Nel mio precedente blog ho parlato di come i sistemi di rilevamento e prevenzione delle intrusioni (IDPS) causino un sovraccarico di allarmi falsi positivi che affaticano i team addetti alla sicurezza, portando infine a mancati attacchi. In questo blog vorrei soffermarmi su come gli IDPS siano inadeguati a rilevare ciò che è noto come movimento laterale, traffico est-ovest o, in parole povere, gli attacchi che si muovono all'interno delle vostre implementazioni.
Il concetto di un perimetro fisso attorno agli host e ai server protetti da un firewall appartiene ormai al passato. Oggi tutti accedono a carichi di lavoro distribuiti in cloud . L'idea che il traffico sia all'interno o all'esterno di un perimetro è ormai superata. Concentrandosi solo sul traffico che passa attraverso il firewall aziendale, le soluzioni IDPS stanno rapidamente diventando obsolete. Questo traffico rappresenta ormai solo una piccola parte di tutte le comunicazioni in una distribuzione moderna. È come mettere una porta blindata in mezzo a un campo aperto.
Tuttavia, rilevare i movimenti laterali rimane una parte importante di qualsiasi strategia di rilevamento e risposta. Gli autori degli attacchi raramente prendono di mira un solo sistema. Al contrario, adottano un approccio di tipo "land-and-expand" (atterraggio ed espansione), compromettendo un host o un account con privilegi limitati, per poi spostarsi lateralmente all'interno della rete alla ricerca di risorse da sottrarre.
Gli IDPS si basano principalmente sulle firme per rilevare le minacce, inclusi exploit e malware prendono di mira sistemi e applicazioni vulnerabili. In genere lo fanno tramite l'ispezione a livello di pacchetto, che confronta l'hash di un pacchetto con l'hash di un pacchetto dannoso. Se c'è una corrispondenza, l'IDPS attiva un avviso e, a seconda della configurazione, può bloccarlo. E sebbene le firme abbiano la loro utilità, c'è stato un cambiamento significativo negli attacchi, che si sono spostati dal malware attacchi basati sugli account.
Infatti, il rapporto Verizon Business 2020 Data Breach Investigations Report afferma che "i nostri dati mostrano che questo tipo di malware di poco inferiore al 50% di tutte le violazioni nel 2016 e da allora è sceso a solo un sesto di quanto era in quel momento (6,5%). Con malware questo tipo di malware , assistiamo a un corrispondente aumento di altri tipi di minacce. Con il passare del tempo, sembra che gli aggressori diventino sempre più efficienti e si orientino maggiormente verso attacchi come il phishing il furto di credenziali". L'approccio basato sulle firme è completamente incapace di rilevare attacchi che comportano il furto e l'uso improprio delle credenziali.
Al contrario, la piattaforma Vectra Cognito combina le informazioni sulle minacce con ricchi dati contestuali, quali i comportamenti degli utenti host sulla rete, i privilegi degli utenti e dei dispositivi e la conoscenza dei comportamenti dannosi. Grazie agli algoritmi di apprendimento automatico sviluppati da ricercatori nel campo della sicurezza e data scientist, Vectra identifica gli attacchi che rappresentano minacce reali, eliminando al contempo il rumore di fondo. Ciò infonde la certezza di rilevare e bloccare attacchi noti e sconosciuti nel cloud, nei data center, nell'IoT e nelle reti aziendali. Vectra si dedica al 100% al rilevamento e alla risposta agli attacchi e il nostro compito è individuarli tempestivamente e con certezza.
Il primo passo è disporre dei dati necessari per farlo. Non si tratta del volume dei dati, ma della raccolta accurata di dati provenienti da una varietà di fonti rilevanti e del loro arricchimento con approfondimenti sulla sicurezza e contestualizzazione per risolvere i casi d'uso dei clienti. I comportamenti degli attacchi variano, quindi Vectra crea continuamente modelli algoritmici unici per la più ampia gamma di scenari di minaccia nuovi e attuali. Con prestazioni che vanno ben oltre le capacità umane, Vectra offre un netto vantaggio sugli avversari grazie alla capacità di rilevare, raggruppare, classificare per priorità e anticipare gli attacchi. Svolgendo il lavoro di analisi e riducendo il carico di lavoro delle operazioni di sicurezza, potrete dedicare più tempo alla ricerca delle minacce e alle indagini sugli incidenti e meno tempo alla messa a punto delle firme IDPS.
Se sei pronto a cambiare il tuo approccio al monitoraggio e alla protezione del tuo ambiente, contattaci per vedere una demo.