cyber threat concept

Gli attacchi informatici sono numerosi e non fanno distinzione tra aziende e singoli individui quando prendono di mira un bersaglio. Molto probabilmente avrai già sentito il temine “cyber threat” sui media ma esattamente di cosa stiamo parlando? Altri modi in cui puoi averlo sentito sono “minaccia informatica”, “cyberattacchi” o simili.

cyber threat malware

Cos’è un Cyber Threat?

Oggi il temine “cyber threat” è usato prevalentemente nel mondo della sicurezza informatica.

Un cyber threat è un atto malevolo concepito con lo scopo di danneggiare sistemi, rubare dati o qualsiasi finalità che ha lo scopo di arrecare danno di qualsiasi natura. Virus, violazioni di dati e attacchi DDoS ne sono compresi. Anche se la minaccia è virtuale, ciò che è reale è l’intento dell’aggressore così come il potenziale impatto. Mentre molti cyberattacchi sono semplici seccature, alcuni sono abbastanza seri. Alcuni, addirittura, minacciano potenzialmente anche vite umane.

Il potenziale impatto che questo genere di attacchi può arrecare è spesso sottovalutato. Il più delle volte, gli attacchi sono facilmente identificabili e non comportano grossi rischi. Invece, altre volte capita di imbattersi in alcune minacce più sofisticate, difficilmente identificabili, che rappresentano un grosso problema anche per molte realtà aziendali.

I cyber threat sono una problematica importante per le aziende. Gli attacchi informatici possono causare interruzioni elettriche, guasti alle attrezzature governative e violazioni di segreti di stato. Possono manipolare le reti telefoniche e informatiche o, come nel caso dei ransomware, possono paralizzare interi sistemi rendendo i dati non accessibili.

Ogni giorno nuove aziende ed organizzazioni mettono piede nel digitale con la consapevolezza dei rischi legati alle loro infrastrutture tecnologiche. In alcuni casi vengono sottovalutate le minacce informatiche e questo significa spesso un grosso danno economico e d’immagine per l’azienda che ha sottovalutato i cyber threat e la sicurezza.

L’aumento dei rischi legati al mondo IT è reale, come lo sono anche le soluzioni di sicurezza dei dati. La cosa migliore da fare è prendere subito le dovute misure di sicurezza.

Tipi di Cyber Threat

I tipi di cyber threat sono numerosi, e bisogna anche considerare che sono in continua evoluzione. L’intento degli hackers di solito è garantirsi un guadagno economico effettuando operazioni di sabotaggio, spionaggio o furto dei dati. Di conseguenza, ci si può aspettare che facciano tutto il possibile per raggiungere i loro scopi.

Praticamente ogni cyber threat rientra in uno sei seguenti dieci tipi di rischi. Gli hackers hanno un’abbondanza di opzioni tra cui scegliere per poter operare. Inoltre, l’alfabetizzazione infomatica è tutto sommato scarsa, quindi gli hacker hanno spesso vita facile, soprattutto per le piccole realtà locali.

I 10 tipi più comuni di minacce informatiche

Malware

È una tipologia di software che esegue un comando malevolo su un dispositivo o all’interno di una rete informatica, corrompendo i dati o prendendo il controllo del sistema.

Phishing

Il phishing è un attacco via e-mail che consiste nell’ingannare il destinatario, facendogli rivelare informazioni riservate o invitandolo a scaricare un malware cliccando su un collegamento presente nel corpo del messaggio. Si tratta di vere e proprie truffe, di cui abbiamo parlato ampiamente in altri articoli. Spesso non coinvolgono nemmeno grandi doti informatiche da parte di chi sferra gli attacchi, solo un po’ di ingegneria sociale.

Vishing

Il vishing è una forma più sofisticata di phishing in cui l’hacker sfrutta la tecnologia VoIP per contattare la vittima, tendando di raggirarla. Esiste anche una variante che invece sfrutta gli sms per attaccare, è chiamata smishing.

Man in the Middle

Come suggerisce il nome stesso, questa tipologia di attacchi si riferisce a quando un hacker si interpone in una conversazione fingendosi una delle due parti, con il fine di sottrare informazioni sensibili. Quello a cui spesso non si pensa, è che la conversazione è tra due macchine e quindi non immdiata da monitorare.

Virus Trojan

L’origine del suo nome prende spunto dal famoso Cavallo di Troia dell’antica Grecia. Il Trojan è un tipo di malware che si infiltra in un sistema informatico nascondendo la sua vera natura. Ad esempio potrebbe spacciarsi per un software conosciuto per poi rilasciare del codice maligno una volta all’interno del dispositivo ospitante.

Ransomware

I ransomware sono degli attacchi che sfruttano la crittografia per rendere inaccessibili le informazioni presenti in un sistema. Il fine è quello di richiedere un riscatto in cambio della possibilità di accedere nuovamente ai dati. Possibilità che a volte, in realtà, non è nemmeno assicurata.

Attacco DDoS

Si verifica quando l’attaccante utilizza molti dispositivi per sovraccaricare di richieste un bersaglio, come ad esempio un sito web, causandone il crash o delle instabilità.

Attacchi ai dispositivi IoT

Questo è un attacco sempre più diffuso per via della natura dei bersagli. Dispositivi come sensori o impianti industriali collegati alla rete sono vulnerabili a molteplici tipi di cyber threat. L’hacker potrebbe prendere il controllo del dispositivo per poi successivamente utilizzarlo in un attacco DDoS. Alternatuvamente potrebbe rubare le informazioni presenti nel dispositivo stesso ottenendo dati importanti per proseguire l’attacco. Dato il loro numero e i sistemi operativi spesso non aggiornati, i dispositivi IoT sono un obiettivo molto appetibile.

Malware all’interno di applicazioni mobile

Cellulari e tablet sono vulnerabili ai malware proprio come ogni altro dispositivo. È possibile inserire malware all’interno di app, nei siti web o nelle e-mail sfruttando il phishing. Una volta compromesso, un dispositivo mobile può fornire l’accesso a informazioni personali, dati di localizzazione e conti finanziari.

Un esempio recente di questo tipo di eventualità è il software Pegasus, utilizzato per monitorare e raccogliere dati di giornalisti in tutto il mondo. (Fonte: The Guardian)

Soluzioni pratiche di difesa e prevenzione

I cyber threat sono sempre in continua espansione e miglioramento. Ogni anno ne vengono creati milioni, in molti seguono le caratteristiche sopracitate, però altri sono tecnologicamente più complessi e più potenti.

Fortunatamente però, ci sono anche sempre più aziende estremamente qualificate nell’ambito della sicurezza informatica che offrono strumenti e servizi all’avanguardia che aiutano a prevenire, identificare e bloccare tempestivamente ogni genere di attacco informatico.

Strumenti di rilevamento delle minacce

Gli strumenti di rilevamento delle minacce sono una parte essenziale dello stack tecnologico di cybersecurity di un’azienda. Il rilevamento delle minacce è anche la prima difesa contro ogni Cyber Threat.

Soluzioni specifiche, come ad esempio l’utilizzo di un SOCaaS, sono di vitale importanza per la salvaguardia di un′infrastruttura informatica, grazie anche all’integrazione del motore SIEM che include UBA e UEBA, garantendo un controllo completo anche sugli utenti.

Un altro strumento utile è sicuramente ACP. Acronis Cyber ​​Protect è una soluzione che integra protezione e gestione dei dati al fine di tutelare endpoint, dati e sistemi. Le sue capacità di automazione forniscono una protezione senza pari, permettendo alle aziende di aumentare la loro produttività e riducendo i rischi.

Vulnerability Assessment & Penetration Test (VA-PT)

I servizi come VA & PT sono test sul campo che mettono alla prova l’infrastruttura in un contesto concreto. I nostri team di hacker white hat trovano vulnerabilità all’interno del sistema per puntare il dito contro le debolezze da risolvere.

cyber threat concept

Conclusioni

Abbiamo appreso cos’è un cyber threat e le sue più comuni tipologie, scoprendo anche quali soluzioni è possibile adottare al fine di garantire una migliore sicurezza aziendale e dei suoi dipendenti.

La tua azienda quali contromisure ha preso per tutelare la tua sicurezza? Se desideri avere ulteriori informazioni a riguardo puoi contattarci premendo il pulsante qui in basso. Offriamo servizi e soluzioni ad hoc per rafforzare le difese aziendali.

Link utili

pass the ticket laptop

Estimated reading time: 5 minutes

Ogni anno cresce costantemente il numero di attacchi che minacciano la sicurezza di dispositivi, sistemi informatici, server e infrastrutture di rete. Questo avviene traendo vantaggio dalle vulnerabilità presenti in questi sistemi. Tra le tante tipologie di attacchi, bisogna prestare particolarmente attenzione all’attacco pass the ticket (PTT).

Con un attacco pass the ticket è possibile sfruttare il protocollo di rete Kerberos, presente in tutti i principali sistemi operativi, per accedere alla sessione di un utente pur non avendo le sue credenziali d’accesso. Un attacco di questo tipo può essere difficile da rilevare e solitamente è in grado di aggirare i più comuni controlli d’accesso al sistema.

pass the ticket laptop

Pass The Ticket: cos’è e come funziona

Kerberos

Prima di capire nel dettaglio cos’è e come funziona un attacco PTT è opportuno fare un po’ di chiarezza sul protocollo di rete Kerberos dato che un attacco di questo tipo, sfrutta proprio questo protocollo. Kerberos è un protocollo di rete progettato dal MIT negli anni ’80 ed è diventato uno standard IETF nel 1993. Viene usato per l’autenticazione forte tra diversi terminali tramite un sistema di crittografia a chiave simmetrica, senza trasmettere alcuna password.

Il vantaggio nell’utilizzare il protoccolo Kerberos sta nel suo sistema di autenticazione forte tra client e server. Questo lo rende molto efficace contro i tentativi di phishing e contro gli attacchi “man in the middle“.
Kerberos è integrato in tutti i principali sistemi operativi appartenenti ad aziende note come Microsoft, Apple, Red Hat Linux e molte altre ancora.

Con un attacco pass the ticket è possibile sfruttare l’autenticazione Kerberos per ottenere l’accesso ad un account utente. Le conseguenze che potrebbe comportare un avvenimento del genere non sono da sottovalutare. Tra i tanti scenari immaginabili ad esempio, ci potrebbe essere la possibilità che l’account compromesso goda di elevati privilegi amministrativi garantendo così all’hacker pieno accesso alle risorse.

L’attacco

Un attacco pass the ticket permette di ottenere un accesso privilegiato alle risorse di rete senza dover utilizzare alcuna password utente. Ecco come: in Active Directory, un Ticket Granting Ticket (TGT) ha la funzione di dimostrare che un utente è proprio chi dice di essere. Tramite alcuni strumenti e tecniche, un hacker potrebbe raccogliere questi ticket e utilizzarli per richiedere dei Ticket Granting Service (TGS) con il fine di accedere alle risorse presenti in altre parti della rete.

Un attacco PTT potrebbe comportare dei rischi anche se l’account compromesso non gode di particolari privilegi amministrativi dal momento che l’hacker, tramite il Lateral Movment, potrebbe riuscire ad ottenere l’accesso ad altri account e dispositivi.

