Giacomo Lanzi
Casi d’uso di un SOCaaS per le aziende parte 2
Estimated reading time: 5 minuti
Nell’articolo precedente abbiamo visto i più comuni casi d’uso di un SOCaaS, spiegando in che modo può essere utile per le aziende avvalersi di questo strumento per prevenire attacchi informatici e spiegando inoltre quali sono i Threat Models più comuni.
In questo articolo, invece, vedremo più da vicino alcuni dei più comuni indicatori di compromissione (IOC). Prima vedremo brevemente i modelli di minaccia malware che l’uso di un SOCaaS può prevenire e bloccare. Per come funziona, un SOCaaS può essere molto duttile e analizzare molti dati contemporaneamente, fornendo così risultati approfonditi e precisi.
Malware Threat Models
È importante saper distinguere e classificare le diverse tipologie di malware per capire in che modo possono infettare sistemi e dispositivi, il livello di minaccia che rappresentano e come proteggersi da essi. Noi di SOD consigliamo di adottare l’uso di un SOCaaS in modo da poter classificare l’intera gamma di malware o di oggetti potenzialmente indesiderati. I malware vengono catalogati in base all’attività che svolgono sui sistemi infetti.
Rilevamento malware Wannacry
Grazie a questo modello di minaccia è possibile rilevare il comportamento del noto malware Wannacry.
Il malware Wannacry è un ransomware che attacca il sistema crittografando file di particolare importanza per un’organizzazione in modo da renderli illeggibili.
Il rilevamento tempestivo di un ransomware è probabilmente l’azione più efficace che si possa svolgere per difendersi. Esistono anche servizi che riescono a bloccare l’azione del malware e ripristinare gli eventuali file già cifrati con quelli di un backup, per esempio Acronis Cyber Protect Cloud.
Anomalia del network seguita da infiltrazioni di dati
Identifica i tentativi di aggregazione dei dati di rete che hanno avuto successo, seguiti da segni di infiltrazione dei dati. Qui di seguito vediamo alcune delle anomalie e di come l’uso di un SOCaaS possa individuare indizi importanti per contrastare le minacce.
Durante una scansione della rete è possibile notare enumerazioni di account e privilegi AD, conteggio dei servizi LDAP fuori dalla rete aziendale e un numero sospetto di richieste di ticket al protocollo Kerberos. Inoltre, altri indicatori possono essere un picco nel traffico LDAP e l’enumerazione dei servizi SMB.
Per quello che riguarda le anomalie dell’unità di rete, l’uso di un SOCaaS è in grado di controllare gli accessi allo sharepoint in modo da individuare un numero insolito di accessi ad elementi condivisi. Questo anche in relazione agli utenti e al loro livello di accesso.
Sotto l’aspetto di Data Aggregation e di infiltrazione di dati, sono monitorati le quantità di byte scaricati dalle porte dei server e tramite protocolli FTP, così come una quantità inconsueta di byte trasmessi verso l’esterno.
Rilevamento Petrwrap/Goldeneye/Amalware
Questo modello di minaccia ha lo scopo di rilevare il malware Petrwrap. L’uso di un SOCaaS può rilevare attività di network scanning tramite il monitoring del numero di attività SMBv1, così come le anomalie in queste attività. Anche il tentativo di raggiungere un host mai raggiunto prima potrebbe essere un indicatore.
Un altro modo in cui è possibile individuare queste minacce con l’uso di un SOCaaS è il controllo delle attività con privilegi sospette. Per esempio si verifica che non ci sia un’escaletion di privilegi, un accesso insolito in una zona admin o anche la manomissione dei file di log.
Indicatori di rischio in generale
Gli indicatori di rischio sono metriche utilizzate per mostrare che l’organizzazione è soggetta o ha un’elevata probabilità di essere soggetta a un rischio.
Questi indicatori vengono usati per classificare il tipo di comportamento o minaccia per una policy e possono essere utilizzati in più policy per diverse funzionalità in base all’origine dei dati. Gli indicatori di rischio possono essere concatenati con i modelli di minaccia per identificare attacchi sofisticati su più fonti di dati.
Si tratta, in sostanza, di indizi o campanelli di allarme che indicano eventi a cui gli operatori di sicurezza di un’azienda dovrebbero prestare particolare attenzione. L’uso di un SOCaaS può aiutare a individuare questi indizi grazie all’analisi di grandi quantità di dati e log in tempi ridotti.
