Nel mio blog precedente ho parlato di come i sistemi di rilevamento e prevenzione delle intrusioni (IDPS) portino all'affaticamento degli avvisi, sovraccaricando i team operativi di sicurezza di falsi avvisi positivi, che in ultima analisi portano a non rilevare gli attacchi. In questo blog vorrei soffermarmi su come l'IDPS non sia in grado di rilevare il cosiddetto movimento laterale, il traffico est-ovest o, in parole povere, gli aggressori che si spostano all'interno delle vostre implementazioni.
L'idea di un perimetro fisso attorno a host e server protetti da un firewall appartiene al passato. Oggi tutti accedono a carichi di lavoro distribuiti in ambienti cloud . L'idea che il traffico sia all'interno o all'esterno di un perimetro è scomparsa. Concentrandosi solo sul traffico che passa attraverso il firewall aziendale, le soluzioni IDPS stanno rapidamente diventando obsolete. Questo traffico rappresenta ormai solo una frazione di tutte le comunicazioni in un'implementazione moderna. È come mettere una porta d'acciaio rinforzata in mezzo a un campo aperto.
Ma il rilevamento dei movimenti laterali è ancora una parte importante di qualsiasi strategia di rilevamento e risposta. I malintenzionati raramente prendono di mira un solo sistema in un attacco. Piuttosto, perseguono un approccio di tipo land-and-expand, compromettendo un host o un account a basso privilegio, per poi spostarsi lateralmente attraverso la rete alla ricerca di risorse da rubare.
Gli IDPS si basano principalmente sulle firme per rilevare le minacce, compresi gli exploit e il malware che mirano a sistemi e applicazioni vulnerabili. In genere lo fanno tramite l'ispezione a livello di pacchetto, che confronta l'hash di un pacchetto con l'hash di un pacchetto dannoso. Se c'è una corrispondenza, l'IDPS attiva un avviso ed eventualmente blocca il pacchetto, a seconda della configurazione. Sebbene le firme abbiano la loro utilità, gli attacchi si sono notevolmente spostati dal malware agli attacchi basati sugli account.
Infatti, il rapporto Verizon Business 2020 Data Breach Investigations afferma che "i nostri dati mostrano che questo tipo di malware ha raggiunto un picco di poco inferiore al 50% di tutte le violazioni nel 2016 e da allora è sceso a solo un sesto di quello che era all'epoca (6,5%). Mentre questo tipo di malware diminuisce, vediamo un corrispondente aumento di altri tipi di minacce. Con il passare del tempo, sembra che gli aggressori diventino sempre più efficienti e si orientino maggiormente verso attacchi come il phishing e il furto di credenziali". L'approccio basato sulle firme non è assolutamente in grado di rilevare gli attacchi che comportano il furto e l'abuso di credenziali.
Al contrario, la piattaforma Vectra Cognito combina le informazioni sulle minacce con ricchi dati contestuali, come i comportamenti degli utenti host sulla rete, i privilegi degli utenti e dei dispositivi e la conoscenza dei comportamenti dannosi. Grazie agli algoritmi di apprendimento automatico sviluppati da ricercatori di sicurezza e data scientist, Vectra identifica gli attacchi che rappresentano minacce reali, eliminando il rumore. In questo modo si ha la certezza di rilevare e bloccare attacchi noti e sconosciuti in reti cloud, data center, IoT e aziendali. Vectra è al 100% al servizio del rilevamento e della risposta agli aggressori e il nostro compito è quello di individuarli in anticipo e con certezza.
Si comincia con il disporre dei dati necessari. Non si tratta di volume di dati. Si tratta di raccogliere in modo ponderato i dati da una serie di fonti rilevanti e di arricchirli con approfondimenti sulla sicurezza e sul contesto per risolvere i casi d'uso dei clienti. I comportamenti di attacco variano, quindi Vectra crea continuamente modelli algoritmici unici per la più ampia gamma di scenari di minaccia nuovi e attuali. Con prestazioni ben superiori alle capacità umane, Vectra offre un netto vantaggio sugli avversari rilevando, raggruppando, dando priorità e anticipando gli attacchi. Grazie alla capacità di pensare e di ridurre il carico di lavoro delle operazioni di sicurezza, potrete dedicare più tempo alla ricerca delle minacce e alle indagini sugli incidenti e meno tempo alla messa a punto delle firme IDPS.
Se siete pronti a cambiare il vostro approccio al monitoraggio e alla protezione dell'ambiente, contattateci per vedere una demo.