La differenza tra il pass the ticket e un attacco pass the hash sta nel fatto che il primo sfrutta i ticket TGT che hanno una scadenza di poche ore, mentre il secondo utilizza gli hash NTLM che cambiano solo nel caso in cui un utente decida di cambiare la sua password. Un ticket TGT deve essere utilizzato entro i tempi della sua scadenza oppure va rinnovato per un periodo di tempo più lungo.

Come difendersi e prevenire un attacco Pass The Ticket

Mantenere sicura una rete e i dispositivi ad essa connessi è un fattore molto importante. Bisogna sempre avere protocolli e software che riescano a garantire una protezione efficace da ogni tipo di minaccia, con sistemi aggiornati che mantengano le informazioni sensibili al sicuro. Le aziende possono avvalersi di tecnologie di rilevamento e risposta degli endpoint. Sarà possibile il rilevamento locale di più ticket utilizzati per la stessa sessione.

Caso account senza privilegi

Nel caso in cui avvenga un attacco pass the ticket, se l’account compresso a cui è stato sottratto il TGT o il TGS era un account con privilegi limitati, la mitigazione potrebbe essere abbastanza semplice. Basta reimpostare la password di Active Directory dell’utente. Un’azione simile invaliderebbe il TGT o il TGS, impedendo all’hacker di generare nuovi ticket.

Caso account con privilegi

Al contrario, se l’attacco PTT ha compromesso un account privilegiato, limitare il danno è molto più difficile. In questi casi, le aziende potrebbero rispondere all’attacco reimpostando il servizio Kerberos TGT in modo da generare una nuova chiave di firma, assicurandosi di eliminare la chiave compromessa.

Successivamente è necessario analizzare nel dettaglio i registri Kerberos e le informazioni di Active Directory per investigare e scoprire a quali risorse di rete sono state compromesse. In questo modo si ha anche modo di capire quali dati potrebbero essere stati sottratti. La tecnologia SIEM ​​consente alle organizzazioni di assimilare, analizzare e analizzare questi dati.

Pass the ticket User privileges

Protezione dall’attacco

Per garantire una protezione completa ad una infrastruttura, impedendo anche attacchi pass the ticket, è bene usare tecnologie di rilevamento valide come UEBA e SIEM. Infatti, è possibile prevenire attacchi Pass The Ticket analizzando il comportamento degli utenti e delle entità. La soluzione UEBA, in questi casi, assicurerebbe l’identificazione rapida di qualsiasi account compromesso, bloccandolo in modo da mitigare i danni.

Alcuni software SIEM inoltre, permettono non solo di analizzare i tradizionali logs ma sono in grado anche di fornire un’analisi accurata della sicurezza, analizzando il comportamento della rete e degli utenti in modo da rilevare tempestivamente la presenza di eventuali minacce all’infrastruttura.

Conclusioni

Abbiamo visto cos’è un attacco pass the ticket e in che modo le aziende possono adottare soluzioni specifiche per intercettare i pericoli e le anomalie di un’intera infrastruttura informatica. Possiamo così mitigare più efficacemente le minacce.

Una soluzione completa, come abbiamo visto, coinvolge un monitoring costante e granulare delle comunicazioni. La soluzione che proponiamo a questo scopo è un SOCaaS.

Se vuoi conoscere i nostri servizi dedicati alla sicurezza, non esitare a contattarci. Puoi usare il pulsante qui sotto, saremo lieti di rispondere a qualsiasi tua domanda.

Useful links:

uba e ueba

Estimated reading time: 5 minutes

Come abbiamo già affrontato precedentemente negli scorsi articoli, i ransomware sono una tipologia di malware che, sfruttando la crittografia, attaccano i sistemi informatici, impedendo l’accesso ai dati da parte dei legittimi proprietari. La diffusione di questi attacchi è in costante aumento e senza delle adeguate misure di sicurezza da adoperare a supporto dei sistemi informatici (come ad esempio UBA e UEBA) è più facile che questi attacchi avvengano con successo.

Cosa è accaduto nel 2020

Nello scorso anno, il 39% degli italiani che hanno subito questa tipologia di attacchi ha assecondato le richieste degli hacker e il 43% di essi non è riuscito ad ottenere indietro le informazioni sottratte. [Fonte: Indagine Kaspersky]

Secondo i più recenti sondaggi a livello globale è emerso che gli utenti con età compresa tra i 35 e i 44 anni sarebbero i più propensi a pagare il riscatto, inoltre il 65% di loro ha dichiarato di averlo già fatto in passato.

Il 52% degli utenti (più della metà) con età compresa tra i 16 e i 24 anni hanno versato il denaro ai criminali. Gli utenti con età superiore a 55 anni si sono rivelati i più indisposti, soltanto l’11% di loro ha assecondato le richieste degli hackers. Un terzo degli italiani intervistati (il 33%) ha affermato di aver perso definitivamente l’accesso a quasi tutti i propri dati.

In Italia, soltanto l’11% degli gli utenti che hanno subito questa tipologia di attacchi è riuscito a recuperare e a ripristinare tutti i file criptati. Il 17% dichiara di averne persi solo in parte e il 22% dichiara di aver ottenuto una quantità non significativa di dati.

uba e ueba cover

Deduzioni

Da tutte queste informazioni abbiamo capito che le conseguenze di questi attacchi sono davvero invalidanti per un’azienda. Nell’ultimo anno una percentuale significativa di utenti ha pagato invano per ottenere l’accesso alle proprie informazioni personali.

Pagare non garantisce il recupero delle informazioni sottratte. Questa, per altro, è una componente importante dell’attacco a doppia estorsione, che abbiamo già visto in un altro articolo.

È opportuno effettuare periodicamente molteplici backup dei dati e investire in strumenti di sicurezza in grado di proteggere i vari dispositivi da questa tipologia di minacce informatiche.

UBA e UEBA sono strumenti in grado di comprendere il comportamento routinario di tutti gli utenti in un ambiente IT con il fine di creare una linea di comportamento utile per scovare i comportamenti anomali e bloccare tempestivamente le minacce.

Cosa sono UBA e UEBA

UBA e UEBA sono rispettivamente gli acronimi di User Behavior Analytics e User Behavior and Entity Analytics. Sono molto simili in quanto entrambi sfruttano il machine learning per comprendere come si comportano gli utenti all’interno di un sistema. I due sistemi identificano tutte le attività rischiose e le anomalie che si discostano dal comportamento abitudinario. Queste informazioni possono poi essere usate in molteplici modi, tra cui far scattare una notifica, per fare in modo che un operatore controlli cosa stia succedendo; oppure il blocco dell’evento anomalo come misura cautelare.

La differenza sostanziale tra i due è che il UEBA è in grado di analizzare anche il comportamento delle macchine e non solo degli utenti, a differenza dello UBA, pertanto è in grado di fornire una protezione più completa.

Poniamo il caso che un utente si connetta abitudinariamente ad una VPN per navigare. Con UBA e UEBA è possibile tracciare tutte le abitudini dell’utente e i dati relativi alle tecnologie che utilizza. Ad esempio è possibile ottenere informazioni sulla data di inizio e di fine delle sue sessioni, gli indirizzi IP ai quali si connette, il paese da cui accede e tanti altri attributi di questo genere.

Nel momento in cui l’utente non si dovesse connettere alla VPN per visitare un portale specifico, per esempio quello aziendale, UBA e UEBA segnalerebbero un’anomalia.

Consigli e raccomandazioni

Molte persone non sono informate sulle più comuni minacce informatiche. Nell’ultimo anno soltanto il 28% delle persone ha sentito parlare di attacchi ransomware.

Noi di SOD prendiamo molto a cuore tutti gli aspetti che riguardano la sicurezza di un sistema informatico e la tutela dei suoi utenti. Uno dei nostri obiettivi è sensibilizzare gli utenti informandoli sulla pericolosità di queste minacce informatiche, dando loro consigli utili per far fronte a queste tipologie di attacchi.

Ecco alcuni consigli utili per rispondere agli attacchi:

Non pagare MAI il riscatto: Il consiglio che diamo sempre in queste situazioni è contattare immediatamente le forze dell’ordine segnalando l’accaduto.
Cerca di scoprire il nome del malware ransomware: scoprendo il nome del malware si facilita il lavoro agli esperti di sicurezza informatica. Più informazioni hanno a disposizione e più tempestivamente riusciranno a rispondere alla minaccia.
Mai aprire allegati provenienti da indirizzi email non conosciuti e controllare sempre l’indirizzo email del mittente. Molto spesso gli hacker utilizzano nomi ingannevoli fingendosi aziende note, bisogna sempre verificare che l’indirizzo del mittente corrisponda effettivamente all’indirizzo a noi noto. N.B. Mediante una tecnica chiamata mail source spoofing è possibile per un malintenzionato falsificare il mittente in modo che risulti identico ad uno legittimo a voi conosciuto.
– Mai inserire chiavette USB o altri sistemi di archiviazione esterna se non si è sicuri della loro provenienza.
– Eseguire con frequenza il backup dei dispositivi in modo da poter aver accesso ad una copia recente utilizzabile per il ripristino del dispositivo. E’ opportuno che la copia di backup sia offline come impone la regola del 3-2-1.
Premunirsi di sistemi e servizi professionali di sicurezza, come UBA e UEBA.

uba e ueba

Conclusioni su UBA e UEBA

Secondo i dati risalenti al 2020 è emerso come il rischio derivato da minacce ransomware sia sempre più frequente e come è possibile prevenire e bloccare questi attacchi con UBA e UEBA. Seguendo i consigli riportati in questo articolo è possibile impedire che certe situazioni si manifestino.

Proteggi i tuo dati e quelli della tua azienda, contattaci per ulteriori informazioni premendo il pulsante presente qui in basso, saremo lieti di rispondere ad ogni tua domanda.

Useful links:

uso socaas cover

Estimated reading time: 7 minutes

Le applicazioni di Cyber Threat Analytics monitorano i log di sicurezza e il network per rilevare in maniera tempestiva eventuali infezioni malware (per esempio, gli attacchi zero day e i ransomware), la compromissione del sistema, le attività di “lateral movement”, pass-the-hash, pass-the-ticket e altre tecniche avanzate d’intrusione. L’uso di un SOCaaS permette di estrapolare dati da sorgenti come firewalls, proxy, VPN, IDS, DNS, endpoints, e da tutti i dispositivi connessi alla rete con lo scopo di identificare modelli dannosi come il “beaconing”, connessioni a domini generati digitalmente, azioni eseguite da robot e tutti i comportamenti anomali.

Il nostro sistema SOCaaS è dotato di intelligenza artificiale che arricchisce e trasforma gli eventi SIEM, in modo da identificare le minacce nell’intero ambiente IT, includendo anche le applicazioni aziendali critiche.

Quali sono i vantaggi a livello aziendale?

L’uso di un SOCaaS. Qui sotto è riportata una lista con soltanto alcuni dei vantaggi che l’uso di un SOCaaS può comportare un rapido rilevamento delle violazioni, la riduzione dell’impatto di queste. Inoltre, un SOCaaS fornisce risposte e indagini complete sulle minacce, diminuisce i costi di monitoring e gestione, così come i costi di conformità.

