Perché la Velocità è Fondamentale nella Risposta agli Incidenti e nella Mitigazione – SentinelOne

I criminali informatici sono in continua evoluzione, sviluppano costantemente gli strumenti, le tattiche e le procedure (TTP) che utilizzano negli attacchi. Nel panorama delle minacce odierno, le aziende di ogni dimensione e settore si trovano a dover affrontare bande di criminali informatici professionisti, gruppi di minacce persistenti avanzate (APT) e persino attori di stati-nazione, che stanno tutti sfruttando metodi di attacco più rapidi che mai.

Oltre a sofisticati TTP e a modelli di criminalità-as-a-service sempre più organizzata, le aziende devono anche affrontare la realtà di quanto rapidamente le minacce attive possano trasformarsi in incidenti conclamati. La velocità, sia nella sicurezza informatica che negli attacchi informatici, è la metrica chiave a cui prestare attenzione in quanto definisce il successo dell'attaccante o del difensore.

Questo articolo di SentinelOne tratta il tema della velocità nel contesto dei moderni attori delle minacce, i loro metodi e il modo in cui i team di sicurezza aziendale possono ridurre secondi e minuti critici nei propri processi di rilevamento e risposta.

Gli Attori delle Minacce Sono sempre Più Veloci

La tecnologia è cambiata radicalmente solo negli ultimi anni, diventando più intelligente, più veloce e più avanzata. Mentre le aziende utilizzano i software e gli strumenti più recenti per promuovere le proprie attività, gli attori delle minacce hanno fatto lo stesso per migliorare i propri metodi di attacco.

Attacchi Ransomware

Secondo l’ultimo report M-Trends:

Il tempo di permanenza mediano globale - il tempo che segna l'inizio di un'intrusione e il momento in cui viene identificata - sta diminuendo di anno in anno. Soltanto 16 giorni di permanenza media per il 2022, questo può sembrare uno sviluppo positivo poiché gli attori delle minacce trascorrono meno tempo all'interno di un sistema dopo l'ingresso.

Tuttavia, il numero sempre più alto di attacchi ransomware alle aziende globali fornisce una buona indicazione del motivo per cui i tempi medi di permanenza sono in calo.

Sebbene parte della riduzione del tempo di permanenza sia attribuita a migliori capacità di rilevamento e risposta, il ransomware è diventato una pandemia digitale, prendendo di mira le vittime in tutti i settori verticali.

Dato il suo elevato potenziale di guadagno per un periodo di tempo di attacco relativamente breve, gli attacchi ransomware sono altamente redditizi e sono protetti da esperti di sicurezza per continuare a crescere sia in frequenza che in gravità.

Attacchi Download Drive-By

Come suggerisce il nome, i download drive-by sono furtivi, veloci e spesso avvengono prima ancora che la vittima sappia cosa sta succedendo. Questo tipo di attacco informatico viene impiegato dai criminali informatici per infettare il dispositivo di una vittima con malware a loro insaputa. In genere si verifica quando visitano un sito Web compromesso o fanno clic su un collegamento dannoso incorporato in un'e-mail o in una pubblicità.

L'attacco sfrutta quindi le vulnerabilità nei browser Web, nei plug-in o nei sistemi operativi, consentendo al malware di essere scaricato ed eseguito automaticamente sul dispositivo della vittima. I download drive-by richiedono solo il minimo indispensabile dell'interazione di una vittima, rendendoli un potente strumento per diffondere malware, impossessarsi di informazioni sensibili e ottenere l'accesso non autorizzato ai sistemi.

Scansione di Massa per le Vulnerabilità

Sulla base di nuove ricerche, i difensori della sicurezza devono affrontare una vera e propria corsa contro il tempo per correggere nuove vulnerabilità. I ricercatori hanno scoperto che gli attori delle minacce iniziano ad eseguire scansioni di massa su Internet per gli endpoint vulnerabili entro soli 15 minuti dalla divulgazione di una nuova vulnerabilità ed esposizione comune (CVE - Common Vulnerabilities and Exposures).

Gli attori delle minacce monitorano costantemente i bollettini dei fornitori e i canali di aggiornamento del software per gli ultimi annunci sulle vulnerabilità e le PoC che possono sfruttare nel loro prossimo attacco. Spesso, queste nuove vulnerabilità forniscono loro la capacità di eseguire il codice in modalità remota (RCE) e ottenere l'accesso alle reti aziendali.

