cybersecurity predittiva

Tempo di lettura stimato: 4 minuti

Oggi, affrontare un attacco in un SOC aziendale è molto simile ad essere sotto attacco senza sapere da quale direzione sta arrivando il colpo. La threat intelligence è in grado di tenervi informati sui problemi di sicurezza. Tuttavia, in molti casi, queste informazioni sono fornite solo quando siete già sotto attacco, e raramente sono molto utili se non a posteriori. Ci vorrebbe un approccio diverso all’analisi dei dati, ed è proprio quello che proponiamo con la cybersecurity predittiva.

Nella cybersecurity, ci si affida ancora alla threat intelligence come strumento difensivo fondamentale. Purtroppo, le informazioni sulle minacce coprono solo un sottoinsieme delle minacce che sono già state trovate, mentre gli aggressori innovano costantemente. Questo significa che nuovi eseguibili malware, domini di phishing e strategie di attacco sono creati in continuazione.

Le informazioni sulle minacce hanno un forte valore per la risposta reattiva agli incidenti. Aiuta quando si fa perno durante un’indagine, identificando l’intento o altri dati utili, e fornisce ulteriore assistenza investigativa. Ma ha un valore limitato per il rilevamento, poiché gli attori delle minacce evitano di riutilizzare la loro infrastruttura di attacco da un obiettivo all’altro.

Se gli indizi che vedrete sono diversi da quelli conosciuti dagli attacchi precedenti, cosa si può fare per andare avanti con un rilevamento efficace? Una domanda legittima, per cui forse la cybersecurity predittiva ha una risposta.

…e se si potesse sapere cosa sta per colpire?

SOCaaS: cybersecurity predittiva

Occhi sugli avversari piuttosto che sugli attacchi passati

La soluzione SOCaaS offerta da SOD porta capacità di cybersecurity predittiva alla sicurezza informatica. La soluzione mappa gli avversari, invece delle minacce, e analizza le loro azioni per prevedere il comportamento e gli strumenti utilizzati nei loro attacchi.

Il motore analitico traduce i modelli comportamentali in profili di infrastrutture di attacco avversarie, che indicano come (trojan, phishing o altre forme di attacco) e dove (filiali, clienti, partner, pari, settore e aree geografiche) gli aggressori stanno progettando di colpire la vostra azienda.

Questo fornisce una mappa di attacco preventiva, che identifica gli avversari in base alla loro fase di attacco e alla posizione attuale all’interno del panorama aziendale esteso. Ma non solo, infatti sono identificate anche le informazioni sull’avversario, i modelli di attacco tipici e le possibili contromisure che possono essere prese in anticipo. In questo modo si può annullare la minaccia prima che si materializzi.

cybersecurity predittiva

Cybersecurity predittiva: capire prima ciò che accadrà

Il nostro SOCaaS fornisce capacità di rilevamento predittivo contro le minacce interne ed esterne con la combinazione di analisi del comportamento di utenti, entità e avversari. Il nostro Next-Gen SIEM utilizza un approccio guidato dall’analisi per il rilevamento delle minacce. Il SOC fornisce visibilità nelle prime fasi cruciali di un attacco. Cioè quando gli attori informatici stanno prendendo di mira, pianificando e preparando l’infrastruttura per un attacco.

Con questo livello di visibilità predittiva, il team può prevenire gli attacchi e contenere sistematicamente quelli in corso. La cybersecurity predittiva permette ai difensori di sintonizzare i loro sistemi contro l’infrastruttura di attacco. È, infatti, possibile costruire blacklist che includono gli indirizzi IP e i nomi host delle istanze utilizzate per l’attacco. Altre misure includono la fortificazione dei sistemi aziendali contro il malware specifico che viene utilizzato per colpirli, rendendo l’attacco impotente, quando avviene.

L’analisi del comportamento degli avversari estende le capacità del Next-Gen SIEM fornendo continuamente un’analisi aggiornata delle informazioni degli avversari e del loro comportamento. Questo comprende l’intera infrastruttura di attacco, per una protezione dalle minacce dinamica e preventiva.

Il SOCaaS traduce automaticamente il comportamento pre-attacco degli avversari in azioni o contromisure che è possibile adottare contro il phishing, la compromissione della posta elettronica aziendale, il ransomware, le frodi e molte altre minacce comuni.

Casi comuni di utilizzo

Concatenamento delle minacce

Correlare le violazioni provenienti dallo stesso avversario/campagna in una minaccia coesiva, anche se per ogni evento vengono utilizzati diversi pezzi di infrastruttura di attacco.

Prevenzione e difesa preventiva

Bloccare preventivamente l’intera infrastruttura di attacco di un avversario, come i domini di phishing appena creati, per una difesa preventiva.

Rafforzare le risorse vulnerabili

Concentratevi e mettete in sicurezza le parti più vulnerabili della vostra infrastruttura sulla base di informazioni che identificano quali aree sono possibili obiettivi.

cybersecurity predittiva

Le informazioni fornite dal SOCaaS vengono utilizzate per aggiungere un maggiore contesto alle minacce esistenti, oltre a fornire informazioni sugli attacchi che non sono ancora stati realizzati o sono nelle prime fasi, come la ricognizione. Questo permette di intraprendere azioni dirette contro le minacce in evoluzione e una difesa più robusta.

Conclusioni

Affidarsi alla fortuna per catturare le minacce è una follia, come ci ha dimostrato il recente attacco SolarWinds. Create la vostra fortuna con la soluzione SOCaaS di SOD, assicurandovi di vedere le minacce prima che accadano e di essere abbastanza “fortunati” da contrastarle.

Threat Intelligence Virtual

Estimated reading time: 6 minutes

I dati di threat intelligence forniscono alle aziende approfondimenti rilevanti e tempestivi necessari per comprendere, prevedere, rilevare e rispondere alle minacce alla sicurezza informatica. Le soluzioni di intelligence sulle minacce raccolgono, filtrano e analizzano grandi volumi di dati grezzi relativi a fonti esistenti o emergenti di minacce. Il risultato sono feed di threat intelligence e rapporti di gestione. I data scientist e i team di sicurezza utilizzano questi feed e report per sviluppare un programma con risposte mirate agli incidenti per attacchi specifici.