Qui di seguito vediamo un elenco non esaustivo di alcuni degli indicatori di minaccia più comuni che sono individuabili tramite l’uso di un SOCaaS. Li divideremo in diversi ambiti, per chiarezza.
Accessi
Le anomalie che riguardano l’accesso o comunque l’account includono il rilevamento di accesso allo sherepoint amministrativo anomalo ma anche tempi di caricamento delle applicazioni anomali. Anche applicazioni che utilizzano una quantità inconsueta di memoria potrebbero essere indicatori di compromissione.
Per quello che riguarda gli account, ovviamente, il blocco di un account risulta un campanello di allarme, così come un numero inconsueto di account creati o un numero spropositato di autenticazioni fallite. Infine, l’uso di un SOCaaS potrebbe indicare come IOC un numero sospetto di account in esecuzione contemporaneamente.
Reti
I campanelli di allarme che riguardano le reti sono, ovviamente, quelli più comuni. Essendo le reti come “le strade” di un’infrastruttura aziendale, è normale che i comportamenti anomali in queste siano particolarmente rilevanti.
Come indicatori comuni ci sono i trasferimenti anomali di zone DNS o le richieste non riuscite fatte al firewall. Ma anche un numero anomalo di host in esecuzione o di connessioni ICMP. Tramite l’uso di un SOCaaS è controllato anche il traffico in generale, in modo che ogni movimento sospetto di dati sia analizzato o comunque verificato. Un esempio di questo sono i movimenti di pacchetti verso porte critiche, i tentativi di connessione RDP, SSH o a un server DHCP. Questi eventi indicano spesso dei tentativi anomali di connessione a oggetti o a condivisioni di rete.
Tramite l’uso di un SOCaaS è molto semplice anche controllare il comportamento degli account che spesso mostrano di per sé dei campanelli di allarme. Per esempio, un account che accede a un host per la prima volta, la creazione di un account o l’aggiunta di privilegi.
Conclusioni
Affidarsi alla fortuna per catturare le minacce è una follia, come ci ha dimostrato l’attacco SolarWinds.
Create la vostra fortuna con la nostra soluzione SOCaaS, assicurandovi di individuare le minacce prima che accadano incident e di essere abbastanza “fortunati” da contrastarle.
Contattaci per sapere come i nostri servizi possono rafforzare le difese della tua azienda, saremo lieti di rispondere a ogni domanda.
Link utili:
Condividi
RSS
Piu’ articoli…
- Standard e best practice per il penetration testing: tutto quello che devi sapere per proteggere la tua azienda
- Script Kiddies: I pericoli dei cybercriminali improvvisati
- MDR, EDR o NGS: Scegli la soluzione di sicurezza informatica perfetta per la tua azienda!
- La sicurezza informatica a più livelli: come proteggere la tua azienda da tutte le minacce
- Initial Access Broker: La minaccia invisibile che mette a rischio la sicurezza informatica
- Differenza tra un SOC con NGS (Next Generation SIEM) e un SOC con EDR (Endpoint Detection and Response): Quale soluzione è la migliore per proteggere la tua azienda dalle minacce informatiche?
- Differenza tra SAST e DAST: Una Guida Completa per la Sicurezza del tuo Software
- Security Operation Center as a Service (SOCaaS): Cos’è, Come Funziona e Perché è Importante per la Tua Azienda
Categorie …
- Backup as a Service (24)
- Acronis Cloud Backup (18)
- Veeam Cloud Connect (3)
- Cloud CRM (1)
- Cloud Server/VPS (23)
- Conferenza Cloud (4)
- Log Management (2)
- Monitoraggio ICT (4)
- Novita' (15)
- ownCloud (7)
- Privacy (8)
- Secure Online Desktop (14)
- Security (181)
- Cyber Threat Intelligence (CTI) (8)
- Ethical Phishing (8)
- Penetration Test (11)
- SOCaaS (56)
- Vulnerabilita' (83)
- Web Hosting (15)
Tags
CSIRT
- Aggiornamenti per Joomla!
