Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso

Rileva e individua le tecniche Living off the Land con Vectra AI

28 febbraio 2024
Team Vectra AI
Rileva e individua le tecniche Living off the Land con Vectra AI

Il7 febbraio 2024 è stata pubblicata una guida congiunta redatta dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, dalla National Security Agency (NSA), dal Federal Bureau of Investigation (FBI) e da altre agenzie, tra cui il National Cyber Security Centre (NCSC-UK) del Regno Unito. La guida fornisce informazioni sulle tecniche comuni di living off the land (LOTL) attribuite ad attori di minaccia sponsorizzati dallo Stato. Queste tecniche si sono dimostrate particolarmente efficaci e le raccomandazioni contenute nella guida non devono essere ignorate. Le informazioni che seguono evidenziano come la Vectra AI possa aiutarti ad attuare le raccomandazioni sulle migliori pratiche di rilevamento e fungere da componente chiave per le tue strategie difensive LOTL.

Raccomandazioni sulle migliori pratiche LOTL

La raccomandazione sulle migliori pratiche (n. 1) sottolinea l'importanza di una registrazione dettagliata in una posizione fuori banda. Ciò contribuisce a garantire che il rischio che gli aggressori modifichino o cancellino i registri sia mitigato. Consente inoltre ai difensori di condurre analisi comportamentali, rilevamento delle anomalie e ricerca proattiva. Inoltre, sottolinea l'importanza di conservare cronologie dei registri più lunghe, che possono essere utili per la risposta agli incidenti.

Con un focus sulla rete, Vectra Recall offre visibilità sul traffico di rete estraendo i metadati da tutti i pacchetti e memorizzandoli fuori banda (nel cloud Vectra) per la ricerca e l'analisi. Ogni dispositivo abilitato IP sulla rete viene identificato e tracciato. Questi dati possono essere archiviati in base alle preferenze relative all'orizzonte temporale. I metadati acquisiti includono tutto il traffico interno (est-ovest), il traffico diretto a Internet (nord-sud) e il traffico dell'infrastruttura virtuale. Questa visibilità si estende a laptop, server, stampanti, dispositivi BYOD e IoT, nonché a tutti i sistemi operativi e le applicazioni, compreso il traffico tra i carichi di lavoro virtuali nei data center e nel cloud, persino le applicazioni SaaS.

Fornendo questa fonte completa di metadati di rete arricchiti in termini di sicurezza, miriamo a dotare i team di sicurezza delle capacità necessarie per condurre indagini sugli incidenti LOTL, garantendo la disponibilità dei dati di log di rete in una posizione fuori banda.  

Raccomandazioni sulle migliori pratiche di rilevamento

Le raccomandazioni sulle migliori pratiche (n. 3 e n. 4) sottolineano la necessità di stabilire e mantenere costantemente dei parametri di riferimento, per poi confrontare le attività correnti con tali parametri e segnalare eventuali anomalie specifiche. Particolare attenzione va prestata agli account privilegiati.

Il portafoglio di rilevamento fornito da Vectra AI una serie completa di rilevamenti. Di particolare rilievo sono le capacità di rilevamento incentrate sulla definizione chiara di un baseline del comportamento degli account privilegiati e sull'individuazione delle anomalie sulla base di modelli prestabiliti. Esempi di Privilege Account Analytics di Vectra includono:

  • Un account privilegiato viene utilizzato per accedere a un servizio privilegiato, ma lo fa da un host su cui l'account non è stato rilevato, ma dove l'host (utilizzando altri account) è stato visto accedere al servizio.  
  • Un account viene utilizzato per accedere a un servizio da un host su cui l'account non è normalmente presente e dal quale il servizio non viene normalmente utilizzato e almeno il servizio (e probabilmente l'account) ha un punteggio di privilegio elevato OPPURE il punteggio di privilegio dell'host è sospettosamente basso rispetto ai livelli di privilegio dell'account e del servizio.
  • Un account privilegiato viene utilizzato per accedere a un servizio privilegiato e lo fa da un host su cui l'account è stato osservato, ma dove l'host non è stato visto accedere al servizio.

Priorità basate sull'intelligenza artificiale con Vectra AI

La natura dinamica delle aziende moderne può rendere molto difficile stabilire linee guida di sicurezza di rete coerenti ed efficaci che supportino il rilevamento di attività LOTL dannose. Come sottolineato nella guida, distinguere le attività LOTL dannose dai comportamenti legittimi è difficile a causa del volume relativamente ridotto di attività dannose all'interno di grandi volumi di dati di log. E mentre i team addetti alle operazioni di sicurezza possono concentrarsi sul rilevamento di questo tipo di eventi, spesso hanno difficoltà a distinguere i comportamenti legittimi da quelli dannosi a causa dell'elevato numero di avvisi in entrata e della complessità dell'ambiente.

Si consiglia di ottimizzare gli avvisi acustici in base alla priorità (urgenza e gravità) e di rivedere continuamente i rilevamenti sulla base delle attività di tendenza (best practice n. 4). Ciò richiede molto tempo e impegno per la maggior parte dei team. Con la prioritizzazione basata sull'intelligenza artificiale di Vectra , forniamo questo servizio in modo programmatico:

  1. Assegnazione di comportamenti di attacco individuali a un'entità (host e/o account)
  1. Combinando queste informazioni con ulteriori parametri di valutazione, tra cui l'ampiezza (il numero di rilevamenti associati a un'entità), la velocità (la rapidità con cui si verificano eventi di rilevamento unici) e il profilo di attacco (modelli di comportamento degli attacchi), è possibile fornire un punteggio di attacco.  
  1. Una volta configurato, l'input del cliente (importanza del gruppo di account) viene combinato con l'Attack Score.
  1. Il risultato è un unico punteggio di urgenza per l'entità.  

Questo algoritmo di valutazione potenziato evidenzia le minacce più critiche in un elenco prioritario e utilizzabile, consentendo ai team di concentrarsi su ciò che è più importante.

Dai potere al tuo team

Rilevare l'attività LOTL è difficile e richiede strategie di sicurezza multiforme, come sottolineato sopra. Non esiste un approccio valido per tutti e ogni azienda dovrà valutare e adattare le raccomandazioni in modo da allinearle ai propri programmi di rilevamento esistenti. È tuttavia importante garantire che queste linee guida vengano esaminate e, se possibile, implementate con urgenza. Con l'aumento di questo tipo di attacchi, la correlazione e l'analisi di queste tecniche saranno una componente importante delle capacità di rilevamento e risposta del vostro team.  

Ti interessa saperne di più su come Vectra AI aiutare il tuo team nelle strategie difensive LOTL?  

Prenota oggi stesso una demo della piattaforma con i nostri esperti.

Domande frequenti