L'applicazione, in relazione agli attacchi informatici, è la risposta alle azioni degli aggressori per riportare l'azienda in linea con la politica di sicurezza dichiarata. Esempi comuni di applicazione sono il blocco del traffico verso un IP specifico, la messa in quarantena di un dispositivo limitando l'accesso alla rete, la riformattazione di un computer o il blocco dell'accesso agli account.
Una delle considerazioni più importanti sulle opzioni di applicazione deve essere la sua efficacia. Dopo tutto, la risposta agli attacchi informatici è spesso un gioco al gatto e al topo. Ogni azione del team di sicurezza provoca una reazione da parte degli aggressori. Ciò significa che anche se l'aggressore viene cacciato dalla rete, tenterà di rientrarvi. I team di sicurezza devono essere preparati ai cambiamenti nelle tattiche degli aggressori, alle escalation degli attacchi e ai nuovi obiettivi delle vittime.
Inoltre, gli aggressori hanno sempre un feedback istantaneo sulle loro azioni. Sanno se hanno avuto successo e possono riprovare rapidamente in caso contrario. La squadra in difesa non è così fortunata e non ha alcun feedback sui progressi degli attaccanti.
Vantaggi dell'applicazione basata sull'host
Per un'applicazione immediata e precisa, gli analisti di solito si recano direttamente alla fonte di un attacco e bloccano l'endpoint utilizzato. Questo limita il raggio d'azione dell'attacco e dà al SOC più tempo per indagare e bloccare l'attacco.
Tuttavia, questo approccio richiede in genere che l'endpoint abbia installato una sorta di agente o software di controllo, cosa che non sempre avviene. Se possibile, l'applicazione su host dovrebbe essere combinata con l'applicazione basata su account.
Vantaggi dell'applicazione basata sugli account
È ormai ampiamente dimostrato che la maggior parte dei moderni attacchi informatici prende di mira gli utenti anziché le infrastrutture o i dispositivi. Invece di utilizzare complicati exploit, molti aggressori entrano nell'organizzazione rubando le credenziali attraverso il phishing o l'account takeover e accedendo come utente "legittimo".
Questo, unito alla crescente diffusione dell'uso di risorse cloud , significa che i team di sicurezza dovrebbero prendere spunto dal libro degli aggressori e considerare l'applicazione delle norme in base agli utenti anziché alla rete o ai dispositivi. In altre parole, utilizzare un'applicazione basata sugli account.
In effetti, l'applicazione basata sugli account presenta diversi vantaggi rispetto alle opzioni di applicazione basate sulla rete o sulle macchine.
In primo luogo, l'applicazione basata sugli account crea un unico punto di applicazione. Nei casi in cui gli aggressori hanno compromesso gli account, riformattare i computer portatili non è utile quando gli aggressori possono passare a un altro dispositivo. Pertanto, l'applicazione basata sugli account può essere efficace in ambienti cloud o ibridi in cui le organizzazioni non possiedono il servizio o l'infrastruttura. Inoltre, limita i movimenti laterali degli aggressori che si fingono dipendenti con account compromessi.
Anche l'applicazione basata sull'account è chirurgica e precisa. L'applicazione riguarda solo l'account dell'utente compromesso. Non è necessario apportare modifiche alla rete. Non è necessario aggiornare le liste nere.
Infine, a seconda della struttura organizzativa, l'applicazione basata sugli account può comportare una maggiore condivisione delle responsabilità con l'IT. Nelle aziende in cui l'IT possiede gli account utente, i team di sicurezza possono collaborare con le loro controparti IT per condividere il carico di lavoro della gestione degli account utente e del ripristino dell'accesso dopo un attacco.
Tipi di applicazione
L'applicazione delle norme si divide in due modalità operative: automatica e manuale.
Le esecuzioni automatiche sono azioni che si attivano senza l'intervento umano, spesso dopo aver soddisfatto una serie di criteri, come una soglia di rischio predefinita e il privilegio di un asset o di un account.
L'applicazione manuale richiede l'intervento del personale di sicurezza. Esistono motivi validi per applicare l'applicazione automatica o manuale, o addirittura una combinazione di entrambe. Di seguito, verranno esposte alcune considerazioni su entrambi i tipi di applicazione.
Considerazioni sull'esecuzione automatica
I team che si occupano di sicurezza spesso si oppongono al pensiero dell'applicazione automatica, ma ci sono casi d'uso legittimi in cui può essere utile.
L'applicazione automatica può essere utile per ridurre la diffusione laterale e dare ai team di sicurezza con risorse limitate più tempo per indagare sugli incidenti. È utile anche come strumento temporaneo, soprattutto per le organizzazioni che non dispongono di personale di sicurezza disponibile 24 ore su 24 per le indagini immediate.
Se un incidente è già in fase di indagine, l'applicazione automatica può aiutare i responsabili degli incidenti ad applicare criteri di sicurezza coerenti a più vittime. In alternativa, se l'incidente è un attacco noto con best practice consolidate, i team di sicurezza possono utilizzare l'applicazione automatica per seguire rapidamente le fasi di ripristino approvate. Un esempio è un attacco ransomware noto con procedure di recupero prescritte. Naturalmente, questo scenario richiede una diagnosi ad alta affidabilità per confermare che si tratta di un attacco o di un aggressore noto.
Le azioni di applicazione automatica possono impedire a un aggressore di passare alla fase successiva della kill chain. In questo caso, l'applicazione della legge viene applicata chirurgicamente a un'attività e a un account specifici dell'aggressore, riducendo il rischio aggiuntivo.
