“Crowdstrike nasce sulla base della convinzione per cui oggi non è possibile fermare tutti gli attacchi, ma è possibile invece impedire la compromissione. Il numero di attacchi che ogni realtà si trova a sostenere è legato all’esposizione ad una serie di fattori, e a condizioni esterne non tutte controllabili; l’obiettivo deve essere trovare una soluzione per evitare che le aziende vedano violati dati e sistemi e siano compromesse”.
Così Stefano Lamonato, solution architecture manager, Europe Channel & Mssp di Crowdstrike in Italia, mette a fuoco il punto cardine della strategia aziendale, in occasione della presentazione del Global Threat Report 2021 di Crowdstrike. “L’analisi di grandi quantità di dati non filtrate – prosegue Lamonato – rende possibile valutare ed individuare nuovi trend, nuove minacce e nuovi eventi per correre più velocemente ai ripari e la possibilità di farlo in cloud fa la differenza. Proprio lo spostamento del baricentro della cybersecurity in cloud contraddistingue la proposizione di Crowdstrike, dal 2011″.
Le aziende oggi disperdono non poche energie e denaro nel mantenere efficienti apparati e appliance, sempre più complessi da gestire, con uno spreco importante di risorse umane che dovrebbero invece essere impegnate “a rispondere agli incident e a fare reale sicurezza”. E’ evidente come il cloud faciliti il compito e come un’infrastruttura di sicurezza gestita sulla nuvola consenta effettivamente di mantenere “on-premise” i task a valore: la gestione delle policy, l’analisi degli incident e la remediation – come sceglie di fare la maggior parte delle aziende -. Con la certezza comunque di poter seguire una strategia “sicura” anche quando mancano le risorse “in casa” per esempio affidandosi ai Mssp.
Crodwstrike, posizionata nel quadrante in alto a destra di Gartner, nel comparto Endpoint Protection Platform, ha reso agile la protezione degli endpoint a partire dallo sviluppo di un agent snello, praticamente trasparente, per quanto riguarda l’impatto sulle prestazioni dell’endpoint (meno dell’1% di risorse Cpu impegnate). Soprattutto ha lavorato allo sviluppo di una piattaforma nativa in cloud, in grado di espandere le capacità di protezione anche verso terze parti sfruttando lo stesso unico agent.
Installato l’agent un’unica volta, “tramite il cloud è possibile l’integrazione tra Crowdstrike ed i servizi di altri provider di sicurezza per sfruttare i dati raccolti con l’agent ed estendere così le capacità di protezione anche quando la proposta Crowdstrike non contempla specifiche soluzioni sviluppate internamente”. I modelli di analisi basati su ML e studio del comportamento delle minacce sono un altro elemento differenziante l’approccio Crowdstrike. L’azienda ha di fatto abbandonato il modello basato sulle signature e “la raccolta delle telemetrie dagli endpoint, processata in cloud, consente al team Crowdstrike di individuare i comportamenti malevoli e nel più breve tempo possibile valutare i meccanismi per bloccare in modo specifico quelli non “consentiti””.
Threat Graph è il motore che lavora dietro alla piattaforma di protezione degli endpoint e raccoglie e mette a disposizione le informazioni ricavate da 5mila miliardi di eventi a settimana da 176 nazioni diverse. Le capacità di smart filtering adattative, per ricavare dati di alta qualità, consentono quindi all’azienda di valutare le telemetrie di funzionamento dei sistemi (log, apertura di applicativi, processi), tracciando le correlazioni tra applicazioni attive e applicazioni con cui si interagisce. “Quando il sistema rileva delle anomalie – spiega Lamonato – “espande” le sue capacità di analisi, raccoglie altri elementi di contesto, fino al caso eventuale di rilevamento di una compromissione, per cui il sistema raccoglie a quel punto tutti i dati possibili per comprendere cosa accade”. Le informazioni convergono quindi in un unico cloud che in tempo reale le analizza e le processa per restituire informazioni di supporto operativo. Crowdstrike inoltre affianca risorse specifiche di threat hunting per migliorare la detection. Con il team che opera per comprendere e capire le compromissioni di alto profilo e l’utilizzo eventuale di tecniche nuove da parte degli attaccanti, che puntano a rimanere nascosti ed operare senza essere individuati.