La gestione delle patch è un'attività continua e, per molte organizzazioni, ardua che richiede ai team di sicurezza di cercare di tenere il passo con tutte le minacce e i problemi di sicurezza più recenti nei vari sistemi operativi. Poiché l'esecuzione di queste scansioni su Internet non richiede un set di competenze approfondite, anche i criminali di basso livello sono in grado di trarne vantaggio, a volte persino vendendo i risultati delle scansioni ad attori più esperti.

Exploit Zero-Day

Gli attori delle minacce stanno guadagnando slancio sulla velocità con cui possono sfruttare gli zero-day. In un recente Vulnerability Intelligence Report, i ricercatori hanno citato il tempo di sfruttamento come la metrica critica per i professionisti della sicurezza.

Negli ultimi tre anni, il tempo misurato tra la divulgazione e lo sfruttamento noto è diminuito costantemente, passando dal 30% delle vulnerabilità sfruttate entro una settimana nel 2020 al 56% entro un giorno nel 2022. Gli zero-day sono sfruttati più spesso per fornire l'accesso iniziale alle bande di ransomware.

Crescente Disponibilità di Strumenti Standard

A parte i gruppi Advanced Persistent Threat (APT), le bande di ransomware a tutti gli effetti e gli attori delle minacce nation-backed, i criminali informatici di basso livello stanno prendendo di mira le aziende a causa della crescente disponibilità di strumenti di hacking pronti all'uso. Questi strumenti, tra cui exploit kit, infostealer, scanner, password cracker e strumenti di simulazione degli attacchi, sono comunemente disponibili sui forum e sui mercati darknet e riducono significativamente la barriera al lancio di gravi attacchi informatici.

Poiché il mercato della vendita di strumenti prefabbricati continua ad espandersi, i criminali informatici con competenze tecniche scarse o nulle sono ora in grado di trovare e acquistare rapidamente script preesistenti per lanciare attacchi a sistemi e reti di computer.

Decifrare il Modo in cui gli Attori si Muovono nel Ciclo di Vita degli Attacchi Informatici

Sebbene gli attori delle minacce informatiche si stiano muovendo rapidamente, ci sono modi per le aziende di stare al passo e salvaguardare i propri dati e sistemi critici. Comprendere come gli attori si muovono prima e durante i loro attacchi consente ai difensori di mettere in atto le giuste protezioni.

- Fase di Pianificazione – Prima dell’attacco, gli attori delle minacce selezionano il loro obiettivo e lavorano per identificare gli aspetti sfruttabili delle loro operazioni. Questo si riferisce a qualsiasi tipologia come vulnerabilità senza patch, configurazioni errate, utenti amministrativi su dispositivi non protetti e altro ancora.

- Intrusione Iniziale – Sulla base dei risultati della fase di pianificazione, gli attori delle minacce adattano la loro tecnica di intrusione in base ai punti deboli delle loro vittime.

- Fase di Enumerazione – Una volta all'interno, gli attori delle minacce si muovono rapidamente per posizionarsi all'interno del sistema, comprendere i limiti delle loro attuali autorizzazioni e stabilire una stima dei privilegi di cui hanno bisogno per iniziare a spostarsi lateralmente. Il tempo è essenziale in questa fase in cui gli attori iniziano a stabilire il proprio punto d'appoggio e ad aggiornare il proprio accesso.

- Movimento Laterale – Utilizzando le nuove credenziali, gli attori sono in grado di diffondersi in profondità nel sistema interessato. Qui, il loro obiettivo principale è distribuire il proprio malware/set di strumenti, esfiltrando e crittografando i dati man mano che procedono.

- Completamento dell'Obiettivo – Dopo aver eliminato o danneggiato backup e file locali, gli attori si preparano a riscattare la vittima.

Sulla base del ciclo di vita dell'attacco informatico, le fasi di intrusione ed enumerazione aprono una finestra critica per un'azione proattiva da parte dei difensori informatici. Durante queste fasi iniziali, gli aggressori non si sono ancora infiltrati in profondità nella rete compromessa né si sono mescolati al normale traffico di rete.

Se un criminale informatico riesce ad arrivare alla fase di movimento laterale, il rilevamento diventa molto più impegnativo. Gli autori delle minacce utilizzano tattiche di evasione per evitare il rilevamento, integrandosi profondamente all'interno della rete. Le tecniche “living off the land” sono utilizzate più spesso in questa fase, sfruttando processi e strumenti legittimi già presenti nell'ambiente per rafforzare il loro punto d'appoggio.