L’uso di un SOCaaS permette, inoltre, di ricevere segnalazioni quantificate e non soggettive su minacce e rischi.

uso socaas

Casi d’uso SOCaaS

Dopo una panoramica generale sui vantaggi che potrebbe offrire all’azienda l’uso di un SOCaaS, vediamo in quali contesti viene normalmente impiegato.

Un SOCaaS è costituito da elementi che sono molto idonei per essere applicati in caso di esecuzioni anomale di applicazioni, così come nell’analisi del traffico bot verso un sito web dannoso.

In altri casi il SOCaaS individua query DNS insolite, una possibile attività di comando e controllo a distanza, analizza gli spike in byte verso destinazioni esterni e quindi controlla anche il traffico, relazionandolo in un contesto applicazione/porta.

Altri scenari in cui l’uso di un SOCaaS è ideale sono i rilevamenti di exploit, di sessioni dalla durata insolita, ma anche di connessioni a IP o domini in blacklist e di attività anomale in genere.

Infine, è in grado anche di individuare attacchi di SPAM mirato e i tentativi di phishing.

Threat Models

Analizzando gli indicatori di minaccia è possibile rilevare comportamenti correlati su più origini di dati, per rilevando anche tutte quelle minacce che solitamente passano inosservate. Molteplici indicatori di minaccia che si verificano in uno schema e che coinvolgono entità simili tendono a presentare un maggior rischio di costituire una minaccia reale.

I Threat Models definiscono questi schemi e combinano le policy e gli indicatori di minaccia per rilevare i comportamenti correlati su più sorgenti di dati, identificando le minacce che potrebbero passare inosservate. In seguito sono riportati alcuni dei Threat Models più comuni che sono inclusi nell’uso di un SOCaaS

Rilevamento dei Lateral Movement

Questo Threat Model rileva i possibili scenari di “lateral movement”, impiegati dagli aggressori per diffondersi progressivamente in una rete alla ricerca di risorse e dati chiave. I segnali di un attacco del genere possono essere vari e li possiamo dividere in tre categorie: Autenticazione anomala, privilegi sospetti, processo anomalo.

Autenticazione anomala è solitamente individuabile tramite alcuni indizi. Per esempio se un account accede a un host mai raggiunto prima. Oppure se vengono usate credenziali esplicite su più host, oppure ancora se viene rilevato un tipo/processo di autenticazione sospetto.

Per quello che riguarda i privilegi sospetti, ecco alcuni indicatori rilevabili con l’uso di un SOCaaS:

  • attività di provisioning anomala
  • escalation sospetta dei privilegi
  • accesso anomalo agli oggetti della condivisione della rete

Un processo anomalo viene individuato in questo modo tramite l’uso di un SOCaaS: un codice processo inconsueto, oppure la creazione sospetta di attività pianificate. Alternativamente possono essere rilevati dei cambiamenti sospetti alle impostazioni del registro di sistema.

Rilevamento di host compromessi

Questo modello viene impiegato nell’uso di un SOCaaS per rilevare gli host che mostrano segni di infezione e compromissione mettendo in relazione le anomalie basate su host e rete sulla stessa entità.

Un possibile allarme è dato dalle anomalie nel traffico in uscita. Questo si verifica quando il traffico si dirige verso domini casuali o host notoriamente malevoli. In altri casi, invece, un numero anomalo di domini contattati è un altro campanello di allarme rilevabile tramite l’uso di un SOCaaS.

Sono trovate anomalie nell’endpoint quando si trovano processi rari o un uso sospetto di porte o protocolli da parte del processo stesso. Una possibilità è anche quella di rilevare un agente inconsueto.

Rilevazione APT tramite uso di un SOCaaS

La rilevazione APT individua gli attacchi alle reti informatiche sanitarie, in cui lo scopo dell’aggressore solitamente è quello di ottenere un accesso non autorizzato a una rete con l’intenzione di rimanere inosservato per un periodo prolungato.

Questo include tentativi di phishing, l’individuazione di una scansione di rete o un’elusione dei controlli. In fase di delivery, invece, potrebbe essere individuato traffico verso domini casuali, un’anomalia nel traffico DHCP o traffico destinato verso host notoriamente dannosi.

In fase di exploit, gli indicatori possono essere: la rilevazione di attività da account terminati, traffico DNS anomalo, ma anche un processo di autenticazione sospetto. Un altro possibile indicatore individuabile con l’uso di SOCaaS è un’anomalia nella velocità della rete.

Tramite l’uso di un SOCaaS possono essere individuati anche casi di esfiltrazione di dati. I segnali in questo caso sono l’upload non autorizzato di dati sulla rete.

Modello rilevamento Phishing tramite uso di SOCaaS

Questo modello è in grado di rilevare possibili tentativi di phishing verso utenti all’interno dell’organizzazione. Ne abbiamo parlato anche in altri articoli, ed ecco alcuni indicatori di questo tipo di attacchi. Un campanello di allarme è sicuramente il rilevamento di campagne di phishing note. Non è raro, inoltre, che si individuino attacchi di spear phishing.

L’uso di un SOCaaS è in grado anche di individuare possibili tentativi di phishing o Campagne di phishing persistenti, grazie al confronto con email da mittenti/domini/indirizzi IP noti nelle blacklist. Come al solito, bisogna fare attenzione agli allegati e-mail sospetti, ma l’uso di un SOCaaS potrebbe automatizzare, almeno in parte, i controlli.

È poi possibile individuare delle anomalie del traffico in uscita, per esempio quello verso domini casuali, anch’esso possibile segnale di phishing. Possono essere indicatori anche il classico traffico verso host malevoli, un numero anomalo di domini rari a cui si è acceduto.

uso socaas cover

Enumerazione di Host/Account su LDAP

Utilizzato, solitamente, per identificare potenziali asset o enumerazioni di account sulla rete da parte di entità maligne.

Esecuzione di processi sospetti

  • Processo/MD5 anomalo rilevato
  • Uso di possibili set di strumenti di enumerazione AD (Active Directory)
  • Rilevato l’uso di strumenti e utilità malevoli

Scansione della rete

  • Possibili account AD/privilegi di enumerazione
  • Conteggio dei servizi LDAP o SMB
  • Numero anomalo di richieste di ticket di servizio Kerberos
  • Port scanning

Anomalie di autenticazione

  • Account che accedono a un host per la prima volta
  • Uso di account mai visti prima sulla rete
  • Numero anormalo di richieste di autenticazione fallite

Ricognizione seguita da un potenziale sfruttamento

Questo modello di minaccia mira a identificare i tentativi di ricognizione della rete che hanno avuto successo, seguiti da indicatori di sfruttamento.

Scansione esterna

  • Scansione delle porte da host esterni
  • Enumerazione di host da host esterni

Scansione della rete

  • Possibile conteggio di account/privilegi AD
  • Enumerazione di servizi LDAP
  • Numero insolto di richieste di ticket di servizio Kerberos
  • Picchi nel traffico LDAP
  • Enumerazione di servizi SMB

Anomalie nei processi

  • Rilevamento dei processi o MD5 anomali
  • Creazione sospetta di attività pianificate
  • Rilevati cambiamenti sospetti alle impostazioni del registro di sistema

Conclusioni

Abbiamo visto quali sono i maggiori casi d’uso SOCaaS, dando uno sguardo ad alcuni dei modelli di minaccia più comuni che include nel suo sistema di protezione. Per avere informazioni sui modelli di minaccia relativi ai malware e sugli identificatori di minaccia visitate questo articolo.

L’uso di un SOCaaS è una soluzione aziendale solida e di grande valore, chiedici cosa può fare per la tua azienda, saremo lieti di rispondere a ogni domanda.

Useful links:

Left of boom cover

Tempo di lettura stimato: 7 minuti

Quando parliamo di “left of boom” o “right of boom” ci riferiamo ad un concetto che all’apparenza può sembrare superficiale. Invece, è un potente strumento che offre la possibilità di analizzare i conflitti di sicurezza sia da un punto di vista offensivo che da uno difensivo. In una ipotetica linea temporale di un attacco, ciò che si trova alla sua sinistra (left of boom) si riferisce a quello che accade prima. Analogamente, ciò che sta alla destra, è quello che avviene dopo.

Nel linguaggio comune molto spesso anziché “boom” si utilizza il termine “bang”, ma il significato resta comunque invariato. Si tratta, in sostanza, dell’evento stesso intorno al quale si analizza il periodo precedente e successivo.

Quindi, “left of boom” è l’insieme di eventi che si verificano prima dell’attacco. “Right of boom”, invece, è l’insieme di eventi che seguono il “boom”. Questa è la differenza sostanziale tra i due termini. Se le azioni difensive riescono a rilevare gli eventi nel periodo “left of boom”, è possibile trovare e adottare soluzioni per prevedere quando accadrà il “boom”.

Rappresentazione visiva della timeline, dell’evento (Boom) e delle azioni o strumenti a destra e sinistra di esso.

Per una persona inesperta nell’ambito della sicurezza informatica, questi concetti riguardanti la linea temporale di un attacco informatico potrebbero non essere nemmeno presi in considerazione, per questo motivo molte aziende preferiscono avvalersi di un SOCaaS.

Left of Boom

Un buon penetration tester riesce a rilevare alcuni eventi di tipo “left of boom”, ma spesso si tralascia la raccolta di informazioni sulle minacce. Certe volte non è in grado di distinguere tra loro concetti come “ingegneria della sicurezza, scoperta e risoluzione delle vulnerabilità” da un “controllo di prevenzione automatizzato”.

Non esiste in realtà un vero strumento valido di prevenzione, più che altro i controlli di sicurezza sono controlli di rilevamento. Alcuni di questi controlli integrano dei meccanismi di risposta automatizzati che impediscono il susseguirsi di spiacevoli eventi.

Un’applicazione web che previene attacchi di tipo XSS o SQLI è davvero utile per rilevare input non validi e risponde scartando il contenuto prima che l’iniezione possa verificarsi.

Un firewall progettato per bloccare le porte rileva semplicemente il traffico indesiderato in relazione al protocollo usato per la connessione e al numero della porta verso la quale si desidera accedere, interrompendo e reimpostando la richiesta di connessione.

Questi esempi si legano bene al concetto di “right of boom”. I controlli di prevenzione rilevano il “boom”, l’evento, e rispondono immediatamente arginando i possibili danni. “Left of boom” e “right of boom” sono così vicini nella linea temporale che sono difficilmente distinguibili, fino a quando non si esegue un’analisi accurata degli eventi.

Questo è uno dei motivi per cui i professionisti, nell’ambito della sicurezza informatica, amano i controlli di prevenzione. Lavorano rapidamente per correggere gli errori prima che gli hacker riescano a raggiungere i loro obbiettivi, limitando i danni.

Un SOCaaS in questi casi è una delle soluzioni migliori da adottare per proteggere l’integrità di un sistema informatico.

