Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso

Rilevare gli attacchi informatici prima che abbiano successo

18 novembre 2022
Stijn Rommens
Direttore Ingegneria della sicurezza, Vectra AI
Rilevare gli attacchi informatici prima che abbiano successo

Gli attacchi informatici riusciti continuano ad aumentare

Leggendo il rapporto di Verizon sulle indagini relative alle violazioni dei dati nel 2022, risulta evidente, ma anche triste, che il 2021 è stato ancora una volta un anno caratterizzato da numerosi attacchi informatici riusciti:

  • Abbiamo assistito a violazioni che sfruttavano zero-day e CVE critiche, alcune delle quali multiple in MS Exchange (Hafnium) e con Log4J.
  • L'anno successivo a SolarWinds, si sono verificati ancora una volta diversi attacchi alla catena di approvvigionamento, come quello a Kaseya.
  • Molto spesso, tuttavia, molte violazioni erano ancora causate da semplici errori e configurazioni errate.

Il risultato o "obiettivo finale" di tali violazioni, molto spesso legate a una minaccia persistente avanzata (APT), o forse oggi dovremmo dire APT "altamente evasiva", è quello di rubare dati o installare ransomware. Molto spesso, infatti, entrambi vengono sfruttati in parallelo, nella cosiddetta "doppia estorsione".

Un'analisi più approfondita della rubrica relativa al ransomware mostra che Verizon ha osservato un aumento del 13% su base annua, rendendo il ransomware responsabile del 25% di tutti gli incidenti di sicurezza informatica.

Per quanto riguarda il modus operandi di un APT, vediamo che tale attacco si rivela per lo più, se non sempre, un'operazione in più fasi. Ciò solleva la questione del perché ci si concentri ancora così tanto sul risultato di un attacco, il ransomware, piuttosto che discutere le somiglianze che si possono osservare nel raggiungimento di tale "obiettivo finale".

Inoltre, tutte le aziende che subiscono violazioni dispongono già di una combinazione di soluzioni di sicurezza implementate, che vanno dalla rete endpoint, sfruttando le firme e il "nuovo standard di riferimento", l'AI/ML.

Il problema delle strategie preventive di sicurezza informatica

Allora, perché questo continua a succedere ancora e ancora? Perché non riusciamo a individuare e prevenire questi attacchi prima che abbiano successo?

Concentriamoci su alcuni dati di ricerca per aggiungere un po' di contesto. Ad esempio, esaminiamo il numero di vulnerabilità e esposizioni comuni (CVE) che dobbiamo affrontare:

  • L'anno scorso sono stati resi noti oltre 20.000 nuovi CVE, con un aumento del 10% circa rispetto all'anno precedente.
    Secondo Tanium, il più vecchio scoperto risale a 21 anni fa ed è emerso in SNMPv2, ancora ampiamente utilizzato per gestire i dispositivi su una rete IP.
  • Oltre il 10% di questi CVE è classificato come "critico". Si tratta di oltre 2000 casi, ovvero più di 165 al mese. Anche se non tutti sono applicabili al vostro ambiente, dovrete comunque occuparvi di molti di essi.
  • Nel primo trimestre del 2022, il National Vulnerability Database (NVD), che monitora i CVE, ne contava già oltre 8.000 (il 25% in più rispetto allo stesso periodo dell'anno precedente).

Le statistiche sopra riportate sono impressionanti, poiché indicano l'impossibilità di ricercare, individuare e correggere tutti questi problemi nei rispettivi ambienti. Ciò è semplicemente impossibile non solo per la quantità, ma anche per il rischio di mettere fuori servizio i sistemi critici per un periodo di tempo sufficientemente lungo da consentirne la correzione. Per non parlare dei sistemi che non è possibile correggere affatto perché non si ha il coraggio di toccarli...

Il problema delle strategie preventive e correttive diventa ancora più evidente quando si iniziano a esaminare gli attacchi che si sono effettivamente verificati, sfruttando questi CVE:

  • Il 75% degli attacchi nel 2020 ha sfruttato vulnerabilità risalenti a oltre 2 anni fa, secondo quanto riportato da Check Point nel suo Cyber Security Report 2021.
    Il 18% risaliva addirittura ad almeno 7 anni fa...
  • La maggior parte di questi CVE critici era stata già utilizzata/sfruttata molto prima che il CVE fosse pubblicato e reso disponibile ai cacciatori di minacce.
    Secondo Palo Alto Networks, stiamo parlando dell'80% degli exploit pubblici pubblicati prima che il CVE fosse reso pubblico.
    In media, sono trascorsi 23 giorni prima che il CVE fosse pubblicato.
  • Infine, secondo Edgescan, il tempo medio di risoluzione (MTTR) è ancora di circa 58 giorni.
    E non dimenticate di aggiungere la media di 23 giorni prima della pubblicazione del CVE.

