I cybercriminali adottano sempre più spesso tecniche di attacco avanzate, che i tradizionali antivirus non sono in grado di rilevare. Impariamo a conoscere queste minacce e scopriamo come un approccio sistemico di advanced detection sia la strategia di difesa più efficace.

 

Negli ultimi anni l’incremento di investimenti per la cybersicurezza in azienda, unito a tecnologie di protezione sempre più avanzate, ha costretto i cybercriminali a cercare nuovi metodi di attacco per violare i sistemi di sicurezza interni: tecniche che fossero allo stesso tempo più efficaci e meno dispendiose.

Oggi i tradizionali prodotti di sicurezza IT, come antimalware e firewall, sono in grado di neutralizzare gli attacchi basati su signature: questo tipo di attacco è infatti una minaccia nota, che può essere rilevata e bloccata in modo automatico. Ben consapevoli di ciò, i criminali informatici decidono di sviluppare attacchi mirati in grado di bypassare i sistemi tradizionali.

Questi attacchi vengono spesso condotti senza l’utilizzo di alcun software malevolo, per questo sono conosciuti come attacchi fileless. Utilizzano tecniche chiamate LotL – Living Off The Land: con questo approccio gli attaccanti possono sfruttare qualsiasi strumento già installato e in uso nel sistema della vittima, considerato dunque legittimo e affidabile.

Il vantaggio per i criminali è doppio:

  1. tali azioni sono faticosamente distinguibili da quelle eseguite dal reparto IT aziendale: essendo difficilmente identificabili, possono agire indisturbati a lungo senza timore di essere individuati;
  2. nel caso venissero scoperti, l’approccio LotL rende difficile attribuire l’attacco a uno specifico gruppo, perché le tecniche e gli strumenti utilizzati sono tutti molto simili. 

Scopri come difenderti dagli attacchi mirati

I tuoi endpoint sono protetti in modo adeguato?

Attacchi mirati avanzati: come riconoscerli

Gli attacchi informatici mirati, in cui i cybercriminali violano gli strumenti dei sistemi operativi esistenti, sono sempre più comuni. Secondo la ricerca 2020 State of Endpoint Security del Ponemon Institute, nei prossimi 12 mesi ci si aspetta che gli attacchi fileless rappresentino il 41% degli attacchi informatici.

I criminali informatici preferiscono questa modalità di attacco perché, oltre a essere discreta e quasi invisibile, è più economica. Infatti i sistemi operativi contengono al loro interno tutto quanto necessario per essere attaccati, senza ricorrere a malware.

Tra le tecniche più comuni negli attacchi informatici di questo tipo troviamo:

  • Attacchi che agiscono sulla memoria (Memory only attacks): viene colpita direttamente la memoria del computer e vengono eliminati in modo sicuro gli elementi presenti sul disco rigido (anche per attacchi multilivello), così da ostacolare le attività di digital forensics
  • Attacchi persistenti (Fileless persistence): è possibile nascondere uno script malevolo nel registro che rende persistente la minaccia anche dopo il riavvio
  • Attacchi che sfruttano strumenti legittimi (Dual-use tools): gli strumenti utilizzati abitualmente dal dipartimento IT e dagli esperti di sicurezza informatica sono adoperati con scopi malevoli, per esempio eseguendo attività interattive simili a quelle compiute durante un penetration testing, anche in combinazione con script (PowerShell)
Tipi di attacchi mirati fileless

Le fasi di un attacco mirato

Come agiscono gli hacker per mettere a segno un attacco mirato? Il loro obiettivo è quello di rubare informazioni e lucrare su queste in un secondo momento. Per fare ciò pianificano una strategia a lungo termine, che di solito comprende le seguenti fasi:

  • Raccolta informazioni: Gli attaccanti scelgono un obiettivo preciso, di solito all’interno di un settore specifico, studiandolo nei minimi dettagli
  • Punto di ingresso: Identificano la tecnica migliore per entrare nel sistema tra social engineering, spear phishing, vulnerabilità zero-day, etc.
  • Command-and-control: Si assicurano un canale di comunicazione per eseguire le attività malevole all’interno del sistema
  • Lateral movement e scoperta dei dati: Esplorano la rete cercando le informazioni di maggior valore. Continuano a spostarsi per permanere all’interno del sistema in incognito.
  • Esfiltrazione di dati: Trasferimento delle informazioni di valore in un luogo che gestiscono gli attaccanti.

Se dal lato criminale le attività elencate richiedono l’impegno attivo di professionisti con un elevato livello di esperienza, non può essere diverso per la strategia di difesa in azienda. È necessario il supporto di adeguate tecnologie, ma soprattutto di competenze, per proteggere i sistemi aziendali e rispondere in modo puntuale e coordinato a questo tipo di attacchi. Come fare?

 

Contrastare gli attacchi avanzati: un approccio sistemico alla protezione

Le minacce derivanti da attacchi mirati, richiedono un ulteriore livello di rilevamento basato su una protezione avanzata degli endpoint EDR e threat hunting manuale, eseguito da professionisti.

Non è più sufficiente la sola protezione preventiva degli endpoint, con antivirus o più in generale piattaforme di endpoint protection (EPP). A queste è necessario affiancare soluzioni di endpoint detection and response (EDR), in grado di ampliare la visibilità sul perimetro da proteggere, e quindi rilevare e rispondere proattivamente alle minacce che sono sfuggite ai controlli tradizionali.

 

Approccio sistemico alla protezione avanzata degli endpoint

Adottare un approccio sistemico alla protezione degli endpoint è l’unica soluzione.

  1. I tradizionali strumenti di rilevamento e prevenzione, attivati prima della compromissione, vanno mantenuti
  2. E combinati con un processo interattivo post-compromissione di endpoint detection, mirato alla ricerca proattiva di nuove minacce, non rilevate dai tool automatizzati. La ricerca è basata su indicatori di attacco e compromissione.
  3. Infine, per rispondere in modo rapido alle minacce, occorre adottare efficaci pratiche di incident response coordinate da un team di esperti, assegnando i processi di investigation e triage degli incidenti a un SOC come quello di Matika. 

Vuoi capire come implementare un approccio sistemico alla protezione nella tua azienda?

Scopri la protezione avanzata degli endpoint nel nostro webinar

Matika per la sicurezza sceglie Kasperky
Share This