Right of Boom

Generalmente minore è la distanza tra “right of boom” e il tempo di risposta ad una minaccia, minori sono le conseguenze provocate da un eventuale attacco informatico. Ovviamente questa è solo una considerazione logica, non vale come regola assoluta.

Per alcune violazioni, la linea temporale tra l’evento e l’eliminazione completa della minaccia è discutibile, poiché il rilevamento è avvenuto dopo che l’hacker ha raggiunto il suo obbiettivo. Se gli hacker riescono ad infiltrarsi nel sistema ma vengono fermati in tempo, non arrecando nessun danno all’infrastruttura. In questo secondo caso, quindi, non c’è il “boom” di cui stiamo parlando.

Un esempio di right of boom

Per spiegare meglio il concetto di “right of boom” potremmo prendere come esempio un comune “malware”. I malware generalmente vengono sviluppati per attaccare in massa molti dispositivi, senza tanta discrezione. Con “right of boom” ci riferiamo a quel periodo di tempo che è passato da quando è avvenuta l’infezione da parte del malware.

Se hai letto gli altri articoli pubblicati da noi avrai appreso come gli hacker utilizzano queste tipologie di infezioni allo scopo di raccogliere informazioni sensibili, che vengono rivendute ad un terzo soggetto. Se il “right of boom” è più breve del tempo che l’hacker impiega per vendere queste informazioni, il danno può essere contenuto.

I migliori sistemi di sicurezza riescono ad accorciare il tempo “right of boom” riuscendo a raccogliere informazioni sugli attaccanti nel “left of boom”. Ci si può riuscire implementando delle contromisure in base al modello di minaccia. Questi strumenti permettono di scansionare intere infrastrutture, osservando i nuovi indicatori di minaccia giorni o addirittura settimane prima che gli attacchi si distribuiscano.

Come abbiamo visto anche in altri articoli, non sempre gli attacchi si svolgono in breve tempo. È, anzi, più probabile che gli hacker coinvolti agiscano in un primo, lento, periodo solo per raccogliere le informazioni necessario per sferrare l’attacco. Nel periodo “right of boom”, tornano utili strumenti come la cyber threat intelligence e un team di threat hunting.

Left of boom strategy
Una strategia che prende in considerazione anche ciò che avviene prima di un attacco è molto più efficace.

Perché sono importanti i concetti “Right e Left of boom”

Se ci mettessimo nell’ottica dell’hacker, il concetto di “right of boom” e di “left of boom” può aiutare a decidere quale schema d’azione sia meglio intraprendere.

Supponiamo il caso in cui un hacker abbia a disposizione due metodi per potersi introdurre in un sistema informatico. Se uno dei due metodi potrebbe venire rilevato nel periodo “left of boom”, invece l’altro nel “right of boom”, è ovvio che l’hacker preferirà il secondo. Infatti, questo garantirebbe maggiori probabilità di successo dell’attacco.

Analogamente, tra due metodi che possono essere rilevati “right of boom” si sceglie quello che ha più possibilità di venir scoperto in ritardo. Più tempo passa dal boom alla rilevazione, maggiori sono le probabilità di successo. Questo tipo di ragionamento è importante per determinare quale tattica ha una linea temporale più ampia.

Ragionare in quest’ottica non è affatto semplice, richiede delle conoscenze avanzate da parte dell’esperto di sicurezza. Richiede inoltre il dover prendere in considerazione tutte quelle ipotesi che potrebbero potenzialmente determinare il successo dell’hacker.

Velocità

Un hacker è in grado di riuscire a prevedere se, utilizzando determinate tattiche, riuscirebbe a raggiungere l’obbiettivo più velocemente rispetto all’esperto che cerca di rilevare gli attacchi. Il “boom” è il primo contatto, nell’insieme delle tattiche d’intrusione utilizzate per accedere illegalmente ad un sistema informatico. Le rimanenti tattiche si collocano prima e dopo di esso.

Velocità e furtività solitamente si annullano a vicenda. Infatti, molto spesso si può essere più veloci sacrificando parte della furtività.

Velocità e furtività non vanno molto d’accordo quando parliamo di attacchi informatici. Essere furtivi, evitando di lasciare tracce, richiede più attenzione e quindi inevitabilmente anche più tempo. Tuttavia se lo scopo di un hacker non è un singolo obbiettivo ma una serie di più obbiettivi, l’essere veloci può rivelarsi efficace.

Per difendersi dagli attacchi, è possibile raccogliere gli indicatori di compromissione (IOC) per rimediare alle vulnerabilità presenti e per introdurre nuovi controlli di rilevamento, rendendo più sicuro il sistema informatico.

Conclusioni

È importante conoscere il concetto di linea temporale degli attacchi e abbiamo visto come i concetti di “left of boom” e “right of boom” influenzino i meccanismi di risposta alle minacce di intrusione.

I concetti che abbiamo visto in questo articolo, nonostante non aggiungano niente di concreto alle tecniche di difesa o di attacco di un sistema, offrono un punto di vista. Nella continua lotta tra hacker e operatori di sicurezza, avere una strategia vincente significa non solo disporre di strumenti efficienti, ma anche pianificare in modo dettagliato ogni dettaglio, prima e dopo gli attacchi.

Per sapere come un SOCaaS può aiutarti a monitorare l’infrastruttura aziendale e cogliere gli indizi “left of boom”, non esitare a contattarci, sapremo rispondere a ogni domanda e ti offriremo una soluzione per la tua azienda.

Useful links:

Link utili:

cybersecurity predittiva

Tempo di lettura stimato: 4 minuti

Oggi, affrontare un attacco in un SOC aziendale è molto simile ad essere sotto attacco senza sapere da quale direzione sta arrivando il colpo. La threat intelligence è in grado di tenervi informati sui problemi di sicurezza. Tuttavia, in molti casi, queste informazioni sono fornite solo quando siete già sotto attacco, e raramente sono molto utili se non a posteriori. Ci vorrebbe un approccio diverso all’analisi dei dati, ed è proprio quello che proponiamo con la cybersecurity predittiva.

Nella cybersecurity, ci si affida ancora alla threat intelligence come strumento difensivo fondamentale. Purtroppo, le informazioni sulle minacce coprono solo un sottoinsieme delle minacce che sono già state trovate, mentre gli aggressori innovano costantemente. Questo significa che nuovi eseguibili malware, domini di phishing e strategie di attacco sono creati in continuazione.

Le informazioni sulle minacce hanno un forte valore per la risposta reattiva agli incidenti. Aiuta quando si fa perno durante un’indagine, identificando l’intento o altri dati utili, e fornisce ulteriore assistenza investigativa. Ma ha un valore limitato per il rilevamento, poiché gli attori delle minacce evitano di riutilizzare la loro infrastruttura di attacco da un obiettivo all’altro.

Se gli indizi che vedrete sono diversi da quelli conosciuti dagli attacchi precedenti, cosa si può fare per andare avanti con un rilevamento efficace? Una domanda legittima, per cui forse la cybersecurity predittiva ha una risposta.

…e se si potesse sapere cosa sta per colpire?

SOCaaS: cybersecurity predittiva

Occhi sugli avversari piuttosto che sugli attacchi passati

La soluzione SOCaaS offerta da SOD porta capacità di cybersecurity predittiva alla sicurezza informatica. La soluzione mappa gli avversari, invece delle minacce, e analizza le loro azioni per prevedere il comportamento e gli strumenti utilizzati nei loro attacchi.

Il motore analitico traduce i modelli comportamentali in profili di infrastrutture di attacco avversarie, che indicano come (trojan, phishing o altre forme di attacco) e dove (filiali, clienti, partner, pari, settore e aree geografiche) gli aggressori stanno progettando di colpire la vostra azienda.

Questo fornisce una mappa di attacco preventiva, che identifica gli avversari in base alla loro fase di attacco e alla posizione attuale all’interno del panorama aziendale esteso. Ma non solo, infatti sono identificate anche le informazioni sull’avversario, i modelli di attacco tipici e le possibili contromisure che possono essere prese in anticipo. In questo modo si può annullare la minaccia prima che si materializzi.

cybersecurity predittiva

Cybersecurity predittiva: capire prima ciò che accadrà

Il nostro SOCaaS fornisce capacità di rilevamento predittivo contro le minacce interne ed esterne con la combinazione di analisi del comportamento di utenti, entità e avversari. Il nostro Next-Gen SIEM utilizza un approccio guidato dall’analisi per il rilevamento delle minacce. Il SOC fornisce visibilità nelle prime fasi cruciali di un attacco. Cioè quando gli attori informatici stanno prendendo di mira, pianificando e preparando l’infrastruttura per un attacco.

Con questo livello di visibilità predittiva, il team può prevenire gli attacchi e contenere sistematicamente quelli in corso. La cybersecurity predittiva permette ai difensori di sintonizzare i loro sistemi contro l’infrastruttura di attacco. È, infatti, possibile costruire blacklist che includono gli indirizzi IP e i nomi host delle istanze utilizzate per l’attacco. Altre misure includono la fortificazione dei sistemi aziendali contro il malware specifico che viene utilizzato per colpirli, rendendo l’attacco impotente, quando avviene.

L’analisi del comportamento degli avversari estende le capacità del Next-Gen SIEM fornendo continuamente un’analisi aggiornata delle informazioni degli avversari e del loro comportamento. Questo comprende l’intera infrastruttura di attacco, per una protezione dalle minacce dinamica e preventiva.

Il SOCaaS traduce automaticamente il comportamento pre-attacco degli avversari in azioni o contromisure che è possibile adottare contro il phishing, la compromissione della posta elettronica aziendale, il ransomware, le frodi e molte altre minacce comuni.

Casi comuni di utilizzo

Concatenamento delle minacce

Correlare le violazioni provenienti dallo stesso avversario/campagna in una minaccia coesiva, anche se per ogni evento vengono utilizzati diversi pezzi di infrastruttura di attacco.

Prevenzione e difesa preventiva

Bloccare preventivamente l’intera infrastruttura di attacco di un avversario, come i domini di phishing appena creati, per una difesa preventiva.

Rafforzare le risorse vulnerabili

Concentratevi e mettete in sicurezza le parti più vulnerabili della vostra infrastruttura sulla base di informazioni che identificano quali aree sono possibili obiettivi.

cybersecurity predittiva

Le informazioni fornite dal SOCaaS vengono utilizzate per aggiungere un maggiore contesto alle minacce esistenti, oltre a fornire informazioni sugli attacchi che non sono ancora stati realizzati o sono nelle prime fasi, come la ricognizione. Questo permette di intraprendere azioni dirette contro le minacce in evoluzione e una difesa più robusta.

Conclusioni

Affidarsi alla fortuna per catturare le minacce è una follia, come ci ha dimostrato il recente attacco SolarWinds. Create la vostra fortuna con la soluzione SOCaaS di SOD, assicurandovi di vedere le minacce prima che accadano e di essere abbastanza “fortunati” da contrastarle.