Tutti, dalla prevenzione delle frodi alle operazioni di sicurezza all’analisi dei rischi, traggono vantaggio dalla threat intelligence. Il software di intelligence sulle minacce fornisce visualizzazioni interattive e in tempo reale dei dati relativi alle minacce e alle vulnerabilità.

Il vantaggio offerto agli analisti ed esperti di sicurezza è evidente e serve a identificare facilmente e rapidamente i modelli degli attori delle minacce. Comprendere la fonte e l’obiettivo degli attacchi aiuta i capi d’azienda a mettere in atto difese efficaci per mitigare i rischi e proteggersi dalle attività che potrebbero avere un impatto negativo sull’azienda.

La cyber threat intelligence può essere classificata come strategica, tattica oppure operativa. Quella Strategica riguarda le capacità e gli intenti generali degli attacchi informatici. Di conseguenza anche lo sviluppo di strategie informate associate alla lotta contro le minacce a lungo termine. Quella Tattica riguarda le tecniche e le procedure che gli aggressori potrebbero utilizzare nelle operazioni quotidiane. Infine, la threat intelligence Operativa, fornisce informazioni altamente tecniche a livello forense riguardanti una specifica campagna di attacco.

Threat Intelligence Virtual

Il ciclo della threat intelligence

Le soluzioni di intelligence sulle minacce raccolgono dati grezzi sugli attori e le minacce da varie fonti. Questi dati vengono poi analizzati e filtrati per produrre feed e rapporti di gestione che contengono informazioni che possono essere utilizzate in soluzioni automatizzate di controllo della sicurezza. Lo scopo principale di questo tipo di sicurezza è quello di mantenere le organizzazioni informate sui rischi delle minacce persistenti avanzate, delle minacce zero-day e degli exploit, e su come proteggersi da esse.

Il ciclo di intelligence delle minacce informatiche consiste nelle seguenti fasi.

Pianificazione: I requisiti dei dati devono essere prima definiti.

Raccolta: Si raccolgono grandi quantità di dati grezzi da fonti interne ed esterne di threat intelligence.

Elaborazione: I dati grezzi sono filtrati, categorizzati e organizzati.

Analisi: Questo processo trasforma i dati grezzi in flussi di informazioni sulle minacce con l’uso di tecniche analitiche strutturate in tempo reale e aiuta gli analisti a individuare gli indicatori di compromissione (IOC).

Diffusione: I risultati dell’analisi vengono immediatamente condivisi con i professionisti della sicurezza informatica e gli analisti di threat intelligence.

Feedback: Se tutte le domande trovano risposta, il ciclo si conclude. Se ci sono nuovi requisiti, il ciclo ricomincia dalla fase di pianificazione.

Indicatori comuni di compromissione

Le aziende sono sempre più sotto pressione per gestire le vulnerabilità della sicurezza e il panorama delle minacce è in continua evoluzione. I feed di threat intelligence possono aiutare in questo processo identificando gli indicatori comuni di compromissione (IOC). Non solo, possono anche raccomandare i passi necessari per prevenire attacchi e infezioni. Alcuni degli indicatori di compromissione più comuni includono:

Indirizzi IP, URL e nomi di dominio: Un esempio potrebbe essere un malware che prende di mira un host interno che sta comunicando con un noto attore di minacce.

Indirizzi e-mail, oggetto delle e-mail, link e allegati: Un esempio potrebbe essere un tentativo di phishing che si basa su un utente ignaro che clicca su un link o un allegato e avvia un comando dannoso.

Chiavi di registro, nomi di file e hash di file e DLL: Un esempio potrebbe essere un attacco da un host esterno che è già stato segnalato per un comportamento nefasto o che è già infetto.

threat intelligence hacker

Quali strumenti per la threat intelligence

Il crescente aumento del malware e delle minacce informatiche ha portato a un’abbondanza di strumenti di threat intelligence che forniscono preziose informazioni per proteggere le aziende.

Questi strumenti si presentano sotto forma di piattaforme sia open source che proprietarie. Queste forniscono una serie di capacità di difesa contro le minacce informatiche, come l’analisi automatizzata dei rischi, la raccolta di dati privati, strumenti di ricerca rapida di threat intelligence, la segnalazione e condivisione di queste informazioni tra più utenti, avvisi curati, analisi dei rischi di vulnerabilità, monitoraggio del dark web, mitigazione automatizzata dei rischi, threat hunting e molto altro.

Abbiamo parlato di uno di questi strumenti in un altro articolo: il Mitre Att&ck. Questo è uno strumento molto utile per conoscere i comportamenti e le tecniche di attacco hacker. Questo grazie alle informazioni raccolte dalla threat intelligence e la conseguente condivisione. Un framework come questo è molto efficiente per creare meccanismi difensivi che consentono di mettere in sicurezza le infrastrutture aziendali.

Intelligenza artificiale e informazioni sulle minacce

Come abbiamo visto prima, la raccolta di informazioni da varie fonti non è altro che una delle fasi. Queste devono poi venire analizzate e successivamente elaborate in protocolli di controllo, per essere davvero utili per la sicurezza.

Per questo tipo di lavori di analisi, definizione di comportamenti baseline e controllo dei dati ci si affida sempre di più all’intelligenza artificiale e al deep learning. Un Next Generation SIEM, affiancato a una soluzione UEBA sono perfetti per questo tipo di protezione.

Il controllo del comportamento delle entità all’interno del perimetro effettuato dal UEBA è in grado di identificare ogni comportamento sospetto, in base alle informazioni raccolte e analizzate dal SIEM.

Conclusioni

Gli strumenti di difesa che abbiamo nominato sono il valore primario di un piano di sicurezza aziendale. Adottare soluzioni specifiche, implementare la threat intelligence e quindi una ricerca attiva degli indicatori di minacce, offre una posizione di vantaggio strategica. L’azienda può operare un passo avanti ai criminali, i quali possono far leva solo sull’effetto sorpresa contro le loro vittime. Proprio per questa situazione generale, ogni azienda dovrebbe essere nelle condizioni di non farsi cogliere alla sprovvista. Implementare soluzioni proattive è ormai necessario.

La threat intelligence è quindi un’arma da difesa dietro la quale mettere al riparo le risorse più importanti per poter lavorare in tranquillità.

Se vuoi sapere come possiamo aiutarti con i nostri servizi dedicati alla sicurezza, non esitare a contattarci, saremo lieti di rispondere a ogni domanda.