In breve, se applicata con criterio, l'applicazione automatica può aiutare a prevenire il peggioramento di una situazione negativa e a guadagnare tempo per le indagini di sicurezza.
Considerazioni sull'applicazione manuale
L'applicazione manuale richiede che sia un uomo a prendere la decisione finale e a far scattare l'azione. Ciò fa sorgere la domanda: se è possibile accedere agli stessi avvisi, informazioni e dati forensi, perché aspettare che sia un uomo a "premere il pulsante"?
Nella maggior parte dei casi, la differenza è data dalla tempistica.
Non rispondere immediatamente agli attacchi informatici attivi presenta dei vantaggi. Inoltre, mentre l'applicazione automatica può essere configurata per attivarsi dopo un determinato periodo di tempo, l'applicazione manuale consente una flessibilità temporale illimitata.
Una considerazione fondamentale per l'utilizzo dell'applicazione manuale è lasciare che gli attacchi si svolgano per ottenere maggiori informazioni. Spesso i team di sicurezza possono raccogliere ulteriori dati lasciando che l'attaccante pensi di non essere stato scoperto.
In effetti, alcune informazioni sono disponibili solo dopo aver osservato il comportamento degli aggressori per periodi di tempo più lunghi. Quali altri strumenti e tattiche utilizzano? Quali dati cercano e dove li esfiltra? La ricerca di un attacco richiede tempo e un certo grado di "libertà" all'interno della rete per l'attaccante.
Ricordate inoltre che gli aggressori cambieranno tattica se si interviene o si interviene troppo presto. Per questo è necessario agire in modo ponderato. L'applicazione manuale consente ai team di sicurezza di prendere decisioni in modo dinamico in base alle azioni dell'attaccante. Grazie all'acquisizione di un maggior numero di dati e alla correlazione delle informazioni forensi, i team possono anche applicare le misure con maggiore sicurezza e precisione.
Infine, l'applicazione manuale consente ai team di sicurezza di agire con una precisione più chirurgica. Invece di applicare la stessa azione in tutti i casi simili, i team possono attivare selettivamente l'azione per utenti specifici, riducendo al minimo l'impatto sugli utenti. Ad esempio, invece di una reimpostazione di massa della password, forse solo i dipendenti di una certa località geografica hanno bisogno di nuove credenziali.
Requisiti per un'applicazione senza preoccupazioni
Indipendentemente dal fatto che si utilizzi l'applicazione automatica, quella manuale o una combinazione di entrambe, è necessario che siano presenti alcuni fattori per garantire che l'applicazione non crei più problemi di quanti ne risolva. Tenendo presente che gli aggressori cambiano tattica in base alle azioni di applicazione, un'applicazione efficace deve in ultima analisi allontanare gli aggressori dall'organizzazione e tenerli fuori. Ecco i criteri chiave per una soluzione di applicazione senza problemi.
La fiducia è fondamentale
Per applicare con sicurezza la legge, è necessario essere certi che le informazioni sulla sicurezza su cui si basano le decisioni siano accurate. Ciò significa che il rilevamento deve affidarsi a un sistema ad alta fedeltà che aggreghi i punti di dati per garantire l'accuratezza. Dettagli come la conoscenza del tipo di minaccia, del livello di rischio e della certezza sono fondamentali per prendere decisioni accurate sull'applicazione. Anche la possibilità di correlare le informazioni provenienti da altri strumenti di sicurezza, come firewall e SIEM, aumenta la fiducia e la precisione.
Applicare tutte le aree necessarie
La maggior parte delle aziende dispone di dati sia nel cloud, sia nella propria sede, sia in hosting su infrastrutture di partner. Gli stack di sicurezza aziendali comprendono anche un'ampia gamma di tecnologie, come gli strumenti di rilevamento degli end point, i controlli di accesso alla rete e i firewall. Prendete in considerazione soluzioni di enforcement con un sistema di account centralizzato in grado di imporre azioni appropriate in tutta l'infrastruttura aziendale: on-premise, in ambienti ibridi e su più tecnologie.
Una soluzione che protegge e fa rispettare gli account dei partner o degli appaltatori impedisce anche che questi account diventino bersagli di attacchi.
Semplificare
Anche il tipo di azione di enforcement è importante. Scegliete azioni di enforcement che consentano un impatto preciso e affidabile, come l'enforcement basato sugli account. A differenza dell'applicazione basata sulla rete, come la blacklist o il reset TCP, l'applicazione basata sugli account è efficace, precisa e non crea lavoro inutile per gli altri reparti.
Presentazione dell'applicazione di blocco Vectra
Lockdown consente ai professionisti della sicurezza di attivare l'applicazione automatica e manuale direttamente dalla Vectra AI Platform. Utilizza una combinazione di punteggi di privilegio, punteggi di minaccia dell'account e soglie di certezza dell'account per bloccare account, host e carichi di lavoro cloud specifici. Gli amministratori della sicurezza possono configurare queste soglie e la durata del blocco.
Come sempre, altre opzioni di applicazione sono disponibili grazie alle integrazioni di Vectra con i partner di orchestrazione e risposta alla sicurezza (SOAR).
La piattaformaVectra AI è il modo più rapido ed efficiente per rilevare e rispondere ai cyberattacchi, assicurando che gli aggressori vengano cacciati e rimangano fuori dagli ambienti aziendali.
Fiducia da parte di esperti e aziende di tutto il mondo