Un'analisi obiettiva di questi dati rivela, oserei dire, che gli approcci basati sulle firme, sia per prevenire le minacce che per rilevarle (a posteriori), non sono semplicemente sufficienti per proteggere il vostro patrimonio dagli attacchi informatici.

È evidente che molte violazioni iniziali non sono rilevabili dalle principali funzionalità preventive, sia perché non sono note, sia perché sono in grado di eludere le funzionalità preventive esistenti.

Inoltre, una recente ricerca condotta dalla SRLabs di Berlino ha rivelato che l'evasione EDR è un problema reale e che ora può essere semplificata. Gli autori sottolineano che non si tratta più di un'arte. La loro conclusione è piuttosto sorprendente e dovrebbe essere letta come un campanello d'allarme: "Nel complesso, gli EDR aggiungono circa il 12% o una settimana di lavoro di hacking quando si compromette una grande azienda, sulla base del tempo di esecuzione tipico di un'esercitazione del red team".

In altre parole, l'EDR non è il Santo Graal: non è altro che una componente necessaria di una strategia di sicurezza a più livelli.

Rivediamo le nostre migliori pratiche in materia di sicurezza informatica

Per mitigare il problema, dobbiamo rivedere le nostre migliori pratiche in materia di sicurezza informatica:

  • I concetti di zero trust non sono sufficienti, anche a causa della complessità che comporta la loro completa implementazione.
  • La sicurezza a più livelli è indispensabile.
  • Anche le sole capacità preventive sono insufficienti: ci sarà sempre almeno un labirinto nella rete.
  • È necessario investire in una capacità di rilevamento della rete non evasiva, combinata con una pratica di orchestrazione completa per rispondere.

È fondamentale che ogni azienda interessata alla continuità operativa consideri la scienza dei dati efficace come uno strumento per ampliare le proprie pratiche operative di sicurezza informatica e garantirne l'efficacia.

La scienza dei dati, tuttavia, non è in grado di elaborare facilmente un sovraccarico di indicatori di minaccia. L'implementazione economica consiste nel sfruttare la scienza dei dati per passare dall'impossibilità di elaborare rapidamente molti indicatori all'ottenimento del valore reale, rivelando solo un numero limitato di incidenti di sicurezza altamente significativi e affidabili.

Questo è l'unico modo per individuare gli incidenti significativi prima che diventino una violazione. In realtà è molto semplice.

Tutti conoscono la difficoltà di trovare un ago in un pagliaio. Il fattore limitante è il lavoro necessario per setacciare il pagliaio, anche se la scienza dei dati può aiutarti a elaborare una maggiore quantità di pagliaio. Ma non sarebbe meglio non produrre un pagliaio da elaborare, in modo da vedere l'ago davanti ai propri occhi?

Sfruttare la scienza dei dati significa non concentrarsi sugli elementi costitutivi, come trovare una zero-day o uno exploit che la sfrutti. Sono troppo numerosi e infiniti. La scelta migliore è quella di utilizzare il potenziale della scienza dei dati per comprendere e vedere cosa potrebbe fare un aggressore una volta applicata una di queste vulnerabilità per entrare in un sistema. In altre parole, utilizzarla per identificare le TTP e applicarla in combinazione con un buon framework, come quello del MITRE.

Le azioni o tattiche disponibili dopo lo zero-day non zero-day numerose ma molto efficaci.

Come Hansel, che cercò di creare una traccia per tornare a casa insieme a Gretel usando dei ciottoli, anche un aggressore crea una traccia all'interno della tua rete. Vectra può aiutarti a identificare quella traccia e trasformare i ciottoli in briciole di pane, in modo che l'aggressore si perda e possa essere identificato.

Conclusione

Non cercare di impedire l'obiettivo finale dell'aggressore; concentrati piuttosto sull'individuare e bloccare il percorso che sta creando prima ancora che possa raggiungere il suo obiettivo finale.

Fonti:

https://www.verizon.com/business/resources/reports/dbir/

https://www.comparitech.com/blog/information-security/cybersecurity-vulnerability-statistics/

https://arstechnica.com/information-technology/2022/08/newfangled-edr-malware-detection-generates-billions-but-is-easy-to-bypass/

Domande frequenti