Link utili:

Cyber Threat Intelligence (CTI) – maggiore efficacia per la sicurezza IT

Progetti di Secure Online Desktop

Cos’è la Cyber Security? Definizione e proposte

Prevenire il shoulder surfing e il furto di credenziali aziendali

shoulder surfing cafeteria

Estimated reading time: 8 minutes

Il termine shoulder surfing potrebbe evocare immagini di un piccolo surfista sul colletto della camicia, ma la realtà è molto più banale. Il shoulder surfing è una pratica criminale in cui i ladri rubano i tuoi dati personali spiandoti alle spalle mentre usi un laptop, un bancomat, un terminale pubblico o un altro dispositivo elettronico in mezzo ad altre persone. Questa tecnica di ingegneria sociale è un rischio per la sicurezza che può causare un disastro, soprattutto se le credenziali rubate sono aziendali.

La pratica precede di molto gli smartphone e i computer portatili e risale a quando i criminali spiavano gli utenti dei telefoni a pagamento mentre inserivano i numeri delle loro carte telefoniche per effettuare le chiamate. Sono passati molti anni, ma la tecnica non è andata perduta. I ladri si sono evoluti ad osservare le loro vittime mentre digitano il PIN del bancomat, pagano alle pompe self-service di benzina o anche mentre fanno un acquisto in un negozio.

Una tecnica analoga per il furto di bancomat prevede un dispositivo di clonazione della carta sovrapposto alla buchetta di inserimento della tessera e una microcamera per spiare il codice. La microcamera compie un atto di shoulder surfing. La clonazione della carta è essenziale perché senza un dispositivo fisico il pin è inutile, ma nel caso di credenziali di account in rete, non serve altro che user e password.

Shoulder surfing ATM

Quando avviene il Shoulder Surfing?

Il shoulder surfing può avvenire ogni volta che si condividono informazioni personali in un luogo pubblico. Questo include non solo i bancomat, le caffetterie e i dispositivi POS in generale, ma praticamente qualsiasi luogo in cui si utilizza un computer portatile, un tablet o uno smartphone per inserire dati personali.

I shoulder surfer di vecchia data, di solito, non incombevano alle spalle delle loro vittime per scrutare le informazioni. Invece, stavano a distanza di sicurezza e interpretavano i movimenti delle dita mentre le persone digitavano i numeri sulla tastiera. Allo stesso modo, gli ingegneri sociali di oggi spesso sfuggono all’attenzione mentre osservano tranquillamente gli altri in luoghi pubblici come le sale d’attesa degli aeroporti e i centri commerciali, i bar e i ristoranti, sui treni o le metropolitane, o ovunque ci sia gente, a dire il vero.

Addirittura, i più sofisticati criminali di oggi osservano da più lontano, nascosti alla vista. Potrebbero usare un binocolo, delle microcamere o la fotocamera del loro telefono o tablet per scrutare il tuo schermo o la tua tastiera. Non solo, potrebbero origliare mentre leggi i numeri delle carte di credito al telefono o fornisci altre informazioni sensibili. I criminali potrebbero anche scattare foto, fare un video o registrare l’audio delle informazioni e poi interpretarle in seguito.

Qualunque sia la metodologia, è chiaro che la tecnologia non solo ci ha aiutato a essere più connessi e poterci permettere di pagare un frappuccino con il cellulare, ma ci ha anche esposto a rischi per la nostra sicurezza. Quando si tratta di dati sensibili, soprattutto se c’è di mezzo un account aziendale da cui si potrebbe accedere a dati sensibili di altre persone, non si deve mai abbassare la guardia, le conseguenze potrebbero essere molto gravi.

Come avviene comunemente il shoulder surfing

Prima di suggerire alcuni metodi per prevenire il shoulder surfing da mettere in pratica immediatamente, vediamo ancora più nel dettaglio come potrebbe avvenire un furto di credenziale con questa tecnica.

Al bar o in caffetteria

Sei al bar di un ristorante affollato in attesa di un amico. Per passare il tempo, ti colleghi a Instagram. Sfortunatamente, non ti accorgi che la persona bloccata in fila accanto a te sta guardando la tua password, che si dà il caso sia la stessa che usi per il tuo account e-mail e il tuo conto bancario.

Al bancomat

Stai prendendo contanti a un bancomat. Ti senti al sicuro perché l’uomo dopo di te in fila è ad almeno 3 metri di distanza e sta addirittura guardando il suo telefono. In realtà, sta registrando i movimenti delle tue dita sul suo telefono e li decifrerà successivamente per ottenere il tuo numero PIN.

All’aeroporto

Il tuo volo è in ritardo, quindi prendi il portatile e ammazzi il tempo andando a leggere un paio di e-mail di lavoro, così per restare aggiornato. Accedi al sito aziendale per leggere la posta e inserisci nome utente e password. Sei così tranquillo, che non vedi la donna a pochi posti di distanza che fissa lo schermo mentre inserisci i dati.

shoulder surfing cafeteria

Quali sono le conseguenze del Shoulder Surfing?

Usare i dati della tua carta di credito per fare acquisti fraudolenti è solo un esempio dei danni che potresti subire se rimani vittima di shoulder surfing. Più informazioni personali un criminale cattura su di te, più le conseguenze possono essere gravi per il tuo conto bancario e la tua salute finanziaria.

Un grave caso di shoulder surfing può esporti al furto di identità. Un criminale potrebbe usare le tue informazioni personali, come il tuo codice fiscale, per aprire nuovi conti correnti, richiedere prestiti, affittare appartamenti o fare domanda di lavoro sotto il tuo nome. Un ladro d’identità potrebbe mettere le mani sul tuo rimborso delle tasse, usare il tuo nome per ottenere cure mediche o anche richiedere agevolazioni statali a tuo nome. Potrebbe anche commettere un crimine e fornire le tue informazioni personali quando interrogato dalla polizia, lasciandoti con una fedina penale sporca o un mandato d’arresto.

Ovviamente, se hai il sospetto che questo sia avvenuto, dovrai recarti immediatamente alla polizia, bloccare i conti correnti e avvisare la banca. Se azioni fraudolente sono già state effettuate a tuo nome, dovrai forse dimostrare che non tu non c’entri.

Le cose si fanno pericolose se i dati trafugati sono quelli di un account aziendale. Infatti, con l’uso di credenziali valide, chiunque potrebbe entrare nel sistema della compagnia e compiere ogni tipo di azione, come raccogliere ulteriori dati, piazzare un malware, avviare un ransomware, trafugare i dati dei clienti e poi venderli online.