(AL03/230217/CSIRT-ITA) Maggio 31, 2023Aggiornamenti di sicurezza risolvono 2 vulnerabilità, di cui una con gravità “alta”, nel noto CMS Joomla! Tale vulnerabilità, qualora sfruttata, potrebbe permettere attacchi di tipo brute-force sui metodi di autenticazione MFA.
- Aggiornamenti per prodotti Zyxel
(AL02/230531/CSIRT-ITA) Maggio 31, 2023Zyxel rilascia aggiornamenti di sicurezza per sanare una vulnerabilità presente in alcuni modelli di NAS. Tale vulnerabilità potrebbe consentire a un utente malintenzionato remoto l’esecuzione di codice arbitrario sui dispositivi interessati.
- Risolte vulnerabilità in Google Chrome
(AL01/230531/CSIRT-ITA) Maggio 31, 2023Google ha rilasciato un aggiornamento per il browser Chrome al fine di correggere 16 vulnerabilità di sicurezza, di cui 8 con gravità “alta”.
- Risolte vulnerabilità su Zimbra Collaboration
(AL01/230530/CSIRT-ITA) Maggio 30, 2023Rilasciati aggiornamenti per sanare alcune vulnerabilità riscontrate nel software Zimbra Collaboration.
- Rilevato sfruttamento in rete della CVE-2023-28771 in firewall Zyxel
(AL01/230529/CSIRT-ITA) Maggio 29, 2023Rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2023-28771 – già sanata dal vendor il 25 aprile 2023 – presente in alcuni firewall di Zyxel.
- La Settimana Cibernetica del 28 maggio 2023 Maggio 29, 2023Scarica il riepilogo delle notizie pubblicate dallo CSIRT Italia dal 22 al 28 maggio 2023.
- Aggiornamenti per prodotti Netgear
(AL03/230525/CSIRT-ITA) Maggio 25, 2023Netgear rilascia aggiornamenti di sicurezza per risolvere alcune vulnerabilità, di cui 2 con gravità “alta”, presenti nei propri prodotti.
- Aggiornamenti per firewall Zyxel
(AL02/230525/CSIRT-ITA) Maggio 25, 2023Zyxel rilascia aggiornamenti di sicurezza per sanare due vulnerabilità, con gravità "critica", presenti in alcuni modelli di firewall. Tali vulnerabilità potrebbero consentire a un utente malintenzionato remoto non autenticato, la compromissione della disponibilità del servizio e/o l’esecuzione di codice arbitrario sui dispositivi interessati.
- BlackCat: rilevati nuovi metodi per la defense evasion
(AL01/230525/CSIRT-ITA) Maggio 25, 2023Ricercatori di sicurezza hanno recentemente rilevato una campagna di distribuzione ransomware che sfrutta nuove tecniche di elusione dei meccanismi di sicurezza tramite l’utilizzo di driver opportunamente predisposti.
- Sanata vulnerabilità su GitLab CE/EE
(AL01/230524/CSIRT-ITA) - Aggiornamento Maggio 24, 2023Rilasciati aggiornamenti di sicurezza che risolvono una vulnerabilità, con gravità “critica”, presente in GitLab Community Edition (CE) e Enterprise Edition (EE). Tale vulnerabilità, qualora sfruttata, potrebbe permettere a un utente malintenzionato remoto non autenticato, la lettura di file arbitrari sul server interessato.
Dark Reading
- Yet Another Toyota Cloud Data Breach Jeopardizes Thousands of Customers Maggio 31, 2023The newly found misconfigured cloud services are discovered just two weeks after an initial data breach affecting millions came to light.
- Can Cloud Services Encourage Better Login Security? Netflix's Accidental Model Maggio 31, 2023Netflix's unpopular password-sharing policy change had a positive cybersecurity silver lining. Can more B2C service providers nudge their users toward secure authentication?
- MacOS 'Migraine' Bug: Big Headache for Device System Integrity Maggio 31, 2023Microsoft says the vulnerability could allow cyberattackers with root access to bypass security protections and install malware.
- Ways to Help Cybersecurity's Essential Workers Avoid Burnout Maggio 31, 2023To support and retain the people who protect assets against bad actors, organizations should create a more defensible environment.
- What Apple's RSRs Reveal About Mac Patch Management Maggio 31, 2023Apple's Rapid Security Response updates are designed to patch critical security vulnerabilities, but how much good can they do when patching is a weeks-long process?
