La difesa avanzata dalle minacce richiede un approccio su più fronti

L’evidenza è chiara che, nonostante l’espansione degli investimenti nella sicurezza informatica, le minacce informatiche sofisticate hanno sempre più successo. Marchi domestici come Uber e Apple, fornitori di servizi essenziali come Colonial Pipeline e persino interi stati nazionali sono vittime di attacchi informatici che eludono i controlli migliori. Al di là dei titoli dei giornali, anche gli attacchi stanno crescendo a spirale. Più di una volta al minuto, team di sicurezza di talento e ben finanziati vengono lasciati a raccogliere i pezzi dopo che la loro presunta difesa dalle minacce avanzata è stata violata.

Fare clic per scaricare il white paper: Zero Trust + Moving Target Defense - The Ultimate Ransomware Strategy

Un filo conduttore che collega gli attacchi informatici di oggi è quanto siano incredibilmente dirompenti. Le minacce ora permangono nelle reti delle vittime più a lungo che mai. Tempo di permanenza dell’attaccante aumentato del 36 per cento tra il 2020 e il 2021. E le brecce hanno un raggio di esplosione molto più grande di prima.

Di conseguenza, disporre di una strategia efficace per fermare le minacce avanzate non è mai stato così importante.

Come funzionano le minacce avanzate

Molto tempo fa, anche i virus informatici più elementari erano minacce avanzate. Con poco per fermarli, malware come il worm ILOVEYOU potrebbe compromettere decine di milioni di computer all’inizio degli anni 2000. In risposta, sono stati creati programmi antivirus (AV) per proteggere da queste minacce. Hanno lavorato sulla premessa di individuare e isolare file, comportamenti e allegati dall’aspetto pericoloso all’interno di un ambiente di rete protetto.

Gli attori delle minacce si sono evoluti in risposta, con attacchi come WANNACRY, Petya e NotPetya considerati minacce avanzate a diffusione automatica. In risposta, l’antivirus di nuova generazione (NGAV) si è evoluto. Così le minacce hanno risposto. Il ransomware avanzato è ora offerto come servizio (RaaS). Il malware open source è sfruttato dalla comunità degli hacker. E gli attacchi alla catena di approvvigionamento come SolarWinds e Kaseya si stanno rivelando particolarmente devastanti.

I programmi antivirus sono bravi in ​​quello che fanno

I moderni stack di sicurezza basati su tecnologie come le piattaforme di protezione degli endpoint (EPP) e il rilevamento e la risposta degli endpoint (EDR) funzionano in modo simile ai primi programmi antivirus. Queste tecnologie sono migliori nel trovare e fermare le minacce rispetto alle loro prime controparti. Ma operano secondo lo stesso concetto di “cerca e distruggi”. Pertanto, una tipica posizione di sicurezza a livello aziendale si basa quasi esclusivamente sull’individuazione e sull’isolamento delle minacce note negli ambienti di disco e di rete.

Questi controlli di sicurezza fondamentali e soluzioni basate su firme, modelli e intelligenza artificiale sono ancora essenziali. Ma non bastano più a creare una vera sicurezza. Oggi, le minacce più pericolose sono progettate per aggirare ed eludere gli strumenti di sicurezza informatica.

Le minacce avanzate non compaiono sui radar della maggior parte delle soluzioni di sicurezza finché non è troppo tardi, se non del tutto. Usano le stesse applicazioni che fanno gli amministratori di sistema legittimi per sondare le reti e spostarsi lateralmente.

La difesa avanzata dalle minacce richiede un approccio su più fronti

Versioni crackate di strumenti del team rosso come Cobalt Strike consentono agli attori delle minacce di prendere di mira i processi legittimi memoria del dispositivo. Questi strumenti consentono agli aggressori di cercare password e bug sfruttabili presenti nella memoria quando viene utilizzata un’applicazione legittima. E si nascondono dove i difensori non possono scansionare in modo efficace, nella memoria durante il runtime dell’applicazione.

Di conseguenza, le minacce avanzate ignorano sia le soluzioni di sicurezza basate sulla scansione, che non possono esaminare la memoria durante il runtime, sia i controlli come la lista consentita. Secondo un recente rapporto Picusil 91% degli incidenti ransomware DarkSide ha utilizzato strumenti e processi legittimi.