Come difendersi dallo shoulder surfing

Si possono individuare due livelli di protezione, il primo è proattivo ed è orientato a evitare che le credenziali siano esposte a malintenzionati, il secondo è attivo e prevede dei software per individuare tentativi di utilizzo delle credenziali rubate.

Shoulder surfing

Difendersi proattivamente

Se proprio non puoi evitare di inserire dati sensibili nel laptop, tablet o smartphone in un luogo pubblico, dovresti seguire le contromisure elencate di seguito.

Suggerimento 1: Prima di inserire qualsiasi dato sensibile, trova un posto sicuro. Assicurati di sederti con le spalle al muro. Questo è il modo migliore per proteggersi da occhi indiscreti. Evita i mezzi pubblici, le poltroncine centrali di una sala d’aspetto e luoghi in cui c’è molto via vai di persone.

Suggerimento 2: Utilizzare un filtro per la privacy. Questo dispositivo hardware è un semplice foglio traslucido polarizzato che viene messo sopra lo schermo. Farà sembrare il tuo schermo nero a chiunque lo guardi da un qualunque angolo innaturale. Questo renderà molto più difficile per le persone non autorizzate vedere le tue informazioni.

Suggerimento 3: L’autenticazione a due fattori richiede che un utente provi la propria identità utilizzando due diversi componenti di autenticazione che sono indipendenti l’uno dall’altro. Poiché questo tipo di autenticazione passa solo quando entrambi i fattori sono utilizzati correttamente in combinazione, la misura di sicurezza è particolarmente efficace. Per esempio, questo metodo è spesso usato molto nell’online banking. Sono molti i servizi che permettono di usare anche il tuo cellulare come secondo fattore di autenticazione. Questo avviene tramite apposite app.

Suggerimento 4: un’altra soluzione è quella di utilizzare un gestore di password. Così facendo, non dovrai più inserire ogni password individualmente sul tuo computer. Il gestore di password lo farà per te dopo che avrai inserito la tua password principale. Questo impedisce a persone non autorizzate di usare la tua tastiera per determinare la vera password, a condizione che tu protegga adeguatamente la tua password principale.

Difendersi attivamente con un SOC e l’analisi del comportamento

Adesso immaginiamo che le credenziali dell’account aziendale siano state rubate. A questo punto solo un sistema di controllo del comportamento può far scattare un allarme e quindi il blocco dell’utente prima che ci siano dei danni.

Infatti, usando credenziali corrette, un normale SIEM tradizionale, non farebbe scattare nessun allarme. Per un SIEM di vecchia generazione l’accesso sarebbe legittimo, perché le credenziali risultano giuste. Il malintenzionato avrebbe libero accesso indisturbato al sistema e potrebbe proseguire con il suo piano di attacco.

Con il servizio SOCaaS di SOD, invece, l’accesso anomalo farebbe scattare un allarme. Il SOC messo a disposizione è equipaggiato con un Next Generation SIEM e un sistema UEBA di controllo del comportamento. Questo significa che ogni scostamento dal comportamento usuale dell’utente, verrebbe segnalato.

Nel caso del furto di credenziali, come avviene con il shoulder surfing, l’accesso effettuato dal malintenzionato farebbe quindi scattare un allarme perché ci sarebbe qualcosa che non torna. Per esempio il login potrebbe avvenire in fasce orarie anomale, in un’altra nazione/IP, da un sistema operativo differente, etc.

Conclusioni

Il shoulder surfing è una tecnica dell’ingegneria sociale che punta sulla disattenzione dell’utente mentre inserisce dati sensibili in un sistema. Nel caso in cui le credenziali aziendali di un utente venissero rubate, l’unica cosa davvero efficiente è avere un sistema che analizzi il comportamento degli utenti e segnali ogni volta che azioni sospette vengono individuate.

Se vuoi sapere nel dettaglio come un SOC e un sistema UEBA possano aiutare la tua azienda a difendersi da attacchi di ingegneria sociale, non esitare a contattarci, saremo lieti di rispondere a ogni domanda.

Logic time bomb

Estimated reading time: 6 minutes

Una logic bomb, chiamata anche slug code, è un pezzo di codice inserito in un’applicazione, virus o malware che implementa una funzione dannosa dopo un certo limite di tempo o in condizioni specifiche.

Queste “bombe” sono spesso usate tramite virus, worm e Trojan per gestire al meglio il tempo a disposizione e fare il massimo danno prima di essere notati. Eseguono azioni come corrompere o alterare i dati, riformattare un disco rigido e cancellare file importanti.

In questo articolo voglio spiegare cosa sia un bomba logica e offrire qualche suggerimento per prevenirne i danni.

Logic bomb virus

Cos’è un logic bomb virus?

Una bomba logica è spesso inserita in un virus o comunque in un file eseguibile. È composta da un codice malevolo che innesca un attacco quando vengono soddisfatte condizioni specifiche. Le condizioni possono essere positive (qualcosa che accade) oppure negative (qualcosa che non accade). Nel primo caso un esempio è quello dell’apertura di un programma, invece, un esempio di condizione negativa è un utente che non compie il login.

Le bombe logiche sono spesso installate da qualcuno con un accesso di alto livello, come un amministratore di sistema. Tale persona può causare il caos impostando questi codici su più sistemi e programmandoli per “esplodere” simultaneamente quando si verifica un certo evento. Per esempio, potrebbero azionarsi quando un certo dipendente viene rimosso dal database degli stipendiati, cioè quando viene licenziato.

Con il termine slag code ci si riferisce al codice manipolato che rende dannoso un programma altrimenti sicuro. Le versioni a tempo di bomba logica sono quelle più diffuse e utilizzano come condizione positiva il trascorrere di un certo lasso di tempo.

Qualunque sia il nome usato, il metodo di attacco è sempre chiaramente lo stesso: il codice rimane dormiente nel software infetto fino a quando non viene innescato. Gli attacchi comuni coinvolgono la corruzione dei dati, la cancellazione dei file e la cancellazione dei dischi rigidi.

