Le misure coercitive, nel contesto degli attacchi informatici, consistono in una serie di interventi volti a contrastare le azioni degli aggressori, al fine di riportare l'azienda in linea con la propria politica di sicurezza. Esempi comuni di misure coercitive sono il blocco del traffico verso un indirizzo IP specifico, la messa in quarantena di un dispositivo tramite la limitazione dell'accesso alla rete, la riformattazione di un computer o il blocco dell'accesso a un account.
Uno degli aspetti più importanti da considerare in merito alle opzioni di contrasto è la loro efficacia. Dopotutto, la risposta agli attacchi informatici è spesso un gioco al gatto e al topo. Ogni azione intrapresa dal team di sicurezza provocherà una reazione da parte degli aggressori. Ciò significa che, anche se l'aggressore viene espulso dalla rete, tenterà di rientrarvi. I team di sicurezza devono essere preparati ai cambiamenti nelle tattiche degli aggressori, all'intensificarsi degli attacchi e all'individuazione di nuovi obiettivi.
Inoltre, gli aggressori ricevono sempre un riscontro immediato sulle loro azioni. Sanno se hanno avuto successo e, in caso contrario, possono riprovare rapidamente. La squadra in difesa non è altrettanto fortunata e non avrà alcun riscontro sui progressi degli aggressori.
Vantaggi dell'applicazione basata sull'host
Per garantire un intervento immediato e mirato, gli analisti di solito individuano direttamente la fonte dell'attacco e bloccano endpoint . Ciò limita la portata dell'attacco e concede al SOC più tempo per indagare e neutralizzarlo.
Tuttavia, questo approccio richiede in genere che sul endpoint installato un qualche tipo di agente o software di controllo, cosa che non sempre avviene. Ove possibile, l'applicazione delle politiche sui dispositivi dovrebbe essere integrata anche con l'applicazione basata sugli account.
Vantaggi dell'applicazione basata sull'account
È ormai ampiamente riconosciuto che la maggior parte degli attacchi informatici moderni prende di mira gli utenti piuttosto che le infrastrutture o i dispositivi. Anziché ricorrere a complicati exploit, molti aggressori penetrano nell'organizzazione rubando le credenziali tramite phishing appropriazione di account e accedendo come utenti "legittimi".
Questo, unito alla crescente diffusione dell'uso cloud , implica che i team di sicurezza dovrebbero prendere spunto dalle strategie degli hacker e valutare l'adozione di misure di sicurezza basate sugli utenti anziché sulla rete o sui dispositivi. In altre parole, dovrebbero ricorrere a misure di sicurezza basate sugli account.
In effetti, l'applicazione delle regole basata sugli account presenta diversi vantaggi rispetto alle opzioni di applicazione basate sulla rete o sui dispositivi.
In primo luogo, l'applicazione basata sugli account crea un unico punto di controllo. Nei casi in cui gli aggressori abbiano compromesso degli account, la formattazione dei computer portatili non è utile, poiché gli aggressori possono spostarsi su un altro dispositivo. Pertanto, l'applicazione basata sugli account può rivelarsi efficace in ambienti cloud ibridi, dove le organizzazioni non sono proprietarie del servizio o dell'infrastruttura. Inoltre, limita i movimenti laterali degli aggressori che si fingono dipendenti utilizzando account compromessi.
L'applicazione delle misure di sicurezza a livello di account è inoltre mirata e precisa. Le misure interessano esclusivamente l'account dell'utente compromesso. Non è necessario apportare modifiche alla rete. Non è necessario aggiornare alcuna lista nera.
Infine, a seconda della struttura organizzativa, l'applicazione delle misure di sicurezza a livello di account può comportare una maggiore condivisione delle responsabilità con il reparto IT. Nelle aziende in cui il reparto IT gestisce gli account utente, i team di sicurezza possono collaborare con i colleghi del reparto IT per condividere il carico di lavoro relativo alla gestione degli account utente e al ripristino dell'accesso dopo un attacco.
