Come rilevare attacchi informatici mirati: l’importanza del contesto
Gli attacchi mirati stanno superando i livelli di sicurezza preventiva che le aziende hanno messo in atto. In media servono 100 giorni per rilevare una violazione. Le soluzioni antivirus non sono in grado di rilevare attacchi fileless in cui non viene eseguito alcun programma malevolo. Gli attaccanti avanzati sanno come superare i livelli di difesa preventiva, e simili attacchi possono essere rilevati solo attraverso il monitoraggio del comportamento.
Questa è la parte difficile – come distinguere il comportamento malevolo da una normale attività?
Ecco come appare un vero attacco mirato: il caso di Gothic Panda dal Framework ATT&CK di Mitre
L’esempio che segue dimostra come un attacco informatico avanzato e mirato appaia nella vita reale. Il caso parla di un gruppo che usa minacce avanzate persistenti (APT), noto come Gothic Panda nell’Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK™) di MITRE (la base di conoscenze e modelli di comportamento dei cyber-avversari). Il comportamento APT di questo gruppo è ben documentato e usato per testare la sicurezza di rete, e i prodotti di sicurezza, contro specifiche minacce.
Gli attaccanti in questo caso stanno cercando di impadronirsi di documenti e proprietà intellettuale industriale. L’attacco di Gothic Panda può essere suddiviso in tre fasi principali – compromesso iniziale, propagazione nella rete e sottrazione dei dati.
Nella fase del compromesso iniziale l’obiettivo degli attaccanti è eseguire con successo del codice e arrivare a controllare un sistema nell’ambiente preso di mira.
Nella seconda fase, propagazione nella rete, gli attaccanti tentano di identificare e di muoversi verso i sistemi presi di mira all’interno della rete. Il loro obiettivo è sottrarre credenziali e documenti.
Nella fase di sottrazione gli attaccanti raccolgono i dati e li comprimono in un pacchetto facile da trasmettere. Cercano di sottrarre i documenti nascondendoli in altro traffico di rete in uscita. A seconda delle difese in atto, la sottrazione può essere molto più “rumorosa” e quindi evidente.
La sicurezza EDR rileva gli incidenti che “contano”
La più importante fase per la rilevazione è naturalmente la prima – prima che un attaccante diventi persistente e si muova verso sistemi critici. La maggior parte delle organizzazioni usa un livello di difesa preventivo come una protezione endpoint per bloccare malware commodity. Tuttavia, gli attaccanti più avanzati non vengono rilevati grazie all’uso di attacchi low and slow, e trovano un modo per aggirare il livello di sicurezza preventiva.
Ecco che rilevamento e risposta entrano in azione.
Implementare una soluzione di endpoint detection and response (EDR) è un metodo veloce per attivare capacità di rilevamento e risposta a minacce avanzate e attacchi mirati. Le tecnologie di rilevamento certamente identificano eventi sospetti, ma troppo spesso falliscono nel filtrare il rumore di fondo da incidenti veramente critici.
Secondo uno studio di EMA del 2017, il 79% dei team di sicurezza hanno dichiarato di essere stati sopraffatti da un alto numero di alert di minacce. Per esempio, in un’organizzazione di medie dimensioni con 650 sensori, si verificano tipicamente un miliardo di eventi ogni mese, ma solo una decina di rilevamenti richiedono un’azione. Una soluzione EDR di alta qualità ti focalizza solo sui pochi incidenti che contano.
Conta il contesto per i singoli eventi
L’intelligenza artificiale (AI) e il machine learning sono le uniche soluzioni scalabili che possono essere applicate. Ma l’AI da sola è poco più di un generatore di falsi positivi. Ciò che serve è la perfetta combinazione di esperti di cyber security e della data science – quindi l’uomo più la macchina.
Dobbiamo sviluppare tecnologie che possano apprendere ciò che fanno gli analisti di sicurezza, ma a una velocità fulminea – capaci quindi di collegare i vari puntini e posizionare gli eventi in una corretta immagine complessiva per ottenere giudizi accurati.
Questa immagine complessiva è il contesto. I falsi allarmi mettono in crisi i team di sicurezza e riducono la probabilità di scoprire incidenti reali. Raggiungere un tasso di falsi positivi quasi nullo significa che gli alert devono essere raggruppati in un contesto con eventi correlati per formulare un giudizio. Quando hai una visione generale – quindi il contesto – eventi anomali possono rilevarsi innocui.
Il whitepaper di F-Secure, Detecting Targeted Attacks With Broad Context Detection™, spiega nel dettaglio perché il contesto significhi tutto – nella vita come nella cyber security – e come funziona Broad Context Detection di F-Secure:
Articolo tratto da “How to Detect Targeted Cyber Attacks: The Importance of Context” di Taija Merisalo, Content Marketing Manager, F-Secure Corporation
Categorie