Il team di threat intelligence traccia attivamente oltre 149 gruppi di attaccanti e li studia per struttura, modalità di scambio delle informazioni con altri gruppi, fornitura di servizi a gruppi terzi, fornendo una fotografia completa di tutto l’ecosistema in ambito ecrime, nation-state e hacktivism. Solo nell’ultimo anno Crowdstrike ha riconosciuto così 19 nuovi gruppi di attaccanti, individuati sulla base di pattern ricorrenti. Per offrire la migliore risposta agli incident, Crowdstrike dispone infine di un team ad hoc di incident responder che viene attivato dai clienti (sono circa 9.900 a livello globale con subscription attiva) per la risoluzione effettiva dei problemi, una volta verificatasi la compromissione.
L’unione di tutti questi elementi, declinati poi nei servizi a portafoglio, e le competenze dei team – sulla scorta di una tecnologia che offre visibilità estesa – rappresentano quindi i punti di forza dell’approccio Crowdstrike la cui proposizione si adatta alle aziende di qualsiasi dimensione ed oggi è in grado di offrire “in un minuto la detection dell’attacco, in dieci minuti l’analisi completa e le prime attività di remediation ed in 60 minuti la chiusura degli incident ed il ripristino dell’operatività dell’endpoint, non solo workstation e server ma anche virtual machine, container, ambienti cloud e ibridi, mobile e ambienti IoT“.
Global Threat Report 2021
Il 2020 davvero è facile immaginare come possa aver rappresentato un anno “unico” per quanto riguarda la cybersecurity. Nel 2020, 4 intrusioni su 5 sono state portate a termine dall’ecrime. La pandemia è stata sfruttata a diversi livelli: in primis per lo spostamento delle attività aziendali fuori dal “perimetro” aziendale. Sono cambiati gli “schemi” di protezione necessari da adottare e non tutte le aziende si sono fatte trovare pronte. “E Crowdstrike – spiega Lamonato –ha letto un’esplosione degli attacchi attribuibili all’ecrime che ha puntato a sfruttare campagne ad hoc basate sui temi legati a Covid-19 per carpire l’attenzione degli utenti, penetrare nelle aziende, e quindi poi sfruttare le potenzialità degli ecosistemi di attacco connessi”. In primis, per esempio, con campagne di ransomware ad impatto immediato (ma anche la eventuale sottrazione e pubblicazione dei dati sottratti, su siti specializzati in data leak).
Alcuni gruppi hanno sfruttato gli accessi guadagnati sulle macchine a scapito delle vittime mettendo in vendita gli accessi a gruppi di terze parti, o pensato ad attacchi ad impatto ancora più esteso. Altri hanno creato addirittura strategie uniche di rilascio dei dati sottratti, magari con pubblicazioni programmate nei flussi dell’economia underground. Il mondo dell’ecrime si è rivelato molto attivo anche perché diverse realtà – “big game hunt” – hanno sviluppato attacchi sofisticati dall’interno delle aziende e, attraverso la sottrazione di credenziali valide, sono riusciti a collegarsi ai sistemi di gestione dei domini distribuendo ransomware su un numero molto più esteso di sistemi. La CrowdStrike Intelligence ha identificato almeno 1.377 infezioni da big game hunting uniche nel corso del 2020, famiglie di enterprise ransomware che puntano ad attacchi di elevato valore e che hanno dominato l’ecosistema degli abilitatori dell’ecrime nel 2020.
Prosegue Lamonato: “Oggi gli attaccanti sono sempre più nascosti. Cercano di celarsi dietro la normale attività cercando di limitare l’utilizzo del malware ove possibile proprio per non essere rilevabili ed agire indisturbati”. E la sanità, in relazione alla pandemia, ha rappresentato bersaglio d’elezione. “Ma mentre alcuni gruppi hanno dichiarato che avrebbero rilasciato gratuitamente le chiavi di cifratura in caso di attacco ransomware a strutture sanitarie dedicate alla cura delle persone, le aziende farmaceutiche – così come quelle di ricerca – sono state prese di mira con severità, perché una compromissione di queste aziende, in un momento di crisi, avrebbe più facilmente portato ad accettare il pagamento del riscatto considerata l’importanza di ripartire velocemente”.
