per esempio, un attaccante potrebbe provare sia uno Spearphishing Attachment che uno Spearphishing Link come tattiche di accesso iniziale.

Ecco un esempio di matrice:

Mitre Atta&ck matrice

In questa matrice sono presenti tutte le fasi di una sequenza di attacco. E’ organizzata in modo che le tattiche siano ordinate da destra a sinistra secondo la sequenza di attacco. Sotto ogni tattica le tecniche corrispondenti, alcune delle quali contengono delle sotto-tecniche. Le due tecniche citate prima, sono in effetti sotto-tecniche del phishing che fa parte del primo passaggio nella sequenza (prima colonna a sinistra).

Esempio

Non e’ necessario che un attaccante usi tutte e undici le tattiche nella parte superiore della matrice. Piuttosto, l’attaccante utilizzera’ il numero minimo di tattiche per raggiungere il suo obiettivo, in quanto e’ piu’ efficiente e fornisce meno possibilita’ di scoperta. In questo attacco (illustrato nello schema qui sotto), l’avversario esegue l’accesso iniziale alle credenziali dell’assistente amministrativo del CEO utilizzando uno Spearphishing link consegnato in una e-mail. Una volta in possesso delle credenziali dell’amministratore, l’aggressore cerca un Remote System Discovery della fase Discovery.

Fasi di un attacco

Esempio: le tattiche e le tecniche usate nella fasi di un attacco

Supponiamo che stiano cercando dati sensibili in una cartella Dropbox alla quale anche l’amministratore ha accesso, quindi non c’e’ bisogno di aumentare i privilegi. La raccolta, che e’ l’ultima fase, viene eseguita scaricando i file da Dropbox alla macchina dell’aggressore.

Si noti che se si utilizza l’analisi del comportamento, un analista della sicurezza potrebbe rilevare l’attacco in corso identificando il comportamento anomalo dell’utente.

Ed e’ proprio quello che un SOC dovrebbe fare, ecco, grossomodo, come potrebbe essere mitigato l’attacco: supponiamo che l’amministratore abbia cliccato un link che nessuno dell’azienda ha mai cliccato prima, poi l’amministratore e’ entrato in una particolare cartella di Dropbox in un momento insolito. Durante la fase finale dell’attacco, il computer dell’aggressore e’ entrato per la prima volta nella cartella Dropbox. Con l’analisi comportamentale, queste attivita’ verrebbero segnalate come comportamento sospetto dell’utente.

Consultare ATT&CK

Per consultare questa risorsa e’ sufficiente visitare il suo sito e ci si trovera’ davanti alla matrice di cui ho pubblicato uno screenshot poco fa. Supponiamo di voler consultare la tecnica Spearphishing Link. Cliccando su di essa, verra’ aperta la pagina corrispondente che contiene informazioni approfondite a riguardo, come una descrizione della tecnica, quali sotto-tecniche esistono, degli esempi di procedura che la includono e i suggerimenti per la mitigazione del rischio. 

In sostanza sono disponibili tutte le informazioni necessarie per conoscere e difendersi in modo appropriato da ogni tecnica.

Tecnica Spearphishing Link Scheda Mitre Att&ck

La parte iniziale della scheda della tecnica Spearphishing Link.

Conclusioni

I vantaggi di una risorsa come MITRE ATT&CK sono davvero notevoli. I team di sicurezza informatica hanno a disposizione un alleato prezioso, a cui possono aggiungere degli strumenti dedicati alla sua consultazione.

Se e’ quasi certo che gli aggressori si stanno adattando man mano che i difensori mettono in opera nuove competenze, e’ anche vero che ATT&CK fornisce un modo per descrivere le nuove tecniche che essi sviluppano. 

Link utili:

Sicurezza: pentest e verifica delle vulnerabilita’

Il SOCaaS e’ utile per la tua azienda?

SOCaaS – Security Operation Center as a Service

SOCaaS - Post Cover
Tempo di lettura: 6 min

Nell’articolo di oggi, spiegheremo cos’e’ un Security Operations Center (SOC) e aiuteremo a determinare se una soluzione SOC-as-a-Service (SOCaaS) sia adatta alla vostra azienda. Solo perché dovete gestire la sicurezza informatica, non significa che la vostra azienda si debba occupare di sicurezza informatica. Di fatto il vostro core business potrebbe essere praticamente qualsiasi altra cosa.