Tipi di applicazione
L'applicazione delle norme si articola solitamente in due modalità operative: automatica e manuale.
Le azioni automatiche sono operazioni avviate senza l'intervento umano, spesso in seguito al soddisfacimento di una serie di criteri, quali una soglia di rischio predefinita o i privilegi relativi a risorse o account.
L'applicazione manuale richiede l'intervento del personale di sicurezza. Esistono validi motivi per optare per l'applicazione automatica o manuale, o anche per una combinazione delle due. Di seguito tratteremo alcuni aspetti da considerare per entrambi i tipi.
Aspetti da considerare per l'applicazione automatica
I team di sicurezza spesso sono riluttanti all'idea dell'applicazione automatica delle regole, ma esistono casi d'uso legittimi in cui questa può rivelarsi utile.
L'applicazione automatica può rivelarsi utile per limitare la diffusione laterale e consentire ai team di sicurezza, che dispongono di risorse limitate, di dedicare più tempo alle indagini sugli incidenti. È inoltre utile come strumento temporaneo, in particolare per le organizzazioni che non dispongono di personale di sicurezza attivo 24 ore su 24 per svolgere indagini immediate.
Se un incidente è già oggetto di indagine, l'applicazione automatica può aiutare gli addetti alla gestione degli incidenti ad applicare politiche di sicurezza coerenti a più vittime. In alternativa, se l'incidente è un attacco noto per il quale esistono procedure consolidate, i team di sicurezza possono ricorrere all'applicazione automatica per seguire rapidamente le misure correttive approvate. Un esempio è un attacco ransomware noto con procedure di ripristino prestabilite. Naturalmente, questo scenario richiede una diagnosi altamente attendibile per confermare che si tratti di un attacco o di un autore noto.
Le misure coercitive automatiche possono impedire a un aggressore di passare alla fase successiva della catena di attacco. In questo caso, l'applicazione delle misure coercitive viene mirata con precisione a una specifica attività dell'aggressore e al relativo account, riducendo così i rischi aggiuntivi.
In breve, se applicata con giudizio, l'applicazione automatica delle misure può contribuire a evitare che una situazione già grave peggiori ulteriormente e a guadagnare tempo per le indagini di sicurezza.
Aspetti da considerare nell'applicazione manuale
L'applicazione manuale richiede che sia un operatore umano a prendere la decisione finale e ad avviare l'azione. Ciò porta a chiedersi: se si ha accesso agli stessi avvisi, alle stesse informazioni e agli stessi dati forensi, perché aspettare che sia un operatore umano a "premere il pulsante"?
Nella maggior parte dei casi, è la tempistica a fare la differenza.
Non rispondere immediatamente agli attacchi informatici in corso presenta alcuni vantaggi. E mentre l'applicazione automatica può essere configurata in modo da attivarsi dopo un determinato periodo di tempo, quella manuale offre una flessibilità temporale illimitata.
Un aspetto fondamentale da tenere presente quando si ricorre all'applicazione manuale delle misure di sicurezza è quello di lasciare che gli attacchi facciano il loro corso per ottenere maggiori informazioni. Spesso, i team di sicurezza possono raccogliere ulteriori dati facendo credere all'autore dell'attacco di non essere stato scoperto.
In realtà, alcune informazioni si ottengono solo dopo aver osservato il comportamento dell'autore dell'attacco per un periodo di tempo più lungo. Quali altri strumenti e tattiche utilizza? Quali dati sta cercando di sottrarre e dove li sta trasferendo? Analizzare un attacco richiede tempo e una certa "libertà d'azione" all'interno della rete da parte dell'autore dell'attacco.
