Il comportamento degli aggressori moderni può essere meglio compreso come un percorso in più fasi. Gli aggressori si muovono tra cloud di identità, rete e cloud , spesso utilizzando strumenti legittimi e attività dall'aspetto normale per rimanere nascosti. Vedere singoli avvisi non è sufficiente se i team non sono in grado di collegare le azioni in una progressione coerente.
Questa pagina spiega cos'è il comportamento degli aggressori, cosa non è, perché è importante oggi e come i team di sicurezza possono considerarlo in modo da supportare indagini più rapide e accurate.
Il comportamento degli aggressori si riferisce alle azioni e ai modelli utilizzati dagli aggressori durante lo svolgimento di un'intrusione. Gli attacchi moderni tendono ad essere processi complessi e multifase che si muovono tra cloud di identità, rete e cloud . Gli aggressori spesso cercano di nascondersi nel rumore legittimo del sistema mentre conducono ricognizioni, espandono l'accesso e lavorano per ottenere persistenza o accesso ai dati.
In pratica, il comportamento degli aggressori comprende attività di ricognizione interna come scansioni delle porte o enumerazione delle condivisioni di file, tentativi di stabilire una persistenza e tecniche che si confondono con le normali attività amministrative. Si tratta di una visione "globale" dell'intrusione, non di un singolo avviso o indicatore.
Il comportamento dell'aggressore viene spesso scambiato per segnali adiacenti che non hanno intenzionalità o progressione. Questi sono correlati, ma non sono la stessa cosa:
Gli esperti descrivono il comportamento degli aggressori come una progressione rapida e multifase che coinvolge identità, rete e cloud. Anziché considerare gli attacchi come eventi discreti, gli esperti sono incoraggiati a considerarli come un percorso continuo in cui l'aggressore si muove lateralmente attraverso ambienti quali Azure AD, M365 e reti tradizionali.
Una sfumatura fondamentale è la forte dipendenza dalle tecniche LOTL (living-off-the-land). Gli aggressori possono abusare di strumenti amministrativi come PowerShell, utilizzare l'API Graph o interagire con assistenti AI come Microsoft Copilot per accelerare la ricognizione e la scoperta dei dati. Spesso eludono il rilevamento attraverso modifiche sottili, come la creazione di account backdoor con nomi visivamente simili o la modifica delle politiche di accesso condizionale per trattare una posizione controllata dall'aggressore come affidabile.
Gli esperti distinguono anche tra minacce esterne e interne. Ad esempio, l'assenza di comportamenti di ricognizione può essere significativa. La mancanza di scansioni delle porte o enumerazioni prima di azioni dannose può indicare la presenza di un insider che conosce già l'ambiente.
Gli attacchi moderni sono rapidi, multi-dominio e difficili da interpretare quando i dati sono frammentati. Gli hacker più sofisticati possono ottenere persistenza e iniziare l'esfiltrazione dei dati entro 15 minuti dall'accesso iniziale, il che rende difficile affidarsi a flussi di lavoro di indagine manuali e lenti.
Allo stesso tempo, molti flussi di lavoro SOC richiedono ancora agli analisti di districarsi tra tabelle enormi, avvisi disgiunti e moduli o widget multipli. Ciò aumenta il carico cognitivo e rende difficile comprendere rapidamente la sequenza degli eventi, identificare il punto iniziale di compromissione e determinare il raggio d'azione di un incidente.
Scopri come 360 Response blocca gli attacchi ibridi in pochi minuti. Scopri come l'identità unificata, il dispositivo e il blocco del traffico consentono ai difensori di riprendere il controllo durante gli attacchi attivi.
Quando i team semplificano eccessivamente il comportamento degli aggressori, possono considerare i rilevamenti come eventi isolati anziché come una progressione collegata. Ciò può portare a una valutazione errata, a un mancato riconoscimento delle intenzioni e a una risposta ritardata.