Una gestione corretta della sicurezza informatica, pero’, e’ indispensabile per consentire alla vostra azienda di crescere e di ottenere le certificazioni al trattamento dei dati richieste per legge. Avere le giuste competenze in materia di sicurezza informatica disponibili al momento giusto e’ fondamentale per il vostro successo, ma non avete idea di quando sara’ quel momento.

Scegliere la tecnologia, le persone e i processi giusti per costruire una moderna sezione operativa di sicurezza e’ una delle sfide piu’ grandi per i responsabili della sicurezza informatica.

Cos’e’ un SOCaaS e cosa puo’ fare per te

Prima di capire quali siano le sfide per la gestione, e’ bene capire cosa sia un SOC. Esso svolge le seguenti funzioni:

Pianifica, configura e mantiene l’infrastruttura di sicurezza.

Con un SOC e’ possibile configurare lo stack tecnologico (endpoint, applicazioni SaaS, infrastruttura cloud, rete, etc.) per identificare l’attivita’ rilevante ed eliminare i dati non necessari. Monitorare le fonti di dati per garantire che l’ecosistema sia sempre connesso.

Rilevare e rispondere

Inoltre, e’ possibile monitorare l’attivita’ di allarme in arrivo. Indagare sugli allarmi per determinare se si tratta di un vero problema di sicurezza o di un falso allarme. Se qualcosa e’ una reale minaccia alla sicurezza, si puo’ valutare l’ampiezza della situazione ed eseguire azioni di risposta.

Caccia alle minacce

SOCaaS - Hacker

Si puo’ esaminare l’attivita’ di un certo evento per determinare se ci fossero dei segni di compromissione che possono aver eluso i controlli automatici. Lo scenario piu’ comune e’ quello di rivedere la cronologia di un indirizzo IP o di un file che e’ stato determinato essere dannoso.

Stoccaggio dei log file

Altra possibilita’ e’ raccogliere e archiviare in modo sicuro i log file, per un periodo fino a sette anni, per la conformita’ alle norme. Il team dovra’ fornire questi dati critici per un’analisi forense nel caso si verifichi una situazione di sicurezza.

Misurare gli indicatori di performance

Ovviamente e’ possibile monitorare le KPI (indicatori di performance). Nel dettaglio e’ possibile misurare e riportare le KPI per dimostrare al team esecutivo come stia funzionando il SOC.

Le sfide per implementare un proprio SOC

Trovare, formare e conservare i professionisti della sicurezza informatica e’ costoso

Le abilita’ necessarie per gestire le mansioni di sicurezza informatica sono molto richieste. Sfortunatamente, la carenza e’ destinata a peggiorare prima di migliorare. Secondo l’International Certification Organization (ISC), il numero di posizioni non occupate in tutto il mondo era di oltre 4 milioni di professionisti nel 2019, rispetto ai quasi tre milioni dell’anno precedente.

La formazione di personale con un ampio background IT nelle competenze di sicurezza informatica e’ un’opzione, ma mantenere queste persone e’ costoso. La loro sostituzione, quando eventualmente vengono assunte altrove, da’ inizio a un ciclo che di solito finisce per essere piu’ costoso del previsto, soprattutto rispetto al SOCaaS.

Inoltre, le persone che lavorano bene in questo settore di solito vogliono esplorare nuovi argomenti e affrontare nuove sfide. Dovrete trovare altri progetti o ruoli correlati per far ruotare il personale del SOC per tenerli impegnati. Questo aiuta anche a costruire le loro competenze, in modo che siano pronti a rispondere e ad agire prontamente quando necessario.

La sicurezza informatica e’ uno sport di squadra

E’ importante avere un insieme di competenze diverse e un team che lavori bene come squadra. Le minacce alla sicurezza si evolvono rapidamente, indagini e risposte adeguate richiedono persone che comprendano gli endpoint, le reti, le applicazioni cloud e altro ancora. Spesso si finisce per essere un manager SOC, un amministratore di sistema e un cacciatore di minacce, a seconda della giornata e da cio’ che accade nel proprio ambiente.