Useful links:

Threat Intelligence Virtual

Estimated reading time: 6 minutes

I dati di threat intelligence forniscono alle aziende approfondimenti rilevanti e tempestivi necessari per comprendere, prevedere, rilevare e rispondere alle minacce alla sicurezza informatica. Le soluzioni di intelligence sulle minacce raccolgono, filtrano e analizzano grandi volumi di dati grezzi relativi a fonti esistenti o emergenti di minacce. Il risultato sono feed di threat intelligence e rapporti di gestione. I data scientist e i team di sicurezza utilizzano questi feed e report per sviluppare un programma con risposte mirate agli incidenti per attacchi specifici.

Tutti, dalla prevenzione delle frodi alle operazioni di sicurezza all’analisi dei rischi, traggono vantaggio dalla threat intelligence. Il software di intelligence sulle minacce fornisce visualizzazioni interattive e in tempo reale dei dati relativi alle minacce e alle vulnerabilità.

Il vantaggio offerto agli analisti ed esperti di sicurezza è evidente e serve a identificare facilmente e rapidamente i modelli degli attori delle minacce. Comprendere la fonte e l’obiettivo degli attacchi aiuta i capi d’azienda a mettere in atto difese efficaci per mitigare i rischi e proteggersi dalle attività che potrebbero avere un impatto negativo sull’azienda.

La cyber threat intelligence può essere classificata come strategica, tattica oppure operativa. Quella Strategica riguarda le capacità e gli intenti generali degli attacchi informatici. Di conseguenza anche lo sviluppo di strategie informate associate alla lotta contro le minacce a lungo termine. Quella Tattica riguarda le tecniche e le procedure che gli aggressori potrebbero utilizzare nelle operazioni quotidiane. Infine, la threat intelligence Operativa, fornisce informazioni altamente tecniche a livello forense riguardanti una specifica campagna di attacco.

Threat Intelligence Virtual

Il ciclo della threat intelligence

Le soluzioni di intelligence sulle minacce raccolgono dati grezzi sugli attori e le minacce da varie fonti. Questi dati vengono poi analizzati e filtrati per produrre feed e rapporti di gestione che contengono informazioni che possono essere utilizzate in soluzioni automatizzate di controllo della sicurezza. Lo scopo principale di questo tipo di sicurezza è quello di mantenere le organizzazioni informate sui rischi delle minacce persistenti avanzate, delle minacce zero-day e degli exploit, e su come proteggersi da esse.

Il ciclo di intelligence delle minacce informatiche consiste nelle seguenti fasi.

Pianificazione: I requisiti dei dati devono essere prima definiti.

Raccolta: Si raccolgono grandi quantità di dati grezzi da fonti interne ed esterne di threat intelligence.

Elaborazione: I dati grezzi sono filtrati, categorizzati e organizzati.

Analisi: Questo processo trasforma i dati grezzi in flussi di informazioni sulle minacce con l’uso di tecniche analitiche strutturate in tempo reale e aiuta gli analisti a individuare gli indicatori di compromissione (IOC).

Diffusione: I risultati dell’analisi vengono immediatamente condivisi con i professionisti della sicurezza informatica e gli analisti di threat intelligence.

Feedback: Se tutte le domande trovano risposta, il ciclo si conclude. Se ci sono nuovi requisiti, il ciclo ricomincia dalla fase di pianificazione.

Indicatori comuni di compromissione

Le aziende sono sempre più sotto pressione per gestire le vulnerabilità della sicurezza e il panorama delle minacce è in continua evoluzione. I feed di threat intelligence possono aiutare in questo processo identificando gli indicatori comuni di compromissione (IOC). Non solo, possono anche raccomandare i passi necessari per prevenire attacchi e infezioni. Alcuni degli indicatori di compromissione più comuni includono:

Indirizzi IP, URL e nomi di dominio: Un esempio potrebbe essere un malware che prende di mira un host interno che sta comunicando con un noto attore di minacce.

Indirizzi e-mail, oggetto delle e-mail, link e allegati: Un esempio potrebbe essere un tentativo di phishing che si basa su un utente ignaro che clicca su un link o un allegato e avvia un comando dannoso.

Chiavi di registro, nomi di file e hash di file e DLL: Un esempio potrebbe essere un attacco da un host esterno che è già stato segnalato per un comportamento nefasto o che è già infetto.

threat intelligence hacker

Quali strumenti per la threat intelligence

Il crescente aumento del malware e delle minacce informatiche ha portato a un’abbondanza di strumenti di threat intelligence che forniscono preziose informazioni per proteggere le aziende.

Questi strumenti si presentano sotto forma di piattaforme sia open source che proprietarie. Queste forniscono una serie di capacità di difesa contro le minacce informatiche, come l’analisi automatizzata dei rischi, la raccolta di dati privati, strumenti di ricerca rapida di threat intelligence, la segnalazione e condivisione di queste informazioni tra più utenti, avvisi curati, analisi dei rischi di vulnerabilità, monitoraggio del dark web, mitigazione automatizzata dei rischi, threat hunting e molto altro.

Abbiamo parlato di uno di questi strumenti in un altro articolo: il Mitre Att&ck. Questo è uno strumento molto utile per conoscere i comportamenti e le tecniche di attacco hacker. Questo grazie alle informazioni raccolte dalla threat intelligence e la conseguente condivisione. Un framework come questo è molto efficiente per creare meccanismi difensivi che consentono di mettere in sicurezza le infrastrutture aziendali.

Intelligenza artificiale e informazioni sulle minacce

Come abbiamo visto prima, la raccolta di informazioni da varie fonti non è altro che una delle fasi. Queste devono poi venire analizzate e successivamente elaborate in protocolli di controllo, per essere davvero utili per la sicurezza.

Per questo tipo di lavori di analisi, definizione di comportamenti baseline e controllo dei dati ci si affida sempre di più all’intelligenza artificiale e al deep learning. Un Next Generation SIEM, affiancato a una soluzione UEBA sono perfetti per questo tipo di protezione.

Il controllo del comportamento delle entità all’interno del perimetro effettuato dal UEBA è in grado di identificare ogni comportamento sospetto, in base alle informazioni raccolte e analizzate dal SIEM.

Conclusioni

Gli strumenti di difesa che abbiamo nominato sono il valore primario di un piano di sicurezza aziendale. Adottare soluzioni specifiche, implementare la threat intelligence e quindi una ricerca attiva degli indicatori di minacce, offre una posizione di vantaggio strategica. L’azienda può operare un passo avanti ai criminali, i quali possono far leva solo sull’effetto sorpresa contro le loro vittime. Proprio per questa situazione generale, ogni azienda dovrebbe essere nelle condizioni di non farsi cogliere alla sprovvista. Implementare soluzioni proattive è ormai necessario.

La threat intelligence è quindi un’arma da difesa dietro la quale mettere al riparo le risorse più importanti per poter lavorare in tranquillità.

Se vuoi sapere come possiamo aiutarti con i nostri servizi dedicati alla sicurezza, non esitare a contattarci, saremo lieti di rispondere a ogni domanda.

Useful links:

Link utili:

Cyber Threat Intelligence (CTI) – maggiore efficacia per la sicurezza IT

Progetti di Secure Online Desktop

Cos’è la Cyber Security? Definizione e proposte

Prevenire il shoulder surfing e il furto di credenziali aziendali

shoulder surfing cafeteria

Estimated reading time: 8 minutes

Il termine shoulder surfing potrebbe evocare immagini di un piccolo surfista sul colletto della camicia, ma la realtà è molto più banale. Il shoulder surfing è una pratica criminale in cui i ladri rubano i tuoi dati personali spiandoti alle spalle mentre usi un laptop, un bancomat, un terminale pubblico o un altro dispositivo elettronico in mezzo ad altre persone. Questa tecnica di ingegneria sociale è un rischio per la sicurezza che può causare un disastro, soprattutto se le credenziali rubate sono aziendali.

La pratica precede di molto gli smartphone e i computer portatili e risale a quando i criminali spiavano gli utenti dei telefoni a pagamento mentre inserivano i numeri delle loro carte telefoniche per effettuare le chiamate. Sono passati molti anni, ma la tecnica non è andata perduta. I ladri si sono evoluti ad osservare le loro vittime mentre digitano il PIN del bancomat, pagano alle pompe self-service di benzina o anche mentre fanno un acquisto in un negozio.

Una tecnica analoga per il furto di bancomat prevede un dispositivo di clonazione della carta sovrapposto alla buchetta di inserimento della tessera e una microcamera per spiare il codice. La microcamera compie un atto di shoulder surfing. La clonazione della carta è essenziale perché senza un dispositivo fisico il pin è inutile, ma nel caso di credenziali di account in rete, non serve altro che user e password.

Shoulder surfing ATM

Quando avviene il Shoulder Surfing?

Il shoulder surfing può avvenire ogni volta che si condividono informazioni personali in un luogo pubblico. Questo include non solo i bancomat, le caffetterie e i dispositivi POS in generale, ma praticamente qualsiasi luogo in cui si utilizza un computer portatile, un tablet o uno smartphone per inserire dati personali.

I shoulder surfer di vecchia data, di solito, non incombevano alle spalle delle loro vittime per scrutare le informazioni. Invece, stavano a distanza di sicurezza e interpretavano i movimenti delle dita mentre le persone digitavano i numeri sulla tastiera. Allo stesso modo, gli ingegneri sociali di oggi spesso sfuggono all’attenzione mentre osservano tranquillamente gli altri in luoghi pubblici come le sale d’attesa degli aeroporti e i centri commerciali, i bar e i ristoranti, sui treni o le metropolitane, o ovunque ci sia gente, a dire il vero.

Addirittura, i più sofisticati criminali di oggi osservano da più lontano, nascosti alla vista. Potrebbero usare un binocolo, delle microcamere o la fotocamera del loro telefono o tablet per scrutare il tuo schermo o la tua tastiera. Non solo, potrebbero origliare mentre leggi i numeri delle carte di credito al telefono o fornisci altre informazioni sensibili. I criminali potrebbero anche scattare foto, fare un video o registrare l’audio delle informazioni e poi interpretarle in seguito.

Qualunque sia la metodologia, è chiaro che la tecnologia non solo ci ha aiutato a essere più connessi e poterci permettere di pagare un frappuccino con il cellulare, ma ci ha anche esposto a rischi per la nostra sicurezza. Quando si tratta di dati sensibili, soprattutto se c’è di mezzo un account aziendale da cui si potrebbe accedere a dati sensibili di altre persone, non si deve mai abbassare la guardia, le conseguenze potrebbero essere molto gravi.

Come avviene comunemente il shoulder surfing

Prima di suggerire alcuni metodi per prevenire il shoulder surfing da mettere in pratica immediatamente, vediamo ancora più nel dettaglio come potrebbe avvenire un furto di credenziale con questa tecnica.

Al bar o in caffetteria

Sei al bar di un ristorante affollato in attesa di un amico. Per passare il tempo, ti colleghi a Instagram. Sfortunatamente, non ti accorgi che la persona bloccata in fila accanto a te sta guardando la tua password, che si dà il caso sia la stessa che usi per il tuo account e-mail e il tuo conto bancario.

Al bancomat

Stai prendendo contanti a un bancomat. Ti senti al sicuro perché l’uomo dopo di te in fila è ad almeno 3 metri di distanza e sta addirittura guardando il suo telefono. In realtà, sta registrando i movimenti delle tue dita sul suo telefono e li decifrerà successivamente per ottenere il tuo numero PIN.

