Le fasi di un cyberattacco attivo sono molteplici e ognuna di esse rappresenta un pericoloso anello di una complessa catena di morte che offre ai criminali l'opportunità di spiare, diffondere e rubare informazioni critiche nei carichi di lavoro nativi e ibridi di cloud e nei dispositivi utente e IoT.
Fornendo una visibilità ad alta fedeltà su tutti i carichi di lavoro e sul traffico di rete, la piattaforma Cognito di Vectra, basata sull'intelligenza artificiale, rileva i comportamenti delle minacce in tempo reale in ogni fase del ciclo di vita degli attacchi.
Fasi del ciclo di vita dell'attacco
È fondamentale sapere quando un attacco passa da una fase all'altra. Ad esempio, un attacco che passa dalla fase di ricognizione interna alla fase di movimento laterale può essere più significativo della somma delle sue parti.
Alcuni eventi nelle fasi del ciclo di vita dell'attacco sono più indicativi di attacchi mirati rispetto ad altri. Ad esempio, i comportamenti opportunistici di monetizzazione della botnet possono indicare la presenza di crimeware, ma non sono un attacco mirato. Ma i comportamenti di ricognizione interna e di movimento laterale sono forti indicatori di attacchi mirati.
Di seguito sono riportate la suddivisione e la descrizione generale di ciascuna fase del ciclo di vita dell'attacco.
Comando e controllo
I comportamenti C&C si verificano quando i dispositivi sembrano essere sotto il controllo di un'entità maligna esterna. Il più delle volte il controllo è automatico perché il dispositivo fa parte di una botnet o ha installato adware o spyware. Raramente, ma soprattutto, un dispositivo può essere controllato manualmente da un malintenzionato esterno. Questo è il caso più minaccioso e spesso significa che l'attacco è mirato a un'organizzazione specifica.
Ricognizione interna
I comportamenti di ricognizione degli aggressori si verificano quando un dispositivo viene utilizzato per mappare l'infrastruttura aziendale. Questa attività è spesso parte di un attacco mirato, anche se potrebbe indicare che le botnet stanno cercando di diffondersi internamente ad altri dispositivi. I tipi di rilevamento comprendono scansioni veloci e lente di sistemi, porte di rete e account utente.
Movimento laterale
Il movimento laterale comprende scenari di azione laterale volti a favorire un attacco mirato. Può trattarsi di tentativi di furto di credenziali di account o di furto di dati da un altro dispositivo. Può anche comportare la compromissione di un altro dispositivo per rendere più duratura la posizione dell'attaccante o per avvicinarsi ai dati dell'obiettivo. Questa fase del ciclo di vita dell'attacco è il precursore del passaggio ai data center privati e ai cloud pubblici.
Infiltrazione di dati
I comportamenti di esfiltrazione dei dati si verificano quando i dati vengono inviati all'esterno in modo da nascondere il trasferimento. Di norma, i trasferimenti di dati legittimi non comportano l'uso di tecniche volte a nascondere il trasferimento. Il dispositivo che trasmette i dati, il luogo in cui li trasmette, la quantità di dati e la tecnica utilizzata per inviarli sono indicatori di esfiltrazione.
Monetizzazione delle botnet
Le reti bot sono comportamenti di attacco opportunistici in cui un dispositivo produce denaro per il suo bot herder. I modi in cui un dispositivo infetto può essere utilizzato per produrre valore possono spaziare dall'estrazione di bitcoin all'invio di e-mail di spam, fino alla produzione di falsi click pubblicitari. Per ottenere un profitto, il bot herder utilizza i dispositivi, le loro connessioni di rete e, soprattutto, la reputazione incontaminata degli indirizzi IP assegnati.
Per ulteriori informazioni sui comportamenti delle minacce in ogni fase del ciclo di vita dell'attacco, scaricate il Rapporto di settore sul comportamento degli aggressori 2019 o contattateci all'indirizzo vectra.ai/demo.