- Investment May Be Down, but Cybersecurity Remains a Hot Sector Maggio 31, 2023There's still a great deal of capital available for innovative companies helping businesses secure their IT environments.
- Checkmarx Announces GenAI-powered AppSec Platform, Empowering Developers and AppSec Teams to Find and Fix Vulnerabilities Faster Maggio 31, 2023Powered by GPT-4, innovative new AI-driven capabilities lower application security (AppSec) risk and help security teams "shift everywhere" with speed and accuracy.
- New eID Scheme Gives EU Citizens Easy Access to Public Services Online Maggio 31, 2023The European Commission voted a new electronic identification scheme that creates new opportunities for EU citizens and businesses.
- Mirai Variant Opens Tenda, Zyxel Gear to RCE, DDoS Maggio 31, 2023Researchers have observed several cyberattacks leveraging a botnet called IZ1H9, which exploits vulnerabilities in exposed devices and servers running on Linux.
- Focus Security Efforts on Choke Points, Not Visibility Maggio 31, 2023By finding the places where attack paths converge, you can slash multiple exposures in one fix for more efficient remediation.
Full Disclosure
- CVE-2022-48336 - Buffer Overflow in Widevine Trustlet (PRDiagParseAndStoreData @ 0x5cc8) Maggio 30, 2023Posted by Cyber Intel Security on May 301. INFORMATION -------------- [+] CVE : CVE-2022-48336 [+] Title : Buffer Overflow in Widevine Trustlet (PRDiagParseAndStoreData @ 0x5cc8) [+] Vendor : Google [+] Device : Nexus 6 [+] Affected component : Widevine [+] Publication date : March 2023 [+] Credits : CyberIntel Team 2. AFFECTED VERSIONS -------------------- 5.0.0 […]
- CVE-2022-48335 - Buffer Overflow in Widevine Trustlet (PRDiagVerifyProvisioning @ 0x5f90) Maggio 30, 2023Posted by Cyber Intel Security on May 301. INFORMATION -------------- [+] CVE : CVE-2022-48335 [+] Title : Buffer Overflow in Widevine Trustlet (PRDiagVerifyProvisioning @ 0x5f90) [+] Vendor : Google [+] Device : Nexus 6 [+] Affected component : Widevine [+] Publication date : March 2023 [+] Credits : CyberIntel Team 2. AFFECTED VERSIONS -------------------- 5.0.0 […]
- CVE-2022-48334 - Buffer Overflow in Widevine Trustlet (drm_verify_keys @ 0x7370) Maggio 30, 2023Posted by Cyber Intel Security on May 301. INFORMATION -------------- [+] CVE : CVE-2022-48334 [+] Title : Buffer Overflow in Widevine Trustlet (drm_verify_keys @ 0x7370) [+] Vendor : Google [+] Device : Nexus 6 [+] Affected component : Widevine [+] Publication date : March 2023 [+] Credits : CyberIntel Team 2. AFFECTED VERSIONS -------------------- 5.0.0 […]
- CVE-2022-48333 - Buffer Overflow in Widevine Trustlet (drm_verify_keys @ 0x730c) Maggio 30, 2023Posted by Cyber Intel Security on May 301. INFORMATION -------------- [+] CVE : CVE-2022-48333 [+] Title : Buffer Overflow in Widevine Trustlet (drm_verify_keys @ 0x730c) [+] Vendor : Google [+] Device : Nexus 6 [+] Affected component : Widevine [+] Publication date : March 2023 [+] Credits : CyberIntel Team 2. AFFECTED VERSIONS -------------------- 5.0.0 […]
- CVE-2022-48332 - Buffer Overflow in Widevine Trustlet (drm_save_keys @ 0x6a18) Maggio 30, 2023Posted by Cyber Intel Security on May 301. INFORMATION -------------- [+] CVE : CVE-2022-48332 [+] Title : Buffer Overflow in Widevine Trustlet (drm_save_keys @ 0x6a18) [+] Vendor : Google [+] Device : Nexus 6 [+] Affected component : Widevine [+] Publication date : March 2023 [+] Credits : CyberIntel Team 2. AFFECTED VERSIONS -------------------- 5.0.0 […]
- CVE-2022-48331 - Buffer Overflow in Widevine Trustlet (drm_save_keys @ 0x69b0) Maggio 30, 2023Posted by Cyber Intel Security on May 301. INFORMATION -------------- [+] CVE : CVE-2022-48331 [+] Title : Buffer Overflow in Widevine Trustlet (drm_save_keys @ 0x69b0) [+] Vendor : Google [+] Device : Nexus 6 [+] Affected component : Widevine [+] Publication date : March 2023 [+] Credits : CyberIntel Team 2. AFFECTED VERSIONS -------------------- 5.0.0 […]
- SCHUTZWERK-SA-2022-001: Cross-Site-Scripting in Papaya Medical Viewer Maggio 30, 2023Posted by Lennert Preuth via Fulldisclosure on May 30Title ===== SCHUTZWERK-SA-2022-001: Cross-Site-Scripting in Papaya Medical Viewer Status ====== PUBLISHED Version ======= 1.0 CVE reference ============= CVE-2023-33255 Link ==== https://www.schutzwerk.com/advisories/SCHUTZWERK-SA-2022-001/ Text-only version: https://www.schutzwerk.com/advisories/SCHUTZWERK-SA-2022-001.txt Further SCHUTZWERK advisories: https://www.schutzwerk.com/blog/tags/advisories/ Affected products/vendor...