Questo significa che avrete bisogno di un team che impari in continuazione, in modo da avere le giuste competenze quando ne avrete bisogno. Le persone che vanno bene in questo settore prosperano in un ambiente di squadra in cui possono imparare e sfidarsi a vicenda. Per questo, avete bisogno di un workflow che riunisca regolarmente diversi analisti SOC.

Pensatela in questo modo: non mettereste sul campo una squadra di calcio che non si e’ allenata insieme. La vostra squadra SOC si scontra con un avversario che gioca di squadra ogni giorno. Per avere successo, avete bisogno di professionisti che abbiano molta esperienza di gioco per costruire le loro capacita’ sia nella posizione singola che come squadra.

Una squadra di analisti SOC che non faccia un allenamento regolare non sara’ pronta quando verra’ colpita da un avversario ben allenato. E’ difficile ottenere questa esperienza in una piccola organizzazione.

Un SOCaaS e’ la risposta immediata a questa esigenza. La squadra che si occupera’ della vostra sicurezza IT e’ allenata e stimolata ogni giorno da sfide sempre nuove, dovendo avere a che fare con infrastrutture diverse quotidianamente.

La copertura 24/7 e’ una necessita’

Lasciare che un avversario sia libero di lanciare esche per ore, giorni o settimane rende infinitamente piu’ difficile contenere e rimuovere le minacce. L’avversario sa di avere un tempo limitato per fare piu’ danni possibili, come nel caso del ransomware, o per mettere in secondo piano le porte, come nel caso dell’estrusione dei dati.

Avrete le migliori possibilita’ di recupero se potrete indagare e rispondere in pochi minuti. Una soluzione che fornisca una copertura 24×7 e’ quindi fondamentale.

Nella sicurezza informatica non esistono “orari di lavoro” per un motivo in particolare: un attacco potrebbe arrivare da un punto qualunque del globo, di conseguenza non si puo’ fare affidamento a orari convenzionali. Questo e’ frutto della diffusione della rete come strumento di connessione mondiale, possiamo solo farci i conti in modo adeguato. Un SOCaaS solleva l’azienda che lo utilizza dal mantenere una divisione aperta 24/7.

Gestire i fornitori e integrare gli strumenti e’ piuttosto costoso

La sicurezza informatica e’ complessa e la tecnologia si evolve rapidamente. Ci saranno sempre piu’ tecnologie che devono lavorare insieme, il che richiede il mantenimento delle competenze per implementare, aggiornare e configurare ogni componente e formare il vostro personale sulle nuove versioni e caratteristiche. Se avete il vostro SOC, dovete gestire anche queste relazioni tra i fornitori, le licenze e l’attivita’ di formazione.

La linea di fondo e’ che la creazione delle capacita’ di cui avete bisogno richiede un sacco di compiti di basso livello e un esteso lavoro quotidiano. Per le organizzazioni in grado di sostenerlo, lo sforzo ha senso. Per la maggior parte delle organizzazioni, il compito e’ meglio lasciarlo a un partner in grado di fornire questo servizio, consentendo di ottenere tutti i vantaggi di un SOC di alto livello senza la spesa e la distrazione di costruirlo voi stessi.

Conclusioni

Se il budget non e’ un problema e si dispone di abbastanza personale che si concentri sulla costruzione e manutenzione di un SOC 24×7, allora puo’ avere senso seguire questa strada. Se siete vincolati su uno di questi due fronti, allora il SOCaaS sara’ l’approccio migliore.

In sintesi, il SOCaaS vi permette di:

1. Passare il tempo a gestire la sicurezza, non la tecnologia e i fornitori
2. Avere una spesa prevedibile. Nessuna richiesta di budget a sorpresa
3. Ottenere informazioni sulla sicurezza da altre organizzazioni
4. Gestire gli allarmi in modo piu’ efficiente e con risultati piu’ prevedibili
5. Essere agili e stare al passo con le esigenze IT della vostra organizzazione in continua evoluzione
6. Rimanere al passo con le innovazioni degli strumenti di sicurezza di oggi.

Se la tua azienda vuole saperne di piu’ sulle soluzioni SOCaaS di Secure Online Desktop, contattateci per una consulenza non vincolante. Vi illustreremo tutti i vantaggi e chiariremo ogni dubbio riguardo a questa soluzione.

Link utili:

Sicurezza: pentest e verifica delle vulnerabilita’

SOC as a Service

 

Customers

Newsletter