Va inoltre ricordato che gli autori degli attacchi cambieranno tattica se si interviene o se lo si fa troppo presto. Ciò richiede un intervento ponderato. L'applicazione manuale delle misure di sicurezza offre ai team di sicurezza la flessibilità necessaria per prendere decisioni in modo dinamico, sulla base delle azioni degli autori degli attacchi. Accumulando un maggior numero di dati e mettendo in correlazione le analisi forensi, i team possono inoltre applicare le misure con maggiore sicurezza e precisione.
Infine, l'applicazione manuale delle misure consente ai team di sicurezza di agire con maggiore precisione. Anziché applicare la stessa misura a tutti i casi simili, i team possono intervenire in modo selettivo su utenti specifici, riducendo al minimo l'impatto sugli utenti. Ad esempio, invece di procedere a una reimpostazione di massa delle password, potrebbe essere necessario fornire nuove credenziali solo ai dipendenti che si trovano in una determinata area geografica.
Requisiti per un'applicazione senza intoppi
Indipendentemente dal fatto che si utilizzi l'applicazione automatica, quella manuale o una combinazione delle due, è necessario che siano presenti determinati fattori per garantire che l'applicazione non crei più problemi di quanti ne risolva. Tenendo presente che gli aggressori modificano le loro tattiche in base alle misure di applicazione adottate, un'applicazione efficace deve, in definitiva, allontanare gli aggressori dall'organizzazione e impedire loro di rientrarvi. Ecco i criteri fondamentali per una soluzione di applicazione che non dia adito a preoccupazioni.
La fiducia è fondamentale
Per applicare le misure di sicurezza con sicurezza, è necessario avere la certezza che le informazioni su cui si basano le decisioni siano accurate. Ciò significa che il rilevamento deve affidarsi a un sistema altamente affidabile, in grado di aggregare i dati per garantirne l'accuratezza. Dettagli quali il tipo di minaccia, il livello di rischio e il grado di certezza sono fondamentali per prendere decisioni accurate in materia di sicurezza. La capacità di correlare le informazioni provenienti da altri strumenti di sicurezza, come firewall e SIEM, aumenta ulteriormente la sicurezza e l'accuratezza.
Applicare le misure necessarie in tutti i settori
La maggior parte delle aziende dispone di dati sia nel cloud, sia presso le proprie sedi, sia ospitati su infrastrutture di partner. Le piattaforme di sicurezza aziendali comprendono inoltre un'ampia gamma di tecnologie, quali strumenti di rilevamento degli endpoint, controlli di accesso alla rete e firewall. È opportuno prendere in considerazione soluzioni di applicazione delle politiche dotate di un sistema di account centralizzato in grado di applicare le misure appropriate su tutta l'infrastruttura aziendale: in sede, in ambienti ibridi e su più tecnologie.
Una soluzione che protegge e controlla gli account dei partner o degli appaltatori impedisce inoltre che tali account diventino bersaglio di attacchi.
Rendilo semplice
Anche il tipo di misura di applicazione è importante. Scegliete misure di applicazione che garantiscano un impatto preciso e affidabile, come quelle basate sugli account. A differenza delle misure di applicazione basate sulla rete, come l'inserimento in blacklist o i reset TCP, quelle basate sugli account sono efficaci, precise e non comportano un carico di lavoro superfluo per gli altri reparti.
Presentazione del sistema di controllo del rispetto delle misure di lockdown di Vectra
La funzione "Lockdown" consente ai responsabili della sicurezza di applicare restrizioni automatiche e manuali direttamente dalla Vectra AI . Utilizza una combinazione di soglie relative al punteggio dei privilegi, al punteggio di minaccia dell'account e al punteggio di certezza dell'account per bloccare account, host e cloud specifici. Gli amministratori della sicurezza possono configurare tali soglie, nonché la durata del blocco.
Vectra AI rappresenta il modo più rapido ed efficiente per individuare e contrastare gli attacchi informatici, garantendo che gli hacker vengano allontanati e tenuti lontani dagli ambienti aziendali.