Come funziona

Il modo in cui una logic bomb funziona dipende da chi l’ha ideata. Ogni bomba logica è unica, ed è per questo che sono difficili da tracciare. Di solito sono personalizzate per essere il meno rilevabili possibile. Spesso sono travestite per sembrare un tipico virus informatico o inserite in altri tipi di malware come i worm. Worm e virus sono diversi, ma le bombe logiche non si preoccupano della distinzione: possono causare danni attraverso entrambi.

Una bomba logica è effettivamente un malware? Poiché fanno parte di altri programmi, no, ma di solito hanno un intento maligno. Ecco perché gli slag code sono così difficili da rilevare. Inoltre, essendo “solo” codice, potenzialmente inseribile ovunque, mitigare il rischio è più complicato.

La cosa migliore da fare, come utente finale che potrebbe essere coinvolto in un attacco con una logic bomb, è quello di tenere gli occhi aperti e chiedere agli esperti IT della tua azienda di fare i controlli necessari in caso di dubbio. Il rischio è quello di far scattare la bomba involontariamente cercando di trovarla.

Esempi di attacchi

Le bombe logiche possono cambiare in modo impercettibile un frammento di codice in modo che appaia tecnicamente normale ad un sistema automatico di ricerca delle minacce, mentre sembrerebbe molto sospetto per un occhio umano. Nel 2016, un programmatore freelance ha volontariamente causato un malfunzionamento ricorrente dei fogli di calcolo in una filiale della società Siemens. La filiale lo ha continuato ad assumere per risolvere il problema che lui stesso aveva causato (Fonte). In questo caso, i dipendenti non sospettavano nulla fino a quando una fortunata coincidenza ha costretto il codice maligno a uscire allo scoperto.

Anche le aziende possono usare bombe logiche per violare i propri clienti. Nel 2005, Sony fu coinvolta in uno scandalo per aver rilasciato dei CD che scatenavano una bomba logica quando venivano inseriti in un computer. Lo slag code contenuti nei CD installava un rootkit che bloccava la capacità del PC di copiare i CD. (Fonte)

Un altro caso di alto profilo si è verificato nei primi anni 2000, quando un dipendente di UBS Global, arrabbiato per una disputa salariale, ha piazzato una bomba logica a tempo che ha causato più di tre milioni di dollari di danni. Un segno evidente che uno snippet di codice molto piccolo può causare una grande quantità di danni. (Fonte)

Nel 2013, un attacco con una bomba a tempo in Corea del Sud ha cancellato i dischi rigidi di diverse banche e società di trasmissione. Il gruppo responsabile dell’attacco ha messo la bomba a tempo all’interno di un malware che ha finito per infettare oltre 32.000 sistemi. Le bombe sono esplose tutte insieme, causando il caos in tutto il paese. (Fonte)

Logic bomb cover

Da dove vengono e come prevenire le logic bomb

Come abbiamo visto anche negli esempi, le bombe logiche sono tipicamente distribuite all’interno di una rete chiusa, come quella di un’azienda o di una filiale. Una delle probabili fonti è un dipendente scontento con accessi di amministratore, quindi un attento monitoraggio delle attività in uscita del personale dovrebbe rivelare qualsiasi attività sospetta. Ma non è tutto, le bombe logiche possono anche essere piazzate in allegati di email e download di file sospetti, quindi gli utenti dovrebbero essere vigili quando scelgono i file da scaricare.

Come abbiamo visto quando abbiamo parlato di phishing e di ingegneria sociale, la parte più hackerabile di un sistema, sono spesso gli user. Per questo una campagna preventiva è sempre un’ottima scelta. Prendersi cura del personale significa anche proporre dei training specifici tramite servizi di phishing etico.

Oltre alla prevenzione, è bene limitare i privilegi amministrativi a un gruppo selezionato di dipendenti in modo che sia meno probabile che qualcuno possa causare gravi danni alla rete con una bomba logica. Questo metodo preventivo, inoltre, riduce il numero dei sospetti in caso di attacco, rendendo l’appartenenza a quello specifico gruppo di dipendenti di per sé un deterrente contro gli attacchi interni.

La soluzione proposta da SOD

Dove la prevenzione fallisce e vincono invece gli hacker, è il campo ideale per implementare sistemi avanzati di monitoring e analisi.

SOD offre, per esempio, un sistema SIEM nella soluzione SOC as a Service. Tramite il SIEM vengono costantemente raccolte informazioni su quello che succede nella rete. Queste informazioni vengono poi arricchite con metadati contestuali per uniformarle e gestirle al meglio. Già questo è in grado di far scattare allarmi se alcuni eventi sospetti si verificassero. Ma se questo non bastasse, il SOC dispone anche di uno strumento di “User and Entity Behavior Analysis” (UEBA) che analizza il comportamento degli utenti e grazie all’interazione di una IA riesce a individuare comportamenti sospetti.

Se vuoi saperne di più riguardo al servizio SOC offerto, o se hai delle domande su come SOD può aiutarti a mantenere la tua azienda al sicuro, non esitare a contattarci. Saremo lieti di rispondere a ogni dubbio.

Link utili:

Mobile App Penetration Test & Code Review

Cos’è la Cyber Security? Definizione e proposte

Evitare il Ransomware Cover

Tempo di lettura: 5 minutes

Le ransomware gang hanno preso di mira le aziende negli ultimi tempi, chiedendo pagamenti più grandi di quelli che possono estorcere ai consumatori. Il piano ha avuto molto successo. Secondo i nuovi dati il 70% delle aziende attaccate hanno pagato il riscatto per riavere i loro dati. Evitare il ransomware è una necessità, queste cifre lo dimostrano implicitamente. Se un così alto numero di aziende paga, è perché il rischio è troppo grande in termini di reputazione e perdite economiche collaterali.

I ricercatori di IBM Security’s X-Force hanno intervistato i dirigenti di 600 aziende di tutte le dimensioni e hanno scoperto che le organizzazioni colpite dal ransomware scelgono di pagare nella maggior parte dei casi.

I dati mostrano che il 20% delle organizzazioni compromesse hanno pagato riscatti di più di 40.000 dollari e il 25 per cento ha pagato tra i 20.000 e i 40.000 dollari. Questi numeri sono molto più alti di quello che i consumatori pagano tipicamente, che di solito è una cifra intorno a 500$-1.000$, a seconda della variante del ransomware.

Quando prendono di mira le imprese, i gruppi hacker mirano a paralizzare le organizzazioni criptando i dati finanziari, i database dei clienti, i dati di vendita e altre informazioni vitali.

