L'applicazione delle misure di sicurezza, in relazione agli attacchi informatici, consiste nel reagire alle azioni degli aggressori per riportare un'azienda in linea con la propria politica di sicurezza dichiarata. Esempi comuni di applicazione delle misure di sicurezza sono il blocco del traffico verso un IP specifico, la messa in quarantena di un dispositivo tramite la limitazione dell'accesso alla rete, la riformattazione di un computer o il blocco dell'accesso all'account.
Uno degli aspetti più importanti da considerare riguardo alle opzioni di applicazione deve essere la loro efficacia. Dopo tutto, rispondere agli attacchi informatici è spesso un gioco al gatto e al topo. Ogni azione intrapresa dal team di sicurezza provocherà una reazione da parte degli aggressori. Ciò significa che anche se l'aggressore viene espulso dalla rete, tenterà di rientrarvi. I team di sicurezza devono essere preparati ai cambiamenti nelle tattiche degli aggressori, all'escalation degli attacchi e ai nuovi obiettivi delle vittime.
Inoltre, gli aggressori ricevono sempre un feedback immediato sulle loro azioni. Sanno se hanno avuto successo e possono riprovare rapidamente se non ci sono riusciti. La squadra in difesa non è così fortunata e non riceverà alcun feedback sui progressi degli aggressori.
Vantaggi dell'applicazione basata sull'host
Per un'applicazione immediata e precisa, gli analisti in genere vanno direttamente alla fonte dell'attacco e bloccano endpoint . Ciò limita il raggio d'azione dell'attacco e concede al SOC più tempo per indagare e fermare l'attacco.
Tuttavia, questo approccio richiede in genere che endpoint installato un qualche tipo di agente o software di controllo, cosa che non sempre avviene. Quando possibile, l'applicazione sulle host dovrebbe essere combinata anche con l'applicazione basata sugli account.
Vantaggi dell'applicazione basata sul conto
È ormai ampiamente dimostrato che la maggior parte degli attacchi informatici moderni prende di mira gli utenti anziché le infrastrutture o i dispositivi. Anziché ricorrere a complessi exploit, molti aggressori penetrano nell'organizzazione rubando le credenziali tramite phishing appropriazione di account e accedendo come utenti "legittimi".
Questo, insieme al crescente utilizzo cloud , significa che i team di sicurezza dovrebbero prendere esempio dagli hacker e considerare l'applicazione delle misure di sicurezza basate sugli utenti anziché sulla rete o sui dispositivi. In altre parole, utilizzare misure di sicurezza basate sugli account.
Infatti, l'applicazione basata sull'account presenta diversi vantaggi rispetto alle opzioni di applicazione basate sulla rete o sulla macchina.
In primo luogo, l'applicazione basata sull'account crea un unico punto di applicazione. Nei casi in cui gli aggressori hanno compromesso gli account, la riformattazione dei laptop non è utile quando gli aggressori possono passare a un altro dispositivo. Pertanto, l'applicazione basata sull'account può essere efficace in ambienti cloud ibridi in cui le organizzazioni non possiedono il servizio o l'infrastruttura. Limita inoltre i movimenti laterali degli aggressori che si fingono dipendenti con account compromessi.
L'applicazione basata sull'account è anche chirurgica e precisa. L'applicazione riguarda solo l'account dell'utente compromesso. Non è necessario apportare modifiche alla rete. Non è necessario aggiornare alcuna lista nera.
Infine, a seconda della struttura organizzativa, l'applicazione basata sugli account può comportare una maggiore responsabilità condivisa con l'IT. Per le aziende in cui l'IT è responsabile degli account utente, i team di sicurezza possono collaborare con i loro omologhi IT per condividere il carico di lavoro relativo alla gestione degli account utente e al ripristino dell'accesso dopo un attacco.
Tipi di applicazione
L'applicazione della legge si articola tipicamente in due modalità operative: automatica e manuale.
Le applicazioni automatiche sono azioni attivate senza intervento umano, spesso dopo aver soddisfatto una serie di criteri, come una soglia di rischio predefinita e privilegi relativi ad asset o account.
Le misure manuali richiedono l'intervento del personale addetto alla sicurezza. Esistono validi motivi per adottare misure automatiche o manuali, o anche una combinazione di entrambe. Di seguito illustreremo alcune considerazioni relative a entrambi i tipi.
Considerazioni relative all'applicazione automatica
I team di sicurezza spesso esitano all'idea dell'applicazione automatica, ma esistono casi d'uso legittimi in cui può essere utile.
L'applicazione automatica può essere utile per ridurre la diffusione laterale e dare ai team di sicurezza con risorse limitate più tempo per indagare sugli incidenti. È utile anche come strumento temporaneo, soprattutto per le organizzazioni che non dispongono di personale di sicurezza disponibile 24 ore su 24 per indagini immediate.
Se un incidente è già oggetto di indagine, l'applicazione automatica può aiutare i responsabili della risposta agli incidenti ad applicare politiche di sicurezza coerenti a più vittime. In alternativa, se l'incidente è un attacco noto con best practice consolidate, i team di sicurezza possono utilizzare l'applicazione automatica per seguire rapidamente le misure correttive approvate. Un esempio è un attacco ransomware noto con procedure di ripristino prestabilite. Naturalmente, questo scenario richiede una diagnosi altamente affidabile per confermare che si tratti di un attacco o di un aggressore noto.
Le azioni di applicazione automatica possono impedire a un aggressore di passare alla fase successiva della catena di attacco. In questo caso, l'applicazione viene eseguita in modo mirato su una specifica attività e account dell'aggressore, riducendo ulteriori rischi.