Il volume degli attacchi complessivi nel 2020 di fatto è più che raddoppiato rispetto al 2019, e Crowdstrike sottolinea come quelli ad alta sofisticazione – tratto tipico degli attacchi nation-state – siano cresciuti a loro volta, rispetto al 2019. Il tracciamento degli attori (monitorati nello specifico Cina, Nord Corea, Russia e Iran) ha evidenziato proprio la componente legata a Covid-19 tra i pattern ricorrenti. Con una sottolineatura importante: oggi riuscire nell’attribuzione degli attacchi è parte stessa della strategia di difesa, e rappresenta uno degli ambiti più sfidanti per la cybersecurity.
Tutti i gruppi hanno evidenziato forte interesse nel raccogliere informazioni legate all’andamento della pandemia, alle eventuali misure governative a supporto dell’economia, e alle informazioni relative all’utilizzo delle risorse per la ricerca sul vaccino. Il Paese che supera le criticità legate alla pandemia per primo, infatti, uscirà anche dalla crisi. Ed è evidente come disporre di informazioni critiche al riguardo rappresenti un importante vantaggio.
Anche nel corso di quest’anno, tecnologia, ricerca e sviluppo, healthcare e insurance, lo sviluppo delle città (urban planning), in relazione al superamento della crisi, rappresenteranno quindi ambiti di interesse strategico.
Con alcuni tratti caratterizzanti, a seconda dei Paesi; per esempio la Corea del Nord, sotto embargo, ha sofferto per le difficoltà nel reperimento dei capitali per gli investimenti, “da qui i tentativi di raccogliere criptovalute per disporre del capitale necessario ad operare su mercati non controllati”. In Corea del Nord in verità si è assistito letteralmente ad una “tempesta perfetta”: chiuse le barriere con la Cina, con il calo conseguente di approvvigionamenti alimentari e per una serie di fenomeni climatici avversi, il Paese si è trovato al centro di una serie di criticità, da qui i tentativi dei gruppi nazionali Nord Coreani di compromissione massiva delle aziende che sviluppano innovazione tecnologica per il mondo agricolo, a colmare il gap.
Un’evidenza importante per quanto riguarda la supply chain degli attacchi è invece il caso di Solarwinds. L’azienda sviluppa software per il monitoraggio dei sistemi, è stata compromessa e gli attaccanti sono riusciti a modificare il codice della piattaforma Orion per cui tutti i clienti dell’azienda, utilizzatori di Orion, sono diventati potenziali target. Un esempio che indubbiamente può fare scuola.
I consigli di Crowdstrike
Crowdstrike sottolinea l’importanza della visibilità come primo punto (sia a livello di endpoint, come a livello cloud), quindi è vitale riportare l’attenzione su verifica e protezione di identità e accessi, secondo un approccio zero trust. Gli attaccanti spesso utilizzano credenziali valide per muoversi poi in modo indisturbato, ma sarebbe possibile limitarne gli spostamenti in orizzontale con una strategia di protezione idonea.
L’intelligence è a sua volta area di investimento chiave per capire il comportamento degli attaccanti; così come threat hunting è importante per verificare la presenza di attaccanti effettivamente attivi all’interno dell’infrastruttura. Servono certo esperti e competenze, ma anche processi ad hoc. Non è infine oggi possibile pensare ad una policy aziendale efficace di sicurezza che non consideri il lavoro da remoto e che non tenga come prioritario il fattore tempo, la velocità.
Nel 2020 il tempo medio di breakout (cioè il tempo necessario a un nemico informatico per entrare in un punto di accesso all’interno di un’organizzazione) è stato di 4 ore e 28 minuti, con una riduzione significativa rispetto al 2019, quando il tempo medio era di circa 9 ore. Conclude Lamonato: “In un mondo sempre più in accelerazione è importante puntare l’attenzione sulla velocità con cui riusciamo ad identificare, analizzare e rispondere agli attacchi. Più si è veloci più si limiteranno le possibilità per l’attaccante. La regola 1-10-60 (un minuto per la detection, dieci per l’analisi e 60 per la remediation, appunto) è un obiettivo per tutti, in primis un riferimento per i Ciso. Gli attacchi sono inevitabili, la compromissione si può evitare e la velocità di reazione è parametro fondamentale per riuscirci”.
© RIPRODUZIONE RISERVATA