Evitare il ransomware – i rischi degli attacchi

Nell’ultimo anno un certo numero di organizzazioni sono state colpite da gravi attacchi ransomware, compresi ospedali, università e altri. Per esempio, la San Francisco Municipal Transportation Authority è stata colpita da un attacco ransomware durante il fine settimana del Ringraziamento, una festività molto importante negli USA. L’attacco ha paralizzando i desktop all’interno dell’agenzia e costringendo i funzionari a spegnere le biglietterie automatiche. Inutile dire che questo attacco si è tradotto in una perdita enorme di indotto e la richiesta del riscatto.

Far entrare un malware nelle organizzazioni pubbliche non è così difficile come si potrebbe pensare, e spesso viene fatto con una singola e-mail.

Nei loro attacchi alle reti, i cyber criminali cercano i server che tengono in piedi l’azienda e criptano risorse fondamentali piuttosto che lavorare sugli endpoint dell’intera azienda.

Il punto di accesso è di solito un’e-mail di phishing con un allegato dannoso, inviato alla casella di posta elettronica di un dipendente. Nella maggior parte dei casi, l’allegato è un documento di Microsoft Office che chiede alla vittima di attivare le macro. Cliccare sul pulsante di attivazione delle macro è spesso una questione da poco per quegli utenti poco informati che vogliono solo far sparire l’avviso in cima al documento. Il malware viene eseguito non appena l’utente permette l’esecuzione delle macro. Il ransomware può anche arrivare attraverso qualsiasi altro allegato o attraverso kit di exploit che facilitano l’infezione senza alcuna azione speciale da parte dell’utente.

Le perdite economiche

La quantità di denaro che le imprese hanno pagato per riavere i loro dati non dovrebbe essere una sorpresa, considerando l’alternativa. Come avviene sempre più spesso, l’attacco non si limita a mettere sotto chiave i dati fino al pagamento della cifra richiesta. La minaccia continua con la diffusione dei dati se non si accetta di pagare un secondo riscatto. Alla fine si saranno pagati due riscatti e comunque non c’è una certezza che i dati non saranno divulgati. (È detto attacco a doppia estorsione).

Molte organizzazioni tengono questi attacchi nascosti per evitare l’umiliazione pubblica e la perdita di fiducia dei clienti. I dati del sondaggio di IBM mostrano che il 29% dei dirigenti di grandi aziende pagherebbe più di $50.000 per recuperare i dati finanziari.

Le forze dell’ordine, compresa l’FBI, e gli esperti di sicurezza consigliano alle vittime di ransomware di non pagare, per una serie di ragioni. In primo luogo, non c’è garanzia che l’attaccante consegni la chiave di decifrazione. In secondo luogo, i profitti del ransomware aiutano a finanziare altre operazioni di criminalità informatica.

Come difendersi per evitare il ransomware

Il phishing rimane uno dei metodi chiave con cui viene tentato un attacco ransomware. In seguito all’aumento recente del lavoro da remoto, è indispensabile ribadire l’importanza di stare attenti quando si aprono e-mail e allegati. Se i dipendenti hanno dei sospetti su qualcosa, dovrebbero segnalarlo.

Le organizzazioni dovrebbero anche assicurarsi di avere una buona strategia di patch e applicare gli ultimi aggiornamenti di sicurezza. Questo impedisce ai criminali informatici di approfittare delle vulnerabilità conosciute per distribuire malware.

Aggiornare regolarmente i backup dovrebbe essere una priorità, perché se accade il peggio e l’organizzazione cade vittima di un attacco ransomware, la rete può essere ripristinata senza pagare il riscatto.

SOD fornisce soluzioni per le situazioni elencate tramite il servizio SOCaaS. Puoi assicurarti la protezione di un Security Operation Center senza dover investire per il suo finanziamento iniziale.

Il sistema controlla tramite un’intelligenza artificiale le azioni dei computer collegati alla rete. Non appena viene rilevata un’azione sospetta, anche legittima, vengono avvisati i tecnici che possono indagare sulla natura del fatto. I sistemi SIEM di nuova generazione e l’analisi comportamentale tramite UEBA, collaborano per offrire una sicurezza a 360°.

SOD mette a disposizione anche sistemi di backup intelligente anti-ransomware tramite Acronis Cyber Protect Cloud. Con questo strumento al tuo fianco, i dati aziendali e dei clienti sono al sicuro. Ogni tentativo di attacco viene individuato e mitigato immediatamente, intanto, grazie a backup dinamici, i dati sono immediatamente ripristinati.

Evitare il ransomware può essere relativamente facile: basta prestare attenzione a ogni operazione che si esegue sui computer. A volte, purtroppo, questo non è sufficiente. È il momento in cui avere investito in un sistema di sicurezza di qualità farà la differenza.

Per domande o richieste non esitare a contattarci, saremo lieti di rispondere alle domande e proporti una soluzione su misura per le tue esigenze.

Long-term Search Cover
Tempo di lettura: 4 min

Il ransomware viene comunemente portato a segno con una e-mail che inganna gli utenti a fidarsi di un file dannoso. Molte delle piu’ recenti violazioni dei dati sono state portate a termine perché un utente e’ stato vittima di un attacco di questo tipo nel periodo precedente. Minacce come il ransomware, che si concentrano sulla compromissione dell’utente, fanno si’ che sempre piu’ aziende adottino l’analisi comportamentale degli utenti e delle entita’ (UEBA) nel loro centro operativo di sicurezza (SOC). Le nuove funzioni del servizio SOC, tra cui la long-term search, sono orientate all’offerta sempre maggiore di strumenti aggiuntivi per la gestione ottimale della sicurezza aziendale.

Noi continuiamo nell’innovazione della nostra piattaforma per aumentare la potenza del SOC nel combattere ransomware e altre minacce. Nella nostra piu’ recente versione, abbiamo aggiunto un numero ancora maggiore di funzionalita’ di rilevamento basate sull’apprendimento automatico e context-aware che consentono agli analisti della sicurezza di affrontare le aggressioni piu’ sofisticate. Inoltre, gli ultimi aggiornamenti portano una sempre maggiore facilita’ d’uso per gli architetti della sicurezza.

Long-term search - novità SOCaaS

Long-term search per l’analista della sicurezza

Il servizio introduce una serie di innovazioni per ridurre i tempi di rilevamento e di risposta degli analisti della sicurezza e dei cercatori di minacce.