Vivendo “fuori dalla terra” in memoria durante il runtime, le minacce avanzate possono anche sopravvivere a riavvii, riformattazioni del disco e tentativi di reinstallare il sistema operativo del dispositivo.

Questi attacchi sofisticati erano qualcosa che solo gli attori delle minacce sostenuti dallo stato potevano fare. Oggi, invece, sono comuni. Le distribuzioni hackerate di Cobalt Strike consentono agli attori delle minacce di prendere di mira la memoria delle loro vittime in modo economico e semplice. L’anno scorso, tre dei primi cinque tecniche di attacco che coinvolgono la memoria del dispositivo.

Memoria del computer

Come fermare le minacce avanzate

Le minacce avanzate stanno sfruttando un’evidente lacuna di sicurezza nella tipica posizione di sicurezza aziendale: la memoria del dispositivo. Ma possono essere fermati.

A lungo termine, il modo migliore per evitare che le minacce compromettano la memoria sarebbe creare migliori difese nelle applicazioni e nei dispositivi. Gli sviluppatori di software possono fare di più per creare mitigazioni agli exploit della memoria. Possono rendere più difficile per gli attori delle minacce sfruttare gli stessi strumenti utilizzati dagli amministratori di rete legittimi.

Ma fintanto che le applicazioni creano e integrano nuove funzionalità (e invariabilmente creano bug), sarà possibile il danneggiamento della memoria. Ciò è particolarmente vero per i milioni di dispositivi e applicazioni legacy che continueranno a funzionare all’interno degli ambienti IT anche in futuro.

Sistema legacy floppy diskIn questo momento, la cosa migliore che i team di sicurezza possono fare per fermare le minacce avanzate è in primo luogo aggiungere controlli che impediscano l’accesso alla memoria del dispositivo:

  • Costruisci una difesa in profondità. Nessun controllo o soluzione può proteggere un’organizzazione dalle minacce avanzate. I team di sicurezza devono creare ridondanza su ogni livello dall’endpoint ai server business-critical.
  • Implementa zero trust. Il concetto di zero trust ha più di 47 anni. Eppure rimane un obiettivo sfuggente per la maggior parte delle imprese. Secondo a recente studio Forresterle organizzazioni che implementano zero trust riducono del 50% le possibilità di violazione dei dati.
  • Proteggi la memoria del dispositivo con la tecnologia Moving Target Defense (MTD).. Non puoi scansionare in modo efficace la memoria del dispositivo durante il runtime. Ma puoi rendere le risorse di memoria come le password invisibili agli attori delle minacce. Utilizzare una soluzione che utilizzi MTD per trasformare (randomizzare) la memoria, rendendo impossibile per le minacce trovare i propri obiettivi.

Gli hacker non riescono a trovare obiettivi invisibili

Costruisci una difesa avanzata dalle minacce con MTD

Soluzioni come NGAV, EPP ed EDR rimangono una parte vitale della strategia di sicurezza di qualsiasi organizzazione. Sono essenziali per fermare la maggior parte delle catene di attacco che mostrano firme riconoscibili e modelli comportamentali.

Tuttavia, con l’aumento degli attacchi zero-day, delle minacce in memoria e dei metodi di attacco fileless, questi strumenti lasciano ai difensori una lacuna critica nella sicurezza. È urgente una soluzione diversa per difendere efficacemente i vettori di attacco che queste minacce avanzate prendono di mira. Uno che impedisce la compromissione della memoria e blocca le minacce invisibili in precedenza.

Entra in Moving Target Defense (MTD). Citata da Gartner come una delle tecnologie emergenti di maggior impatto, MTD crea una superficie di attacco in memoria imprevedibile. Ciò rende impossibile per le minacce trovare le risorse che cercano, non importa quanto sofisticate siano. Altrettanto importante, la tecnologia MTD si integra perfettamente con altre soluzioni di sicurezza informatica, è facile da implementare e scalabile. Per saperne di più su questa tecnologia rivoluzionaria, leggi il white paper:Zero Trust + Moving Target Defense: la strategia definitiva contro il ransomware.

White paper sulla difesa del bersaglio mobile

Leave a Comment

Your email address will not be published. Required fields are marked *