All’aeroporto

Il tuo volo è in ritardo, quindi prendi il portatile e ammazzi il tempo andando a leggere un paio di e-mail di lavoro, così per restare aggiornato. Accedi al sito aziendale per leggere la posta e inserisci nome utente e password. Sei così tranquillo, che non vedi la donna a pochi posti di distanza che fissa lo schermo mentre inserisci i dati.

shoulder surfing cafeteria

Quali sono le conseguenze del Shoulder Surfing?

Usare i dati della tua carta di credito per fare acquisti fraudolenti è solo un esempio dei danni che potresti subire se rimani vittima di shoulder surfing. Più informazioni personali un criminale cattura su di te, più le conseguenze possono essere gravi per il tuo conto bancario e la tua salute finanziaria.

Un grave caso di shoulder surfing può esporti al furto di identità. Un criminale potrebbe usare le tue informazioni personali, come il tuo codice fiscale, per aprire nuovi conti correnti, richiedere prestiti, affittare appartamenti o fare domanda di lavoro sotto il tuo nome. Un ladro d’identità potrebbe mettere le mani sul tuo rimborso delle tasse, usare il tuo nome per ottenere cure mediche o anche richiedere agevolazioni statali a tuo nome. Potrebbe anche commettere un crimine e fornire le tue informazioni personali quando interrogato dalla polizia, lasciandoti con una fedina penale sporca o un mandato d’arresto.

Ovviamente, se hai il sospetto che questo sia avvenuto, dovrai recarti immediatamente alla polizia, bloccare i conti correnti e avvisare la banca. Se azioni fraudolente sono già state effettuate a tuo nome, dovrai forse dimostrare che non tu non c’entri.

Le cose si fanno pericolose se i dati trafugati sono quelli di un account aziendale. Infatti, con l’uso di credenziali valide, chiunque potrebbe entrare nel sistema della compagnia e compiere ogni tipo di azione, come raccogliere ulteriori dati, piazzare un malware, avviare un ransomware, trafugare i dati dei clienti e poi venderli online.

Come difendersi dallo shoulder surfing

Si possono individuare due livelli di protezione, il primo è proattivo ed è orientato a evitare che le credenziali siano esposte a malintenzionati, il secondo è attivo e prevede dei software per individuare tentativi di utilizzo delle credenziali rubate.

Shoulder surfing

Difendersi proattivamente

Se proprio non puoi evitare di inserire dati sensibili nel laptop, tablet o smartphone in un luogo pubblico, dovresti seguire le contromisure elencate di seguito.

Suggerimento 1: Prima di inserire qualsiasi dato sensibile, trova un posto sicuro. Assicurati di sederti con le spalle al muro. Questo è il modo migliore per proteggersi da occhi indiscreti. Evita i mezzi pubblici, le poltroncine centrali di una sala d’aspetto e luoghi in cui c’è molto via vai di persone.

Suggerimento 2: Utilizzare un filtro per la privacy. Questo dispositivo hardware è un semplice foglio traslucido polarizzato che viene messo sopra lo schermo. Farà sembrare il tuo schermo nero a chiunque lo guardi da un qualunque angolo innaturale. Questo renderà molto più difficile per le persone non autorizzate vedere le tue informazioni.

Suggerimento 3: L’autenticazione a due fattori richiede che un utente provi la propria identità utilizzando due diversi componenti di autenticazione che sono indipendenti l’uno dall’altro. Poiché questo tipo di autenticazione passa solo quando entrambi i fattori sono utilizzati correttamente in combinazione, la misura di sicurezza è particolarmente efficace. Per esempio, questo metodo è spesso usato molto nell’online banking. Sono molti i servizi che permettono di usare anche il tuo cellulare come secondo fattore di autenticazione. Questo avviene tramite apposite app.

Suggerimento 4: un’altra soluzione è quella di utilizzare un gestore di password. Così facendo, non dovrai più inserire ogni password individualmente sul tuo computer. Il gestore di password lo farà per te dopo che avrai inserito la tua password principale. Questo impedisce a persone non autorizzate di usare la tua tastiera per determinare la vera password, a condizione che tu protegga adeguatamente la tua password principale.

Difendersi attivamente con un SOC e l’analisi del comportamento

Adesso immaginiamo che le credenziali dell’account aziendale siano state rubate. A questo punto solo un sistema di controllo del comportamento può far scattare un allarme e quindi il blocco dell’utente prima che ci siano dei danni.

Infatti, usando credenziali corrette, un normale SIEM tradizionale, non farebbe scattare nessun allarme. Per un SIEM di vecchia generazione l’accesso sarebbe legittimo, perché le credenziali risultano giuste. Il malintenzionato avrebbe libero accesso indisturbato al sistema e potrebbe proseguire con il suo piano di attacco.

Con il servizio SOCaaS di SOD, invece, l’accesso anomalo farebbe scattare un allarme. Il SOC messo a disposizione è equipaggiato con un Next Generation SIEM e un sistema UEBA di controllo del comportamento. Questo significa che ogni scostamento dal comportamento usuale dell’utente, verrebbe segnalato.

Nel caso del furto di credenziali, come avviene con il shoulder surfing, l’accesso effettuato dal malintenzionato farebbe quindi scattare un allarme perché ci sarebbe qualcosa che non torna. Per esempio il login potrebbe avvenire in fasce orarie anomale, in un’altra nazione/IP, da un sistema operativo differente, etc.

Conclusioni

Il shoulder surfing è una tecnica dell’ingegneria sociale che punta sulla disattenzione dell’utente mentre inserisce dati sensibili in un sistema. Nel caso in cui le credenziali aziendali di un utente venissero rubate, l’unica cosa davvero efficiente è avere un sistema che analizzi il comportamento degli utenti e segnali ogni volta che azioni sospette vengono individuate.

Se vuoi sapere nel dettaglio come un SOC e un sistema UEBA possano aiutare la tua azienda a difendersi da attacchi di ingegneria sociale, non esitare a contattarci, saremo lieti di rispondere a ogni domanda.

Useful links:

Logic time bomb

Estimated reading time: 6 minutes

Una logic bomb, chiamata anche slug code, è un pezzo di codice inserito in un’applicazione, virus o malware che implementa una funzione dannosa dopo un certo limite di tempo o in condizioni specifiche.

Queste “bombe” sono spesso usate tramite virus, worm e Trojan per gestire al meglio il tempo a disposizione e fare il massimo danno prima di essere notati. Eseguono azioni come corrompere o alterare i dati, riformattare un disco rigido e cancellare file importanti.

In questo articolo voglio spiegare cosa sia un bomba logica e offrire qualche suggerimento per prevenirne i danni.

Logic bomb virus

Cos’è un logic bomb virus?

Una bomba logica è spesso inserita in un virus o comunque in un file eseguibile. È composta da un codice malevolo che innesca un attacco quando vengono soddisfatte condizioni specifiche. Le condizioni possono essere positive (qualcosa che accade) oppure negative (qualcosa che non accade). Nel primo caso un esempio è quello dell’apertura di un programma, invece, un esempio di condizione negativa è un utente che non compie il login.

Le bombe logiche sono spesso installate da qualcuno con un accesso di alto livello, come un amministratore di sistema. Tale persona può causare il caos impostando questi codici su più sistemi e programmandoli per “esplodere” simultaneamente quando si verifica un certo evento. Per esempio, potrebbero azionarsi quando un certo dipendente viene rimosso dal database degli stipendiati, cioè quando viene licenziato.

Con il termine slag code ci si riferisce al codice manipolato che rende dannoso un programma altrimenti sicuro. Le versioni a tempo di bomba logica sono quelle più diffuse e utilizzano come condizione positiva il trascorrere di un certo lasso di tempo.

Qualunque sia il nome usato, il metodo di attacco è sempre chiaramente lo stesso: il codice rimane dormiente nel software infetto fino a quando non viene innescato. Gli attacchi comuni coinvolgono la corruzione dei dati, la cancellazione dei file e la cancellazione dei dischi rigidi.

Come funziona

Il modo in cui una logic bomb funziona dipende da chi l’ha ideata. Ogni bomba logica è unica, ed è per questo che sono difficili da tracciare. Di solito sono personalizzate per essere il meno rilevabili possibile. Spesso sono travestite per sembrare un tipico virus informatico o inserite in altri tipi di malware come i worm. Worm e virus sono diversi, ma le bombe logiche non si preoccupano della distinzione: possono causare danni attraverso entrambi.

Una bomba logica è effettivamente un malware? Poiché fanno parte di altri programmi, no, ma di solito hanno un intento maligno. Ecco perché gli slag code sono così difficili da rilevare. Inoltre, essendo “solo” codice, potenzialmente inseribile ovunque, mitigare il rischio è più complicato.

La cosa migliore da fare, come utente finale che potrebbe essere coinvolto in un attacco con una logic bomb, è quello di tenere gli occhi aperti e chiedere agli esperti IT della tua azienda di fare i controlli necessari in caso di dubbio. Il rischio è quello di far scattare la bomba involontariamente cercando di trovarla.

Esempi di attacchi

Le bombe logiche possono cambiare in modo impercettibile un frammento di codice in modo che appaia tecnicamente normale ad un sistema automatico di ricerca delle minacce, mentre sembrerebbe molto sospetto per un occhio umano. Nel 2016, un programmatore freelance ha volontariamente causato un malfunzionamento ricorrente dei fogli di calcolo in una filiale della società Siemens. La filiale lo ha continuato ad assumere per risolvere il problema che lui stesso aveva causato (Fonte). In questo caso, i dipendenti non sospettavano nulla fino a quando una fortunata coincidenza ha costretto il codice maligno a uscire allo scoperto.

Anche le aziende possono usare bombe logiche per violare i propri clienti. Nel 2005, Sony fu coinvolta in uno scandalo per aver rilasciato dei CD che scatenavano una bomba logica quando venivano inseriti in un computer. Lo slag code contenuti nei CD installava un rootkit che bloccava la capacità del PC di copiare i CD. (Fonte)

Un altro caso di alto profilo si è verificato nei primi anni 2000, quando un dipendente di UBS Global, arrabbiato per una disputa salariale, ha piazzato una bomba logica a tempo che ha causato più di tre milioni di dollari di danni. Un segno evidente che uno snippet di codice molto piccolo può causare una grande quantità di danni. (Fonte)

Nel 2013, un attacco con una bomba a tempo in Corea del Sud ha cancellato i dischi rigidi di diverse banche e società di trasmissione. Il gruppo responsabile dell’attacco ha messo la bomba a tempo all’interno di un malware che ha finito per infettare oltre 32.000 sistemi. Le bombe sono esplose tutte insieme, causando il caos in tutto il paese. (Fonte)

Logic bomb cover

Da dove vengono e come prevenire le logic bomb

Come abbiamo visto anche negli esempi, le bombe logiche sono tipicamente distribuite all’interno di una rete chiusa, come quella di un’azienda o di una filiale. Una delle probabili fonti è un dipendente scontento con accessi di amministratore, quindi un attento monitoraggio delle attività in uscita del personale dovrebbe rivelare qualsiasi attività sospetta. Ma non è tutto, le bombe logiche possono anche essere piazzate in allegati di email e download di file sospetti, quindi gli utenti dovrebbero essere vigili quando scelgono i file da scaricare.