Miglioramento del rilevamento di minacce sofisticate

– La long-term search aiuta gli analisti a scoprire le minacce nascoste fornendo una capacita’ di ricerca sui dati archiviati. La ricerca e’ scalabile e non influisce sulle prestazioni del SIEM.
– Analytics Sandbox aiuta ad abbattere i falsi positivi fornendo un ambiente di QA in linea per testare e convalidare i casi d’uso.
– Le catene di minacce Persona-based rilevano le minacce avanzate in modo piu’ accurato, comprendendo la relazione dinamica tra utenti, host, indirizzi IP e indirizzi e-mail. Gli analisti traggono vantaggio da una piu’ ampia visibilita’ sulla progressione di un attacco. Questa funzione combina le attivita’ sospette di un singolo utente in un unico avviso con priorita’, invece di avvisi separati e non correlati.
– Relative Rarity offre agli analisti un contesto piu’ ampio su quanto sia raro un evento rispetto a tutti gli altri eventi nel loro ambiente.
– La visualizzazione degli avvisi di sicurezza utilizzando il MITRE ATT&CK Threat Framework aiuta gli analisti a dare priorita’ al rischio e a ridurre i tempi di risposta.

Riduzione dei tempi di risposta

– Il miglioramento della gestione dei casi consente una migliore gestione, condivisione e investigazione degli allarmi, consentendo agli operatori di rispondere piu’ rapidamente.
– Le nuove integrazioni EDR migliorano la risposta agli incidenti fornendo ulteriori dati sugli endpoint da CarbonBlack Defense, Tanium, Symantec DLP e altri.
– Le migliori visualizzazioni delle ricerche migliorano l’esperienza dell’analista riducendo i tempi di rilevamento e di risposta. Aiutano gli analisti a identificare facilmente gli account compromessi, l’esfiltrazione dei dati e gli hotspot associati.

Perche’ la long-term search e’ cosi’ importante

Con un tempo di permanenza globale di circa 60 giorni in media, la caccia alle minacce continua ad essere una parte importante nella resilienza della sicurezza informatica. Tuttavia, la ricerca attraverso lo storico dei dati richiede solitamente molto tempo.

Molti fornitori non sono in grado di scalare dinamicamente una ricerca veloce attraverso i dati archiviati senza notevole sforzo. Le ultime funzionalita’ del nostro SOCaaS forniscono questa possibilita’ ai cacciatori di minacce con la long-term search su scala quasi illimitata. Con la ricerca a lungo termine, le organizzazioni possono ridurre il tempo necessario per indagare e trovare le minacce che sono gia’ nel loro ambiente.

Gli analisti hanno bisogno di interrogare continuamente i dati per capire se ci sono nuove minacce. Ad esempio, un analista potrebbe apprendere, da una fonte attendibile, che il loro settore e’ stato preso di mira. A questo punto c’e’ bisogno di indagare su un nuovo indicatore di compromesso che e’ stato appena scoperto per verificare se un aggressore e’ gia’ all’interno.

Attraverso la long-term search, il SIEM nativo del SOCaaS di SOD consente ai cacciatori di minacce di essere proattivi, rendendo la ricerca sui dati storici veloce e conveniente.

Conclusioni

Tramite l’introduzione di nuove tecnologie nel nostro servizio SOC, stiamo offrendo sempre piu’ sicurezza per i nostri clienti.

Ci prendiamo cura dei vostri dati verificando non solo che non siano al sicuro ora, ma anche che non abbiano subito violazioni in passato. Nel caso dovessimo avere il sospetto di una nuova minaccia, sappiamo come individuarla.

Nel caso avessi domande, contattaci, saremo lieti di rispondere a ogni tuo dubbio.

Link utili:

UEBA
Tempo di lettura: 6 min

I classici strumenti e sistemi di difesa contro gli le minacce informatiche stanno rapidamente diventando obsoleti e ci sono diversi modi per superarli. Cio’ che rimane comune con sicurezza tra i cyber criminali che tentano un attacco e’ l’intento dell’attacco stesso. Infatti, sapendo che esistono sistemi in grado di rilevare gli indicatori di compromesso (IOC), e’ naturale che gli hacker competenti cercheranno di non lasciare tracce riconducibili agli standard. L’analisi del comportamento degli utenti e delle entita’ (UEBA) offre un modo piu’ completo per assicurarsi che l’azienda disponga di una sicurezza IT di prim’ordine. Al tempo stesso, aiuta a rilevare gli utenti e le entita’ che potrebbero compromettere l’intero sistema.

Una definizione di User Entity Behaviour Analytics

L’analisi del comportamento degli utenti e delle entita’, o UEBA (User Entity Behaviour Analytics), e’ un tipo di processo di sicurezza informatica che prende atto del comportamento standard degli utenti. A loro volta, il sistema rileva ogni comportamento anomalo o i casi in cui ci sono deviazioni dagli schemi “normali” citati prima. Ad esempio, se un particolare utente scarica regolarmente 10 MB di file ogni giorno, e improvvisamente ne scarica 1 GB, il sistema sarebbe in grado di rilevare questa anomalia e di avvertire immediatamente gli operatori. Il comportamento potrebbe essere legittimo, ma vale la pena controllare.

Il sistema UEBA utilizza l’apprendimento automatico, gli algoritmi e le analisi statistiche per sapere quando c’e’ una deviazione dai modelli stabiliti. Successivamente, mostra quale di queste anomalie potrebbe risultare in una potenziale e reale minaccia. Inoltre, UEBA puo’ aggregare i dati dei report e dei log, cosi’ come analizzare le informazioni su file, flusso e pacchetti.

Con un UEBA si tracciano tutti gli utenti e le entita’ del sistema. In questo modo il sistema si concentra sulle minacce interne, come dipendenti disonesti, quelli compromessi e le persone che hanno accesso al sistema e quindi effettuano attacchi mirati e tentativi di frode, cosi’ come i server, le applicazioni e i dispositivi che lavorano all’interno del sistema.

Vantaggi

E’ la spiacevole verita’ che gli strumenti di sicurezza informatica di oggi stanno rapidamente diventando obsoleti. Ormai gli hacker e i cyber criminali piu’ abili sono in grado di aggirare le difese perimetrali utilizzate dalla maggior parte delle aziende. Qualche anno fa si era sicuri se si disponeva di gateway web, firewall e strumenti di prevenzione delle intrusioni. Questo non e’ piu’ il caso nel complesso panorama delle minacce, ed e’ particolarmente vero per le grandi aziende che hanno dimostrato di avere perimetri IT molto porosi che sono anche molto difficili da gestire e supervisionare.

