Support

Protetti da Attacchi evoluti

Trovate possibili minacce da malware e da attacchi evoluti nel vostro network prima che queste causino interruzioni o danni all'immagine.

Protezione da malware e da violazioni dei dati

Come fanno gli attacchi a violare network che hanno già messo in atto strategie di difesa a tutti i livelli?

Target, l’università del Maryland e gli Ospedali hanno tutti sofferto violazioni dei propri dati nel corso del 2014. E anche se queste organizzazioni avevano vari livelli di tecnologia di sicurezza e individuazione attivi, gli assalitori sono stati comunque in grado di mettere in crisi l’operatività, di muoversi all’interno della rete senza essere individuati e rubare dati.

La dimensione e la complessità delle odierne reti aziendali ha creato una “estesa superficie d’attacco” che rende impossibile bloccare ogni attacco che costituisca una minaccia. Inoltre, gli attaccanti stanno creando delle campagne molto mirate—una combinazione di attacchi, tecniche di diversione e di offuscamento che sono pianificate e progettate in maniera specifica per il VOSTRO network.

Perché l’attività di Incident Response sta ricevendo tutta questa attenzione e perché io ne ho bisogno?

Incident Response comprende l’identificazione, l’analisi e le contromisure a eventi che hanno effetto sulla vostra operatività. Riguardo alla sicurezza questo potrebbe comprendere attacchi di Distributed Denial of Service (DDoS), una violazione dei dati o i network compromessi fino allo smarrimento di attrezzature e dati.

Incident response—o almeno gli strumenti e i processi utilizzati per un IR efficiente—possono essere utilizzati per molto di più rispetto alla gestione dei problemi “ex post” Mettendo in campo strumenti che misurino la vostra attività di rete per una IR, i team di sicurezza possono controllare la rete cercando attività che indichino che alcune parti possono essere state compromesse (come con i bot).

Cercando minacce all’interno del network—e analizzando poi le caratteristiche critiche di queste minacce—i team possono prendere provvedimenti per minimizzare l’impatto di un evento, come per esempio fermare la comunicazione fra i bot prima che ulteriore malware venga installato o prima che i dati vengano sottratti. In aggiunta, questi stessi dettagli possono essere utilizzati per rafforzare le difese e prevenire gli attacchi futuri.

Come gli “attacchi evoluti” sono diversi dal malware?

Malware è un software progettato per eseguire delle attività dannose. Il termine “attacco evoluto” viene usato per descrivere una combinazione di attività dannose—DDoS, botnet, malware, phishing—eseguite in differenti momenti, che hanno come bersaglio una differente sezione della rete. L’idea che ci sta dietro è quella di creare una serie di attacchi in grado di sfruttare qualsiasi vulnerabilità nella superficie del network. Come detto, la complessità delle reti aziendali adesso crea una superficie maggiore da monitorare—e da proteggere. Questi attaccanti usano una sequenza specifica di eventi, attacchi, tecniche di diversione e strumenti di pulitura che è unica per ogni organizzazione—e per ogni obiettivo richiesto.

Gli attacchi evoluti sono progettati per battere le vostre attuali tecnologie difensive o per distrarre l’attenzione da un area della rete ad un’altra. In breve, sono stati progettati e testati come qualsiasi altro prodotto—con un obiettivo specifico, con un compratore preciso e con una serie di risultati previsti.

Potrei essere già stato colpito in questo momento?

Molto probabilmente—si. Come detto, gli attacchi e i kit per portarli a termine, vengono costruiti come ogni altro prodotto – e vengono anche comprati, venduti e scambiati come in qualsiasi commercio. Gli attacchi che sono “nuovi” o utilizzano tecniche differenti che non possono essere individuate con gli strumenti tradizionali avranno un valore maggiore. Kit con armi e strategie note—malware o altri attacchi che sfruttano le vulnerabilità della rete—sono pure molto richiesti. E ci sono parecchi compratori per attacchi di questo tipo, come ad esempio organizzazioni che vogliono sottrarre dati ai concorrenti: o paesi che desiderano mettere in ginocchio altri stati o perfino attaccanti che vogliono fare un gesto dimostrativo contro qualcosa che pensano sia un sopruso. Le possibilità sono infinite e date le differenti motivazioni e le tipologie di attacco, è molto facile che il vostro network sia già stato compromesso—anche se si tratta di un attacco “benigno” come avere i vostri utenti usati come host in una falange di botnet durante un attacco DDoS.

Attacchi che utilizzano elementi di ingegneria sociale (phishing), credenziali false o altre tecniche di offuscamento potrebbero già essere in corso all’interno della vostra rete. Potrebbero essere difficili da individuare visto che possono essere inattivi per lunghi periodi di tempo—o se l’assalitore sta usando credenziali rubate sono difficili da individuare.

Come potete misurare i risultati di una Incident Response o delle tecnologie di risposta agli attacchi?

Risultati misurabili—che facciano valutare il valore dell’investimento tecnologico—sono un elemento critico nella ricerca delle soluzione giusta per i vostri bisogni. Il primo passo per capire “come” valutare è determinare “cosa” valutare. Questo comprende assegnare un ordine di priorità agli asset, focalizzandosi forse su i maggiormente critici per il vostro business o quelli che devono sottostare a determinati parametri.

Diviene anche molto importante sapere che tipo di misurazione delle performance utilizzare. Incident Response, analisi di sicurezza e tecnologie forensi sono spesso una sfida per i team di sicurezza visto che non è possibile misurare “ciò che è stato bloccato”. Per misurazione delle performance più efficaci, dovrete osservare indici chiave come:

  • Tempo
    • Dall’evento alla scoperta
    • Dalla scoperta al report CERT
    • Alla chiusura dell’incidente da parte di CERT
  • Costi
    • Tempo dello staff, perdite in produttività, notifiche, software aggiuntivo, etc