Come abbiamo visto quando abbiamo parlato di phishing e di ingegneria sociale, la parte più hackerabile di un sistema, sono spesso gli user. Per questo una campagna preventiva è sempre un’ottima scelta. Prendersi cura del personale significa anche proporre dei training specifici tramite servizi di phishing etico.

Oltre alla prevenzione, è bene limitare i privilegi amministrativi a un gruppo selezionato di dipendenti in modo che sia meno probabile che qualcuno possa causare gravi danni alla rete con una bomba logica. Questo metodo preventivo, inoltre, riduce il numero dei sospetti in caso di attacco, rendendo l’appartenenza a quello specifico gruppo di dipendenti di per sé un deterrente contro gli attacchi interni.

La soluzione proposta da SOD

Dove la prevenzione fallisce e vincono invece gli hacker, è il campo ideale per implementare sistemi avanzati di monitoring e analisi.

SOD offre, per esempio, un sistema SIEM nella soluzione SOC as a Service. Tramite il SIEM vengono costantemente raccolte informazioni su quello che succede nella rete. Queste informazioni vengono poi arricchite con metadati contestuali per uniformarle e gestirle al meglio. Già questo è in grado di far scattare allarmi se alcuni eventi sospetti si verificassero. Ma se questo non bastasse, il SOC dispone anche di uno strumento di “User and Entity Behavior Analysis” (UEBA) che analizza il comportamento degli utenti e grazie all’interazione di una IA riesce a individuare comportamenti sospetti.

Se vuoi saperne di più riguardo al servizio SOC offerto, o se hai delle domande su come SOD può aiutarti a mantenere la tua azienda al sicuro, non esitare a contattarci. Saremo lieti di rispondere a ogni dubbio.

Useful links:

Link utili:

Mobile App Penetration Test & Code Review

Cos’è la Cyber Security? Definizione e proposte

Evitare il Ransomware Cover

Tempo di lettura: 5 minutes

Le ransomware gang hanno preso di mira le aziende negli ultimi tempi, chiedendo pagamenti più grandi di quelli che possono estorcere ai consumatori. Il piano ha avuto molto successo. Secondo i nuovi dati il 70% delle aziende attaccate hanno pagato il riscatto per riavere i loro dati. Evitare il ransomware è una necessità, queste cifre lo dimostrano implicitamente. Se un così alto numero di aziende paga, è perché il rischio è troppo grande in termini di reputazione e perdite economiche collaterali.

I ricercatori di IBM Security’s X-Force hanno intervistato i dirigenti di 600 aziende di tutte le dimensioni e hanno scoperto che le organizzazioni colpite dal ransomware scelgono di pagare nella maggior parte dei casi.

I dati mostrano che il 20% delle organizzazioni compromesse hanno pagato riscatti di più di 40.000 dollari e il 25 per cento ha pagato tra i 20.000 e i 40.000 dollari. Questi numeri sono molto più alti di quello che i consumatori pagano tipicamente, che di solito è una cifra intorno a 500$-1.000$, a seconda della variante del ransomware.

Quando prendono di mira le imprese, i gruppi hacker mirano a paralizzare le organizzazioni criptando i dati finanziari, i database dei clienti, i dati di vendita e altre informazioni vitali.

Evitare il ransomware – i rischi degli attacchi

Nell’ultimo anno un certo numero di organizzazioni sono state colpite da gravi attacchi ransomware, compresi ospedali, università e altri. Per esempio, la San Francisco Municipal Transportation Authority è stata colpita da un attacco ransomware durante il fine settimana del Ringraziamento, una festività molto importante negli USA. L’attacco ha paralizzando i desktop all’interno dell’agenzia e costringendo i funzionari a spegnere le biglietterie automatiche. Inutile dire che questo attacco si è tradotto in una perdita enorme di indotto e la richiesta del riscatto.

Far entrare un malware nelle organizzazioni pubbliche non è così difficile come si potrebbe pensare, e spesso viene fatto con una singola e-mail.

Nei loro attacchi alle reti, i cyber criminali cercano i server che tengono in piedi l’azienda e criptano risorse fondamentali piuttosto che lavorare sugli endpoint dell’intera azienda.

Il punto di accesso è di solito un’e-mail di phishing con un allegato dannoso, inviato alla casella di posta elettronica di un dipendente. Nella maggior parte dei casi, l’allegato è un documento di Microsoft Office che chiede alla vittima di attivare le macro. Cliccare sul pulsante di attivazione delle macro è spesso una questione da poco per quegli utenti poco informati che vogliono solo far sparire l’avviso in cima al documento. Il malware viene eseguito non appena l’utente permette l’esecuzione delle macro. Il ransomware può anche arrivare attraverso qualsiasi altro allegato o attraverso kit di exploit che facilitano l’infezione senza alcuna azione speciale da parte dell’utente.

Le perdite economiche

La quantità di denaro che le imprese hanno pagato per riavere i loro dati non dovrebbe essere una sorpresa, considerando l’alternativa. Come avviene sempre più spesso, l’attacco non si limita a mettere sotto chiave i dati fino al pagamento della cifra richiesta. La minaccia continua con la diffusione dei dati se non si accetta di pagare un secondo riscatto. Alla fine si saranno pagati due riscatti e comunque non c’è una certezza che i dati non saranno divulgati. (È detto attacco a doppia estorsione).

Molte organizzazioni tengono questi attacchi nascosti per evitare l’umiliazione pubblica e la perdita di fiducia dei clienti. I dati del sondaggio di IBM mostrano che il 29% dei dirigenti di grandi aziende pagherebbe più di $50.000 per recuperare i dati finanziari.

Le forze dell’ordine, compresa l’FBI, e gli esperti di sicurezza consigliano alle vittime di ransomware di non pagare, per una serie di ragioni. In primo luogo, non c’è garanzia che l’attaccante consegni la chiave di decifrazione. In secondo luogo, i profitti del ransomware aiutano a finanziare altre operazioni di criminalità informatica.

Come difendersi per evitare il ransomware

Il phishing rimane uno dei metodi chiave con cui viene tentato un attacco ransomware. In seguito all’aumento recente del lavoro da remoto, è indispensabile ribadire l’importanza di stare attenti quando si aprono e-mail e allegati. Se i dipendenti hanno dei sospetti su qualcosa, dovrebbero segnalarlo.

Le organizzazioni dovrebbero anche assicurarsi di avere una buona strategia di patch e applicare gli ultimi aggiornamenti di sicurezza. Questo impedisce ai criminali informatici di approfittare delle vulnerabilità conosciute per distribuire malware.

Aggiornare regolarmente i backup dovrebbe essere una priorità, perché se accade il peggio e l’organizzazione cade vittima di un attacco ransomware, la rete può essere ripristinata senza pagare il riscatto.

SOD fornisce soluzioni per le situazioni elencate tramite il servizio SOCaaS. Puoi assicurarti la protezione di un Security Operation Center senza dover investire per il suo finanziamento iniziale.

Il sistema controlla tramite un’intelligenza artificiale le azioni dei computer collegati alla rete. Non appena viene rilevata un’azione sospetta, anche legittima, vengono avvisati i tecnici che possono indagare sulla natura del fatto. I sistemi SIEM di nuova generazione e l’analisi comportamentale tramite UEBA, collaborano per offrire una sicurezza a 360°.

SOD mette a disposizione anche sistemi di backup intelligente anti-ransomware tramite Acronis Cyber Protect Cloud. Con questo strumento al tuo fianco, i dati aziendali e dei clienti sono al sicuro. Ogni tentativo di attacco viene individuato e mitigato immediatamente, intanto, grazie a backup dinamici, i dati sono immediatamente ripristinati.

Evitare il ransomware può essere relativamente facile: basta prestare attenzione a ogni operazione che si esegue sui computer. A volte, purtroppo, questo non è sufficiente. È il momento in cui avere investito in un sistema di sicurezza di qualità farà la differenza.

Per domande o richieste non esitare a contattarci, saremo lieti di rispondere alle domande e proporti una soluzione su misura per le tue esigenze.

Long-term Search Cover
Tempo di lettura: 4 min

Il ransomware viene comunemente portato a segno con una e-mail che inganna gli utenti a fidarsi di un file dannoso. Molte delle piu’ recenti violazioni dei dati sono state portate a termine perché un utente e’ stato vittima di un attacco di questo tipo nel periodo precedente. Minacce come il ransomware, che si concentrano sulla compromissione dell’utente, fanno si’ che sempre piu’ aziende adottino l’analisi comportamentale degli utenti e delle entita’ (UEBA) nel loro centro operativo di sicurezza (SOC). Le nuove funzioni del servizio SOC, tra cui la long-term search, sono orientate all’offerta sempre maggiore di strumenti aggiuntivi per la gestione ottimale della sicurezza aziendale.

Noi continuiamo nell’innovazione della nostra piattaforma per aumentare la potenza del SOC nel combattere ransomware e altre minacce. Nella nostra piu’ recente versione, abbiamo aggiunto un numero ancora maggiore di funzionalita’ di rilevamento basate sull’apprendimento automatico e context-aware che consentono agli analisti della sicurezza di affrontare le aggressioni piu’ sofisticate. Inoltre, gli ultimi aggiornamenti portano una sempre maggiore facilita’ d’uso per gli architetti della sicurezza.

Long-term search - novità SOCaaS

Long-term search per l’analista della sicurezza

Il servizio introduce una serie di innovazioni per ridurre i tempi di rilevamento e di risposta degli analisti della sicurezza e dei cercatori di minacce.

Miglioramento del rilevamento di minacce sofisticate

– La long-term search aiuta gli analisti a scoprire le minacce nascoste fornendo una capacita’ di ricerca sui dati archiviati. La ricerca e’ scalabile e non influisce sulle prestazioni del SIEM.
– Analytics Sandbox aiuta ad abbattere i falsi positivi fornendo un ambiente di QA in linea per testare e convalidare i casi d’uso.
– Le catene di minacce Persona-based rilevano le minacce avanzate in modo piu’ accurato, comprendendo la relazione dinamica tra utenti, host, indirizzi IP e indirizzi e-mail. Gli analisti traggono vantaggio da una piu’ ampia visibilita’ sulla progressione di un attacco. Questa funzione combina le attivita’ sospette di un singolo utente in un unico avviso con priorita’, invece di avvisi separati e non correlati.
– Relative Rarity offre agli analisti un contesto piu’ ampio su quanto sia raro un evento rispetto a tutti gli altri eventi nel loro ambiente.
– La visualizzazione degli avvisi di sicurezza utilizzando il MITRE ATT&CK Threat Framework aiuta gli analisti a dare priorita’ al rischio e a ridurre i tempi di risposta.