In breve, se applicata con giudizio, l'applicazione automatica può aiutare a evitare che una situazione già grave peggiori ulteriormente e guadagnare tempo prezioso per le indagini di sicurezza.
Considerazioni relative all'applicazione manuale
L'applicazione manuale richiede che sia un essere umano a prendere la decisione finale e ad avviare l'azione. Ciò solleva la domanda: se sono disponibili gli stessi avvisi, le stesse informazioni e gli stessi dati forensi, perché aspettare che un essere umano "prema il pulsante"?
Nella maggior parte dei casi, la tempistica è la differenza fondamentale.
Non rispondere immediatamente agli attacchi informatici attivi presenta alcuni vantaggi. Sebbene l'applicazione automatica possa essere configurata in modo da attivarsi dopo un determinato periodo di tempo, l'applicazione manuale offre una flessibilità temporale illimitata.
Un fattore chiave da considerare quando si ricorre all'applicazione manuale è quello di lasciare che gli attacchi si svolgano per ottenere maggiori informazioni. Spesso, i team di sicurezza possono raccogliere dati aggiuntivi lasciando che l'autore dell'attacco pensi di non essere stato scoperto.
Infatti, alcune informazioni sono disponibili solo dopo aver osservato il comportamento dell'autore dell'attacco per periodi di tempo più lunghi. Quali altri strumenti e tattiche utilizzano? Quali dati stanno cercando e dove li stanno sottraendo? La ricerca di un attacco richiede tempo e una certa "libertà d'azione" all'interno della rete per l'autore dell'attacco.
Ricordate inoltre che gli aggressori cambieranno tattica se vengono intraprese azioni o se queste vengono intraprese troppo presto. Ciò richiede che le azioni vengano intraprese con attenzione. L'applicazione manuale consente ai team di sicurezza la flessibilità necessaria per prendere decisioni in modo dinamico in base alle azioni dell'aggressore. Accumulando più dati e correlando le analisi forensi, i team possono anche applicare le misure con maggiore sicurezza e precisione.
Infine, l'applicazione manuale consente ai team di sicurezza di agire con maggiore precisione chirurgica. Anziché applicare la stessa azione in tutti i casi simili, i team possono attivare selettivamente l'azione per utenti specifici, riducendo al minimo l'impatto sugli utenti. Ad esempio, invece di un ripristino di massa delle password, forse solo i dipendenti all'interno di una determinata area geografica necessitano di nuove credenziali.
Requisiti per un'applicazione senza preoccupazioni
Indipendentemente dal fatto che si utilizzi l'applicazione automatica, l'applicazione manuale o una combinazione di entrambe, è necessario che siano presenti determinati fattori per garantire che l'applicazione non crei più problemi di quanti ne risolva. Tenendo presente che gli aggressori cambiano tattica in base alle azioni di applicazione, un'applicazione efficace deve in ultima analisi rimuovere gli aggressori dall'organizzazione e tenerli fuori. Ecco i criteri chiave per una soluzione di applicazione senza preoccupazioni.
La fiducia è fondamentale
Per applicare le misure con sicurezza, è necessario essere certi che le informazioni di sicurezza su cui si basano le decisioni siano accurate. Ciò significa che il rilevamento deve affidarsi a un sistema ad alta fedeltà che aggrega i dati per garantire l'accuratezza. Dettagli quali il tipo di minaccia, il livello di rischio e la certezza sono fondamentali per prendere decisioni accurate in materia di applicazione. La possibilità di correlare le informazioni provenienti da altri strumenti di sicurezza, come firewall e SIEM, aumenta inoltre la sicurezza e l'accuratezza.
Applicare tutte le misure necessarie
La maggior parte delle aziende dispone di dati sia nel cloud, sia nei propri locali, sia ospitati su infrastrutture di partner. Gli stack di sicurezza aziendali comprendono anche un'ampia varietà di tecnologie, come strumenti di rilevamento degli endpoint, controlli di accesso alla rete e firewall. Prendete in considerazione soluzioni di applicazione con un sistema di account centralizzato in grado di applicare le misure appropriate all'intera infrastruttura aziendale: in loco, in ambienti ibridi e su più tecnologie.
Una soluzione che protegge e rafforza gli account dei partner o degli appaltatori impedisce anche che tali account diventino bersagli di attacchi.
Rendilo facile
Anche il tipo di azione di applicazione è importante. Scegli azioni di applicazione che consentano un impatto accurato e affidabile, come l'applicazione basata sull'account. A differenza dell'applicazione basata sulla rete, come l'inserimento in blacklist o il ripristino TCP, l'applicazione basata sull'account è efficace, precisa e non crea lavoro superfluo per altri reparti.
Presentazione dell'applicazione del blocco Vectra
Il blocco consente ai professionisti della sicurezza di abilitare l'applicazione automatica e manuale direttamente dalla Vectra AI . Utilizza una combinazione di punteggi di privilegio, punteggi di minaccia dell'account e soglie di certezza dell'account per bloccare account, host e cloud specifici. Gli amministratori della sicurezza possono configurare queste soglie, nonché la durata del blocco.
Come sempre, sono disponibili altre opzioni di applicazione grazie alle integrazioni di Vectra con i partner SOAR (Security Orchestration and Response).
Vectra AI è il modo più veloce ed efficiente per rilevare e rispondere agli attacchi informatici, garantendo che gli aggressori vengano espulsi e rimangano fuori dagli ambienti aziendali.
Apprezzato da esperti e aziende in tutto il mondo
