Negli ultimi anni tecniche e strategie di attacco sono diventate disponibili a cyber criminali sempre meno esperti. Chi vive di malware ha imparato ad utilizzare anche schemi piramidali che permettono di avvantaggiarsi del lavoro di bassa manovalanza di “ragazzi” anche solo in grado di usare dei toolkit per poi fregiarsi del titolo di “hacker”.

E’ un’operazione che porta i suoi vantaggi. Spieghiamo. Si tratta spesso di kit di facile utilizzo per exploit sui servizi Ssh o sui server webmail. Tentativi replicabili con una certa facilità, che generano anche un rumore di fondo non indifferente che mette a dura prova l’attenzione sulla minaccia reale. I vertici piramidali del cybercrime lo sfruttano per indebolire le difese o “mascherare” meglio il vero tentativo di accesso alle reti aziendali magari già compromesse.

F-Secure – Su 200milioni di eventi in un mese, 15 saranno minacce reali. Gli esperti possono scovarle, permettendo di concentrarsi solo su ciò che conta

Questo scenario rappresenta semplicemente uno degli schemi possibili in grado di evidenziare i punti di debolezza delle organizzazioni con il fine – sempre quello – di guadagnare.
Il danno per l’azienda che non ha saputo individuare su due milioni di record di attività in un mese le 900mila effettivamente sospette, e poi le 15 veramente reali (questi i dati evidenziati da F-Secure),  non sarà invece solo finanziario, sarà un danno anche reputazionale, di brand.

In un recente contributo abbiamo spiegato le potenzialità e i benefici dell’approccio F-Secure e della proposta tecnologica in ambito Detection & Response.

Esperti di sicurezza che analizzano le minacce 24h24

Affianco alla tecnologia F-secure propone anche la sicurezza come servizio gestito. Parliamo proprio di un servizio “managed” di rilevamento e risposta ai cyber attacchi mirati.
Laddove expertise, skill e competenze possono rappresentare un problema, F-Secure mette a disposizione il suo team di identificazione delle minacce in grado di “preparare” l’azienda agli eventi, a quello che può accadere prima, permettendole di identificare i pericoli, e rispondervi.

F-Secure Rapid Detection & Response Service evidenzia e mette a disposizione un numero di rilevamenti già filtrati e quindi più accurati, scremato, permettendo all’organizzazione di rispondere alla minaccia reale secondo le indicazioni degli esperti.

Come funziona Rapid Detection & Response Service

F-Secure Rapid Detection & Response Service

I ricercatori di F-Secure controllano e monitorano l’ambiente tutti i giorni dell’anno, 24h su 24h. Entro un termine massimo di 30 minuti, dal primo rilevamento della violazione, si è in grado di rispondere come stabilisce il Service Level Agreement e sono gli esperti F-Secure ad offrire la guida pratica per la risposta alla minaccia in atto.

Spieghiamo in dettaglio. Le anomalie rilevate vengono sottoposte ai cercatori di minacce di F-Secure Rapid Detection & Response Center, che operano senza soluzioni di continuità per verificarle e filtrare i falsi positivi. Tre sono i ruoli di esperti che entrano in gioco.

Agenti in “prima linea” che monitorano il servizio, ricercano le minacce e tengono il contatto con il personale in azienda; agenti che rispondono agli incident aiutano i clienti quando non sono in grado di gestire da soli l’imprevisto, e infine gli esperti forensi in ambito security per i casi più difficili e nel caso di attacchi sferrati da altri Paesi. 

Se un’anomalia costituisce una minaccia si riceve l’alert entro mezz’ora. Sono poi i ricercatori a proporre i passaggi necessari per contrastare e correggere la minaccia, forniranno inoltre anche le informazioni dettagliate sull’attacco, che saranno da utilizzare poi nelle successive fasi forensi. Quando l’azienda non dispone delle competenze necessarie al suo interno può contare sull’assistenza del servizio di risposta agli incidenti on-site, come spiegato.

L’expertise nella detection, il valore della reportistica

Proviamo ad immaginare uno schema tipico di cosa accade. In un contesto che può generarsi proprio come abbiamo descritto in apertura gli hacker cercano di accedere all’infrastruttura bersaglio, magari utilizzando una combinazione di strumenti, quindi tentano un accesso ai dati o di prendere il controllo dei database. Sfruttano per farlo gli strumenti esistenti degli amministratori IT nei diversi Os (anche di Linux), nelle power shell, nei servizi di gestione remota.

F-Secure Rapid Detection & Response Service prevede l’utilizzo di sensori per il rilevamento delle intrusioni sugli endpoint (anche in rete e sui server), il servizio basato su cloud ricerca eventuali anomalie con una combinazione di tecnologie avanzate (big data, e analisi reputazionale) e scova così le minacce effettivamente pericolose anche nel caso in cui siano state esperite tattiche di evasione progettate ad hoc per eludere i metodi di rilevamento. 

I sensori sono strumenti di raccolta dati che richiedono poca manutenzione e progettati anche per funzionare in ambienti conformi allo standard PCI-DSS (Payment Card Industry Data Security Standard).

Per quanto riguarda invece la sensoristica cosiddetta di rete ed esca che sarà utilizzati nei segmenti della rete, essa agisce come honeypot per identificare le attività post-violazione. Emula i servizi di rete più utilizzati come Http, Smb, Ssh, ma anche server Voip e file server, e analizza i tentativi di connessione in entrata e in uscita dalla rete, con la registrazione del traffico e l’analisi di cosa arriva nel sistema.

Da qui parte la fase di reporting che prevede gli alert entro 30 minuti e l’utilizzo di una dashboard con tutti gli avvisi corrispondenti alle minacce reali, a quelle sospette, già esaminate dai ricercatori. In questo modo la risposta alle minacce sarà più rapida e il processo di rilevamento più efficace. Dalla dashboard si dispone infatti anche della visibilità su host e sensori. 

C’è un passaggio successivo, e per nulla scontato. I dati raccolti dai sensori e sulle infrastrutture dei clienti vengono trasmessi su canali crittografati e archiviati in server protetti e situati fisicamente entro i confini europei. L’accesso sarà possibile solo agli utenti autorizzati e per gli scopi autorizzati. I dati raccolti non vengono mai condivisi con altri clienti.

Non perdere tutti gli approfondimenti della Criminal Room

© RIPRODUZIONE RISERVATA