- [RT-SA-2023-005] Pydio Cells: Server-Side Request Forgery Maggio 30, 2023Posted by RedTeam Pentesting GmbH on May 30For longer running processes, Pydio Cells allows for the creation of jobs, which are run in the background. The job "remote-download" can be used to cause the backend to send a HTTP GET request to a specified URL and save the response to a new file. The response […]
- [RT-SA-2023-004] Pydio Cells: Cross-Site Scripting via File Download Maggio 30, 2023Posted by RedTeam Pentesting GmbH on May 30Advisory: Pydio Cells: Cross-Site Scripting via File Download Pydio Cells implements the download of files using presigned URLs which are generated using the Amazon AWS SDK for JavaScript [1]. The secrets used to sign these URLs are hardcoded and exposed through the JavaScript files of the web application. […]
- [RT-SA-2023-003] Pydio Cells: Unauthorised Role Assignments Maggio 30, 2023Posted by RedTeam Pentesting GmbH on May 30Advisory: Pydio Cells: Unauthorised Role Assignments Pydio Cells allows users by default to create so-called external users in order to share files with them. By modifying the HTTP request sent when creating such an external user, it is possible to assign the new user arbitrary roles. By assigning […]
Customers
Twitter FEED
Recent activity
-
SecureOnlineDesktop
Estimated reading time: 6 minutes L'impatto crescente delle minacce informatiche, su sistemi operativi privati op… https://t.co/FimxTS4o9G
-
SecureOnlineDesktop
Estimated reading time: 6 minutes The growing impact of cyber threats, on private or corporate operating systems… https://t.co/y6G6RYA9n1
-
SecureOnlineDesktop
Tempo di lettura stimato: 6 minuti Today we are talking about the CTI update of our services. Data security is… https://t.co/YAZkn7iFqa
-
SecureOnlineDesktop
Estimated reading time: 6 minutes Il tema della sicurezza delle informazioni è di grande attualità in questo peri… https://t.co/tfve5Kzr09
-
SecureOnlineDesktop
Estimated reading time: 6 minutes The issue of information security is very topical in this historical period ch… https://t.co/TP8gvdRcrF
Newsletter
Prodotti e Soluzioni
Collaborazioni
Modelli Cloud
News
- Standard e best practice per il penetration testing: tutto quello che devi sapere per proteggere la tua azienda Maggio 31, 2023
- Script Kiddies: I pericoli dei cybercriminali improvvisati Maggio 29, 2023
- MDR, EDR o NGS: Scegli la soluzione di sicurezza informatica perfetta per la tua azienda! Maggio 24, 2023
- La sicurezza informatica a più livelli: come proteggere la tua azienda da tutte le minacce Maggio 22, 2023
- Initial Access Broker: La minaccia invisibile che mette a rischio la sicurezza informatica Maggio 17, 2023
Recensioni Google
Contatti
Copyright © 2011 Secure Online Desktop s.r.l. All Rights Reserved.
VAT: 07485920966 “Cloud Computing services - Software cloud - Cloud server - VPS” Terms of ServicePrivacy Policy
ISO Certifications