Un errore tipico è quello di interpretare erroneamente i segnali di ricognizione. Una mancanza di ricognizione può essere interpretata come una "minaccia bassa", anche quando potrebbe indicare la presenza di un insider che conosce già l'ambiente. Un altro errore comune è quello di sottovalutare i movimenti multidominio. Se i team trattano una compromissione in un'area come contenuta, potrebbero non rendersi conto di come l'identità possa fungere da ponte verso altri cloud o verso i sistemi on-premise.
Il risultato è spesso un raggio d'azione sempre più ampio, un contenimento ritardato e una maggiore probabilità che gli aggressori raggiungano obiettivi quali l'esfiltrazione dei dati.
Il comportamento degli aggressori abbraccia diverse categorie tattiche, tra cui persistenza, elusione delle difese, individuazione, movimento laterale e accesso ai dati. Esempi di comportamenti includono:
Gli aggressori possono stabilire la persistenza tramite:
Gli aggressori possono ridurre il rilevamento o la telemetria tramite:
Gli aggressori eseguono comunemente ricognizioni e scoperte interne, tra cui:
Scopri come viene analizzato il comportamento degli aggressori nella pratica. Esplora l'anatomia di un attacco moderno →
Il comportamento degli aggressori non crea solo difficoltà di rilevamento, ma anche difficoltà di flusso di lavoro. Gli analisti spesso lavorano con dati frammentati, avvisi scollegati e segnali sparsi su più strumenti, che devono essere assemblati manualmente per capire cosa sta realmente accadendo.
Quando i team applicano un modello di prioritizzazione chiaro, le entità vengono classificate in base all'urgenza, tenendo conto del comportamento osservato degli aggressori e dei privilegi o dell'importanza dell'identità o dell'host colpiti. Ciò consente ai team di intraprendere azioni urgenti, come revocare le sessioni attive per attivare una nuova richiesta di autenticazione multifattoriale (MFA) o bloccare gli account, prima che l'attacco possa progredire ulteriormente.
Scopri come i team analizzano il comportamento degli aggressori nel contesto con la Vectra AI
Gli attacchi moderni si muovono attraverso identità, rete e cloud l'identità è diventata il ponte principale tra gli ambienti. Una volta compromessa un'identità, gli aggressori possono utilizzare l'accesso legittimo per muoversi lateralmente attraverso cloud e tornare ai sistemi locali. Trattare l'attività in un dominio come isolata può nascondere la reale portata e l'impatto di un'intrusione.
No. L'analisi del comportamento degli aggressori basata sull'apprendimento automatico non sostituisce i tradizionali strumenti di allerta o rilevamento. Gli strumenti tradizionali evidenziano singoli eventi o violazioni delle politiche, mentre l'analisi del comportamento si concentra su come le azioni si collegano e progrediscono nel tempo. È progettata per interpretare le intenzioni dell'aggressore dopo che l'accesso è avvenuto, soprattutto quando l'attività si confonde con il normale comportamento del sistema, piuttosto che sostituire completamente il rilevamento a livello di evento.
La diagnosi precoce si basa sull'identificazione dei comportamenti precursori piuttosto che sull'attesa dell'impatto. Ricognizione, modifiche dei privilegi e uso insolito degli strumenti nativi spesso si verificano prima della distribuzione del ransomware o dell'esfiltrazione dei dati. L'intelligenza artificiale aiuta a riconoscere questi comportamenti precoci come parte di una progressione, invece di trattarli come eventi isolati e di bassa priorità.
L'analisi del comportamento degli aggressori funziona collegando le azioni tra i vari domini in un unico percorso di attacco. Le identità compromesse spesso fungono da ponte tra gli ambienti, consentendo il movimento laterale dai cloud alle reti o ad altre piattaforme. Senza una correlazione tra i domini, i team potrebbero non rendersi conto di come l'attività in un'area possa avere un impatto altrove.
L'analisi comportamentale basata sull'intelligenza artificiale non elimina la necessità del giudizio umano. Non è in grado di determinare completamente l'intenzione in ogni scenario né di prendere decisioni definitive in merito all'attribuzione. Gli analisti devono comunque convalidare i risultati, interpretare il contesto e distinguere le attività dannose dalle tendenze innocue che assomigliano a comportamenti di attacco.