Riduzione dei tempi di risposta

– Il miglioramento della gestione dei casi consente una migliore gestione, condivisione e investigazione degli allarmi, consentendo agli operatori di rispondere piu’ rapidamente.
– Le nuove integrazioni EDR migliorano la risposta agli incidenti fornendo ulteriori dati sugli endpoint da CarbonBlack Defense, Tanium, Symantec DLP e altri.
– Le migliori visualizzazioni delle ricerche migliorano l’esperienza dell’analista riducendo i tempi di rilevamento e di risposta. Aiutano gli analisti a identificare facilmente gli account compromessi, l’esfiltrazione dei dati e gli hotspot associati.

Perche’ la long-term search e’ cosi’ importante

Con un tempo di permanenza globale di circa 60 giorni in media, la caccia alle minacce continua ad essere una parte importante nella resilienza della sicurezza informatica. Tuttavia, la ricerca attraverso lo storico dei dati richiede solitamente molto tempo.

Molti fornitori non sono in grado di scalare dinamicamente una ricerca veloce attraverso i dati archiviati senza notevole sforzo. Le ultime funzionalita’ del nostro SOCaaS forniscono questa possibilita’ ai cacciatori di minacce con la long-term search su scala quasi illimitata. Con la ricerca a lungo termine, le organizzazioni possono ridurre il tempo necessario per indagare e trovare le minacce che sono gia’ nel loro ambiente.

Gli analisti hanno bisogno di interrogare continuamente i dati per capire se ci sono nuove minacce. Ad esempio, un analista potrebbe apprendere, da una fonte attendibile, che il loro settore e’ stato preso di mira. A questo punto c’e’ bisogno di indagare su un nuovo indicatore di compromesso che e’ stato appena scoperto per verificare se un aggressore e’ gia’ all’interno.

Attraverso la long-term search, il SIEM nativo del SOCaaS di SOD consente ai cacciatori di minacce di essere proattivi, rendendo la ricerca sui dati storici veloce e conveniente.

Conclusioni

Tramite l’introduzione di nuove tecnologie nel nostro servizio SOC, stiamo offrendo sempre piu’ sicurezza per i nostri clienti.

Ci prendiamo cura dei vostri dati verificando non solo che non siano al sicuro ora, ma anche che non abbiano subito violazioni in passato. Nel caso dovessimo avere il sospetto di una nuova minaccia, sappiamo come individuarla.

Nel caso avessi domande, contattaci, saremo lieti di rispondere a ogni tuo dubbio.

Link utili:

UEBA
Tempo di lettura: 6 min

I classici strumenti e sistemi di difesa contro gli le minacce informatiche stanno rapidamente diventando obsoleti e ci sono diversi modi per superarli. Cio’ che rimane comune con sicurezza tra i cyber criminali che tentano un attacco e’ l’intento dell’attacco stesso. Infatti, sapendo che esistono sistemi in grado di rilevare gli indicatori di compromesso (IOC), e’ naturale che gli hacker competenti cercheranno di non lasciare tracce riconducibili agli standard. L’analisi del comportamento degli utenti e delle entita’ (UEBA) offre un modo piu’ completo per assicurarsi che l’azienda disponga di una sicurezza IT di prim’ordine. Al tempo stesso, aiuta a rilevare gli utenti e le entita’ che potrebbero compromettere l’intero sistema.

Una definizione di User Entity Behaviour Analytics

L’analisi del comportamento degli utenti e delle entita’, o UEBA (User Entity Behaviour Analytics), e’ un tipo di processo di sicurezza informatica che prende atto del comportamento standard degli utenti. A loro volta, il sistema rileva ogni comportamento anomalo o i casi in cui ci sono deviazioni dagli schemi “normali” citati prima. Ad esempio, se un particolare utente scarica regolarmente 10 MB di file ogni giorno, e improvvisamente ne scarica 1 GB, il sistema sarebbe in grado di rilevare questa anomalia e di avvertire immediatamente gli operatori. Il comportamento potrebbe essere legittimo, ma vale la pena controllare.

Il sistema UEBA utilizza l’apprendimento automatico, gli algoritmi e le analisi statistiche per sapere quando c’e’ una deviazione dai modelli stabiliti. Successivamente, mostra quale di queste anomalie potrebbe risultare in una potenziale e reale minaccia. Inoltre, UEBA puo’ aggregare i dati dei report e dei log, cosi’ come analizzare le informazioni su file, flusso e pacchetti.

Con un UEBA si tracciano tutti gli utenti e le entita’ del sistema. In questo modo il sistema si concentra sulle minacce interne, come dipendenti disonesti, quelli compromessi e le persone che hanno accesso al sistema e quindi effettuano attacchi mirati e tentativi di frode, cosi’ come i server, le applicazioni e i dispositivi che lavorano all’interno del sistema.

Vantaggi

E’ la spiacevole verita’ che gli strumenti di sicurezza informatica di oggi stanno rapidamente diventando obsoleti. Ormai gli hacker e i cyber criminali piu’ abili sono in grado di aggirare le difese perimetrali utilizzate dalla maggior parte delle aziende. Qualche anno fa si era sicuri se si disponeva di gateway web, firewall e strumenti di prevenzione delle intrusioni. Questo non e’ piu’ il caso nel complesso panorama delle minacce, ed e’ particolarmente vero per le grandi aziende che hanno dimostrato di avere perimetri IT molto porosi che sono anche molto difficili da gestire e supervisionare.

Il punto fondamentale? Le misure preventive non sono piu’ sufficienti. I firewall non saranno infallibili al 100% e gli aggressori entreranno nel sistema in un punto o nell’altro. Ecco perche’ il rilevamento e’ altrettanto importante: quando gli hacker entrano con successo nel sistema, allora bisogna essere in grado di rilevare rapidamente la loro presenza per ridurre al minimo i danni.

Come funziona?

La premessa del sistema e’ in realta’ molto semplice. Si puo’ facilmente rubare il nome utente e la password di un dipendente, ma e’ molto piu’ difficile imitare il comportamento normale della persona una volta dentro la rete.
Per esempio, diciamo che si riesca a rubare la password e il nome utente di Mario Rossi. E’ quasi impossibile comunque agire esattamente come Mario Rossi una volta dentro al sistema, a meno che non venga fatta anche un’ampia ricerca e preparazione in questa direzione. Pertanto, quando il nome utente di Mario e’ collegato al sistema e il suo comportamento e’ diverso da quello tipico, e’ il momento in cui iniziano a suonare gli allarmi UEBA.

Un’altra analogia correlabile sarebbe il furto di una carta di credito. Un ladro puo’ rubare il portafoglio e andare in un negozio di articoli di lusso e iniziare a spendere migliaia di euro. Ma, se il modello di spesa su quella carta e’ diverso da quello del ladro, il reparto di rilevamento delle frodi riconoscera’ le spese anomale e blocchera’ gli acquisti sospetti, inviandovi un avviso o chiedendo di verificare l’autenticita’ di una transazione.

Cosa puo’ fare UEBA?

UEBA e’ una componente molto importante della sicurezza informatica moderna e permette di:

1. Rilevare le minacce interne: Non e’ troppo azzardato immaginare che un dipendente, o forse un gruppo di dipendenti, possa disobbedire, rubare dati e informazioni utilizzando il proprio accesso. UEBA puo’ aiutarvi a rilevare violazioni dei dati, sabotaggi, abusi di privilegi e violazioni di policy da parte del personale.

2. Rilevare gli account compromessi: A volte, gli account utente vengono compromessi. Puo’ essere che l’utente abbia involontariamente installato malware sulla sua macchina, o che a volte un account legittimo sia stato falsificato. UEBA puo’ aiutare ad eliminare gli utenti compromessi prima che possano fare danni.

3. Rilevare gli attacchi di forza bruta: Gli hacker a volte prendono di mira le entita’ basate sul cloud cosi’ come i sistemi di autenticazione di terze parti. Con UEBA, si e’ in grado di rilevare i tentativi di attacco brute force, permettendo di bloccare l’accesso a queste entita’.

4. Rilevare le modifiche dei permessi e la creazione di super utenti: Alcuni attacchi prevedono l’uso di super users. UEBA consente di rilevare quando i super utenti vengono creati, o se ci sono account a cui sono stati concessi permessi non necessari.

5. Rilevare la violazione di dati protetti: Se si dispone di dati protetti, non e’ sufficiente tenerli al sicuro. Bisogna sapere quando un utente accede a questi dati se non ha alcun motivo commerciale legittimo per farlo.

UEBA e SIEM

Security Information and Event Management, o SIEM, e’ l’utilizzo di un complesso insieme di strumenti e tecnologie che fornisce una visione completa della sicurezza del vostro sistema IT. Si avvale di dati e informazioni sugli eventi, consentendo di vedere modelli e tendenze normali e di avvertire in caso di anomalie. UEBA funziona allo stesso modo, solo che utilizza le informazioni sul comportamento dell’utente (e dell’entita’) per verificare cio’ che e’ normale e cio’ che non lo e’.

Il SIEM, tuttavia, e’ basato su regole, e gli hacker competenti possono facilmente aggirare o eludere queste regole. Inoltre, le regole del SIEM sono progettate per rilevare immediatamente le minacce che si verificano in tempo reale, mentre gli attacchi piu’ avanzati sono solitamente effettuati nell’arco di mesi o anni. L’UEBA, invece, non si basa su regole. Utilizza invece tecniche di risk scoring e algoritmi avanzati che gli consentono di rilevare le anomalie nel tempo.

Una delle migliori pratiche per la sicurezza informatica e’ quella di utilizzare sia SIEM che UEBA per avere migliori capacita’ di sicurezza e di rilevamento.

Come andrebbe usato un UEBA

L’UEBA e’ nato dalla necessita’ di individuare il comportamento dannoso degli utenti e di altre entita’. Gli strumenti e i processi UEBA non sono destinati a sostituire i sistemi di monitoraggio precedenti, ma dovrebbero invece essere utilizzati per integrarli e migliorare la sicurezza generale di un’azienda. Un’altra grande pratica e’ quella di sfruttare le capacita’ di memorizzazione e di calcolo dei grandi dati, utilizzando l’apprendimento automatico e l’analisi statistica per evitare di ricevere una valanga di allarmi inutili e di essere sopraffatti dal grande volume di dati generati.

Ed e’ esattamente quello che accade nel SOCaaS offerto da SOD, in cui il SOAR e’ garantito anche dalla collaborazione di questi sistemi.

UEBA utilizza l’apprendimento automatico e gli algoritmi per rafforzare la sicurezza monitorando gli utenti e altre entita’, rilevando anomalie nei modelli di comportamento che potrebbero essere indicative di una minaccia. Adottando un approccio proattivo alla sicurezza e acquisendo una maggiore visibilita’ sul comportamento degli utenti e delle entita’, le imprese di oggi sono in grado di costruire sistemi di sicurezza piu’ forti e di mitigare piu’ efficacemente le minacce e prevenire le violazioni.

Link utili:

SOC as a Service

Cos’e’ un Network Lateral Movement e come difendersi

Log Management

MITRE Att&ck: una panoramica

Il SOCaaS è utile per la tua azienda?

SOAR: cos’e’ e come puo’ essere utile per le aziende

Sicurezza: pentest e verifica delle vulnerabilita’

SIEM in informatica: la storia

 

Customers

Newsletter