Se si camminava al Black Hat, una cosa era chiara: tutti proteggono, proteggono o difendono qualcosa... grazie all'intelligenza artificiale.
E all'apparenza tutti sembrano uguali.
Per gli acquirenti che cercavano di risolvere problemi reali, era difficile capire di chi fidarsi e con chi passare il tempo.
Come persona che passa ogni giorno a ricercare il comportamento degli aggressori e a costruire la logica di rilevamento, voglio offrire una prospettiva diversa. Non si tratta di stabilire chi ha il miglior slogan o la demo più appariscente. Si tratta di porre domande più precise, basate su come funzionano effettivamente gli attacchi moderni.
La prevenzione domina ancora. Ma la prevenzione da sola non funziona.
La maggior parte della messaggistica dei fornitori è ancora incentrata sull'esigenza di tenere fuori gli aggressori, e questo è necessario. Ma oggi gli attori delle minacce non si affidano più agli exploit per entrare.
Nella mia sessione Black Hat, Attenzione alle lacune dell'attaccoho condiviso esempi di come gruppi di minacce come Scattered Spider, Volt Typhoon e Mango Sandstorm ottengano l'accesso e aumentino silenziosamente il loro controllo. Questi aggressori non hanno bisogno di malware o di zero-days. Si affidano a credenziali valide, token di sessione rubati o abusi di federazione per confondersi con le attività legittime.
La compromissione iniziale spesso inizia con qualcosa che nessuno strumento di sicurezza è in grado di fermare: Un login riuscito.
Da lì, esplorano l'ambiente utilizzando strumenti nativi, aumentano i privilegi attraverso percorsi di identità affidabili, persistono utilizzando le app OAuth ed esfiltrano i dati senza farsi notare. Nessun exploit. Nessun binario. Solo un comportamento che sembra appartenere alla realtà.
I controlli tradizionali non generano allarmi perché l'attività è tecnicamente conforme alle regole. Le credenziali sono corrette. I percorsi di accesso sono consentiti. I registri, se non sono già stati cancellati, raccontano una storia incompleta. La maggior parte delle difese è stata progettata per rilevare ciò che è estraneo o ovviamente dannoso, non ciò che è valido e utilizzato in modo improprio.
In tutti i casi reali che abbiamo studiato, gli strumenti di prevenzione erano già attivi. Ma erano stati messi in atto per individuare i segnali sbagliati.
Perché gli attacchi di oggi non si distinguono. Si mimetizzano.
"Assumere il compromesso" dovrebbe influenzare il modo in cui si valutano i fornitori.
Avrete già sentito parlare di "assumere il compromesso" (e forse avrete letto il nostro precedente blog sull'argomento). Non si tratta solo di un cambiamento di mentalità e dovrebbe essere un modo per filtrare i fornitori quando tutti i partecipanti a una fiera dichiarano di voler fermare gli attacchi.
Non è necessario conoscere ogni singolo prodotto di cybersecurity presente sul mercato. Dovete capire come si comportano gli aggressori e poi chiedere ai fornitori come rilevano e rispondono a questi comportamenti:
- Cosa rileva la vostra soluzione dopo l' accesso iniziale?
- Come si identifica il movimento laterale se le credenziali sono valide?
- Cosa succede se il token di sessione di un utente viene dirottato in un'applicazione SaaS?
- Il vostro prodotto è in grado di rilevare il comportamento su tutti i livelli di cloud, identità e rete, o solo su uno?
- Quali capacità di rilevamento e risposta offrite quando i registri non ci sono?
Se la risposta suona come un ulteriore rumore di allarme o se la soluzione dipende interamente dalla prevenzione e dai registri, la risposta è già pronta. Non state parlando con qualcuno che possa aiutarvi quando la compromissione è già avvenuta.
Cosa vi serve dopo il compromesso (e come individuarlo)
Quando avviene una compromissione, e avverrà, il fattore di differenziazione chiave è la visibilità. Non la visibilità della telemetria grezza, ma la visibilità del comportamento dell'aggressore, che si estende a tutti gli ambienti. Cercate soluzioni in grado di:
- Rilevare le attività senza affidarsi ad agenti o registri
- Identificare comportamenti come la ricognizione, l'abuso di credenziali e la persistenza .
- Correlare ciò che sta accadendo tra identità, rete e cloud
- Fornire un triage che riduca il rumore, non che lo aumenti.
- Mostrare l'intero percorso dell'attacco, non solo eventi isolati.
Si tratta di funzionalità che non possono essere falsificate. Le vedrete in una demo. Le sentirete nel modo in cui il prodotto spiega cosa sta accadendo durante un incidente. E vedrete il divario tra un sistema che mostra la telemetria e una piattaforma che mostra l'intento.
Non si tratta di "se". Si tratta di ciò che viene dopo.
La maggior parte dei fornitori continua a vendere la speranza di evitare la violazione. Ma gli aggressori non cercano più di entrare. Stanno effettuando l'accesso. Sfruttano la fiducia. Sono già dentro.
Ciò che conta ora non è se li avete fermati al cancello, ma se vedete cosa fanno una volta entrati.
Questa è la domanda che ogni acquirente dovrebbe porsi.
Se siete curiosi di sapere come si svolge la compromissione moderna e come il rilevamento basato sul comportamento reale rivela ciò che gli strumenti di prevenzione trascurano, abbiamo creato un'esperienza autoguidata che potete esplorare in pochi minuti. Nessun modulo. Nessuna chiamata. Solo uno sguardo chiaro su come si presenta in realtà un rilevamento efficace delle compromissioni.