Poiché l'intervallo di tempo tra l'intrusione e il movimento laterale si sta rapidamente riducendo man mano che gli attori delle minacce diventano più sofisticati e ben attrezzati, l'obiettivo principale per i difensori informatici è concentrarsi sul rilevamento dei primi segni di compromissione durante la fase di enumerazione e sull'isolamento della minaccia prima che possa causare danni significativi.

Gli Strumenti Autonomi Eliminano l’Attività di Triage

La gestione di una tale sfida, tuttavia, va spesso al di là delle risorse di un team di sicurezza incaricato di valutare manualmente una marea di alert e dati di eventi non contestualizzati. Ecco perché le soluzioni EDR e XDR autonome e basate sull'intelligenza artificiale sono i nuovi strumenti di riferimento per analisti, cacciatori di minacce e soccorritori di incidenti.

Uno strumento di sicurezza moderno come SentinelOne Singularity non solo si occupa in prossimità delle minacce malware note, dal rilevamento fino alla mitigazione e persino al rollback in caso di attacco ransomware che riesce a superare, ma fornisce anche al team IT dati contestualizzati per affrontare attacchi mirati.

Con l'arricchimento contestuale automatizzato da strumenti come Singularity XDR, i team “Incident and Response” possono trarre vantaggio dalle informazioni aggregate sugli eventi che combinano tutti i dati correlati raccolti da più strumenti e servizi in un singolo "incidente", senza aggiungere strumenti aggiuntivi o persone. Le integrazioni pronte all'uso e i meccanismi di rilevamento preimpostati nell'intero stack di sicurezza aiutano a migliorare la produttività, il rilevamento delle minacce e l'analisi forense.

L’Approccio di SentinelOne al Rilevamento e alla Risposta di Attacchi

Sebbene potenti, tali strumenti possono essere integrati dai servizi Managed Detection and Response per un livello di sicurezza ancora più elevato. Le organizzazioni di tutto il mondo si affidano al servizio Managed Detection and Response (MDR) di SentinelOne, Vigilance Respond, per impedire agli autori delle minacce di raggiungere la fase di movimento laterale negli attacchi.

Utilizzando SentinelOne Singularity, Vigilance Respond difende istantaneamente le reti dagli attacchi informatici e monitora gli ambienti dei clienti 24 ore su 24, 7 giorni su 7, 365 giorni l'anno, alla ricerca di minacce avanzate e fornendo tassi di tempo medio di risposta (MTTR) più rapidi.

Vigilance Respond fornisce una tecnologia di rilevamento della velocità della macchina gestita da analisti dedicati che lavorano 24 ore su 24. Consente inoltre alle organizzazioni di adattarsi istantaneamente e su larga scala al panorama delle minacce in continua evoluzione di oggi, colmando il divario tra intrusione e movimento laterale e neutralizzando l’attacco prima che possa iniziare a diffondersi in profondità nei sistemi di un bersaglio.

Vigilance Respond offre i seguenti servizi per garantire che le imprese siano salvaguardate:

  • Campagna di minaccia attiva a caccia di APT
  • Guida agli alert e alla risoluzione delle minacce emergenti
  • Triage basato sugli incidenti e ricerca
  • Monitoraggio, valutazione e risposta 24 ore su 24, 7 giorni su 7, 365 giorni l'anno
  • Valutazione della sicurezza (Vigilance Respond Pro)
  • Investigazione forense digitale e analisi del malware (Vigilance Respond Pro)
SentinelOne Vigilance Respond

In Conclusione

Nel campo della sicurezza informatica, la velocità è importante. Può essere il fattore decisivo tra contrastare con successo un attacco o subire danni sostanziali. Man mano che la tecnologia si evolve e gli attori delle minacce diventano più abili nello sfruttare le vulnerabilità, i leader aziendali stanno investendo in strategie incentrate su misure di risposta alla sicurezza informatica rapide e proattive.

In definitiva, la velocità nella sicurezza informatica consiste nell'essere un passo avanti rispetto agli avversari. Richiede un approccio proattivo, un monitoraggio continuo e informazioni sulle minacce in tempo reale. Dando la priorità alla velocità, le organizzazioni possono migliorare la loro capacità di rilevare, rispondere e mitigare le minacce informatiche, garantendo una posizione di sicurezza più solida e resiliente.

Scopri di più su come SentinelOne Singularity and Vigilance Respond possono aiutarti a salvaguardare la tua azienda contattandoci al (055) 538-3250 o inviando una mail a cio@florence-consulting.it. In alternativa, puoi compilare il form sottostante con la tua domanda.