Il punto fondamentale? Le misure preventive non sono piu’ sufficienti. I firewall non saranno infallibili al 100% e gli aggressori entreranno nel sistema in un punto o nell’altro. Ecco perche’ il rilevamento e’ altrettanto importante: quando gli hacker entrano con successo nel sistema, allora bisogna essere in grado di rilevare rapidamente la loro presenza per ridurre al minimo i danni.

Come funziona?

La premessa del sistema e’ in realta’ molto semplice. Si puo’ facilmente rubare il nome utente e la password di un dipendente, ma e’ molto piu’ difficile imitare il comportamento normale della persona una volta dentro la rete.
Per esempio, diciamo che si riesca a rubare la password e il nome utente di Mario Rossi. E’ quasi impossibile comunque agire esattamente come Mario Rossi una volta dentro al sistema, a meno che non venga fatta anche un’ampia ricerca e preparazione in questa direzione. Pertanto, quando il nome utente di Mario e’ collegato al sistema e il suo comportamento e’ diverso da quello tipico, e’ il momento in cui iniziano a suonare gli allarmi UEBA.

Un’altra analogia correlabile sarebbe il furto di una carta di credito. Un ladro puo’ rubare il portafoglio e andare in un negozio di articoli di lusso e iniziare a spendere migliaia di euro. Ma, se il modello di spesa su quella carta e’ diverso da quello del ladro, il reparto di rilevamento delle frodi riconoscera’ le spese anomale e blocchera’ gli acquisti sospetti, inviandovi un avviso o chiedendo di verificare l’autenticita’ di una transazione.

Cosa puo’ fare UEBA?

UEBA e’ una componente molto importante della sicurezza informatica moderna e permette di:

1. Rilevare le minacce interne: Non e’ troppo azzardato immaginare che un dipendente, o forse un gruppo di dipendenti, possa disobbedire, rubare dati e informazioni utilizzando il proprio accesso. UEBA puo’ aiutarvi a rilevare violazioni dei dati, sabotaggi, abusi di privilegi e violazioni di policy da parte del personale.

2. Rilevare gli account compromessi: A volte, gli account utente vengono compromessi. Puo’ essere che l’utente abbia involontariamente installato malware sulla sua macchina, o che a volte un account legittimo sia stato falsificato. UEBA puo’ aiutare ad eliminare gli utenti compromessi prima che possano fare danni.

3. Rilevare gli attacchi di forza bruta: Gli hacker a volte prendono di mira le entita’ basate sul cloud cosi’ come i sistemi di autenticazione di terze parti. Con UEBA, si e’ in grado di rilevare i tentativi di attacco brute force, permettendo di bloccare l’accesso a queste entita’.

4. Rilevare le modifiche dei permessi e la creazione di super utenti: Alcuni attacchi prevedono l’uso di super users. UEBA consente di rilevare quando i super utenti vengono creati, o se ci sono account a cui sono stati concessi permessi non necessari.

5. Rilevare la violazione di dati protetti: Se si dispone di dati protetti, non e’ sufficiente tenerli al sicuro. Bisogna sapere quando un utente accede a questi dati se non ha alcun motivo commerciale legittimo per farlo.

UEBA e SIEM

Security Information and Event Management, o SIEM, e’ l’utilizzo di un complesso insieme di strumenti e tecnologie che fornisce una visione completa della sicurezza del vostro sistema IT. Si avvale di dati e informazioni sugli eventi, consentendo di vedere modelli e tendenze normali e di avvertire in caso di anomalie. UEBA funziona allo stesso modo, solo che utilizza le informazioni sul comportamento dell’utente (e dell’entita’) per verificare cio’ che e’ normale e cio’ che non lo e’.

Il SIEM, tuttavia, e’ basato su regole, e gli hacker competenti possono facilmente aggirare o eludere queste regole. Inoltre, le regole del SIEM sono progettate per rilevare immediatamente le minacce che si verificano in tempo reale, mentre gli attacchi piu’ avanzati sono solitamente effettuati nell’arco di mesi o anni. L’UEBA, invece, non si basa su regole. Utilizza invece tecniche di risk scoring e algoritmi avanzati che gli consentono di rilevare le anomalie nel tempo.

Una delle migliori pratiche per la sicurezza informatica e’ quella di utilizzare sia SIEM che UEBA per avere migliori capacita’ di sicurezza e di rilevamento.

Come andrebbe usato un UEBA

L’UEBA e’ nato dalla necessita’ di individuare il comportamento dannoso degli utenti e di altre entita’. Gli strumenti e i processi UEBA non sono destinati a sostituire i sistemi di monitoraggio precedenti, ma dovrebbero invece essere utilizzati per integrarli e migliorare la sicurezza generale di un’azienda. Un’altra grande pratica e’ quella di sfruttare le capacita’ di memorizzazione e di calcolo dei grandi dati, utilizzando l’apprendimento automatico e l’analisi statistica per evitare di ricevere una valanga di allarmi inutili e di essere sopraffatti dal grande volume di dati generati.

Ed e’ esattamente quello che accade nel SOCaaS offerto da SOD, in cui il SOAR e’ garantito anche dalla collaborazione di questi sistemi.

UEBA utilizza l’apprendimento automatico e gli algoritmi per rafforzare la sicurezza monitorando gli utenti e altre entita’, rilevando anomalie nei modelli di comportamento che potrebbero essere indicative di una minaccia. Adottando un approccio proattivo alla sicurezza e acquisendo una maggiore visibilita’ sul comportamento degli utenti e delle entita’, le imprese di oggi sono in grado di costruire sistemi di sicurezza piu’ forti e di mitigare piu’ efficacemente le minacce e prevenire le violazioni.

Link utili:

SOC as a Service

Cos’e’ un Network Lateral Movement e come difendersi

Log Management

MITRE Att&ck: una panoramica

Il SOCaaS è utile per la tua azienda?

SOAR: cos’e’ e come puo’ essere utile per le aziende

Sicurezza: pentest e verifica delle vulnerabilita’

SIEM in informatica: la storia

 

Customers

Newsletter