Con il progressivo affermarsi della nuova realtà dei continui pericoli della guerra informatica, le organizzazioni di tutto il mondo stanno lavorando per rafforzare le proprie difese. La maggior parte degli attacchi informatici viene bloccata da protezioni preventive. Gli aggressori altamente motivati, tuttavia, tendono a trovare il modo di superare queste difese.
Gli attori degli Stati-nazione (APT) talvolta sfruttano il loro accesso a nuovi exploit di vulnerabilità (zero-days). Hanno a disposizione vaste risorse e possono eseguire operazioni di social engineering o addirittura ottenere l'accesso fisico ai loro obiettivi. I gruppi di criminali informatici organizzati, invece, possono cercare di sfruttare gli insider delle organizzazioni bersaglio per sferrare i loro attacchi.
Indipendentemente dall'attore della minaccia, il comportamento degli aggressori è simile.
Quando un attaccante è riuscito a prendere piede nell'ambiente di destinazione, è fondamentale individuarlo prima che possa compromettere l'intero sistema con una violazione. Ogni attacco inizia con una compromissione iniziale, quando l'aggressore ha probabilmente raggiunto i seguenti obiettivi:
- ottenere la capacità di "vivere di terra" in uno o più dispositivi o servizi all'interno dell'ambiente;
- ha ottenuto l'accesso a credenziali valide;
- eludere misure difensive come la gestione delle identità, i firewall, gli IDS, il software antivirus e persino le soluzioni EDR;
- hanno iniziato a procedere verso i loro obiettivi finali eseguendo la loro "Cyber Kill Chain".
A seconda dell'organizzazione target e dell'attaccante in questione, il fine ultimo può essere:
- sabotaggio in qualche forma;
- spionaggio, crittografia e/o esfiltrazione di dati;
- rubare risorse o commettere frodi.
Tuttavia, prima che l'attaccante possa raggiungere questo obiettivo finale, invariabilmente - a prescindere dai suoi obiettivi - compie le seguenti azioni:
- garantire la persistenza nell'ambiente;
- garantire una connessione remota (C2) con l'ambiente;
- eseguire la ricognizione;
- aumentare i privilegi di accesso;
- progredire lateralmente verso le risorse/dati di alto valore mirati.
Gli aggressori cercano ovviamente di fare tutto questo eludendo le difese e il rilevamento. Ma queste azioni lungo la catena di morte creano attività in tutta la rete, sia essa fisica, cloud o virtuale.
L'intelligenza artificiale ha dimostrato di poter rilevare attività dannose su scala e in tempo reale.
Sebbene sia difficile individuare e distinguere le attività degli aggressori da quelle regolari e sicure, l'intelligenza artificiale (AI) ha dimostrato di essere un ottimo strumento per farlo, su scala e in tempo reale. L'Vectra AI è in grado di osservare la rete alla ricerca di modelli di comportamento degli aggressori, basati su singoli passaggi e sulla progressione complessiva dell'attacco. A differenza di altre soluzioni di difesa informatica, Vectra è in grado di individuare gli aggressori rilevando ciò che stanno facendo su reti e sistemi, non solo rilevando strumenti, firme, IOC o anomalie, ma anche il loro comportamento concreto.
Vectra svolge questa funzione sulle reti on-prem e sul cloud (IaaS, SaaS e PaaS), sfruttando l'apprendimento automatico e l'intelligenza artificiale brevettati e costruiti appositamente, che coprono il 97% delle tecniche basate sulla rete MITRE ATT@CK.
Se volete saperne di più, contattateci e vi mostreremo come facciamo e cosa potete fare. Possiamo anche mettervi in contatto con uno dei nostri clienti per ascoltare direttamente le loro esperienze con la nostra soluzione.