Le minacce informatiche crescono: avere una strategia di threat detection Zero Day diventa necessario. Cesar Cid de Rivera, International VP of Systems Engineering di Commvault, ci spiega le ragioni dietro questa esigenza e quali strategie di rilevazioni sono più efficaci.
Zero Day, serve una strategia per rilevare le minacce
Cesar Cid de Rivera ci spiega che, con il crescente aumento delle minacce informatiche sofisticate e potenzialmente distruttive, le aziende devono prendere seriamente in considerazione una revisione profonda delle loro strategie di difesa per proteggere i dati. Il rapporto Clusit 2023 ha evidenziato come l’Italia sia sempre più nel mirino dei cyberattaccanti.
Nel 2022 sono stati registrati 188 attacchi nel nostro paese, con un impressionante aumento del 169% rispetto all’anno precedente. Questi dati allarmanti dimostrano l’importanza di rafforzare le misure di sicurezza e protezione informatica.
Inoltre, gli attacchi stessi stanno diventando sempre più complessi. Gli script e i payload pericolosi utilizzati durante le sequenze offensive costituiscono quasi il 90% delle tattiche di attacchi crittografati bloccati nel 2022. Questo significa che gli hacker stanno mettendo a punto nuove tecniche per aggirare i sistemi di sicurezza e infiltrarsi nelle reti aziendali.
Proteggere reti senza più confini con la Cyber Deception
Proteggere reti che non conoscono confini sta diventando una preoccupazione crescente e sempre più urgente. Molti team IT non dispongono ancora di strumenti in grado di coprire l’intero patrimonio di dati e di rilevare gli attacchi ransomware in una fase abbastanza precoce da evitarne il successo. Le minacce zero-day, ovvero i punti deboli o le vulnerabilità sfruttate o vendute dagli attaccanti, costituiscono una sfida sempre più impegnativa da affrontare.
Per contrastare efficacemente gli attacchi informatici e fornire una risposta tempestiva sta emergendo la cyber deception, ovvero l’inganno informatico. Questo approccio consiste nell’adottare contromisure che confondono e depistano gli attaccanti. Inducendoli a credere di aver accesso a dati sensibili o a reti vulnerabili quando in realtà stanno cadendo in trappola.
Acquista con REVOLUT, il tuo conto online direttamente da casa tua. Scopri di più.
La cyber deception funziona creando un ambiente di falsa realtà all’interno della rete aziendale. Vengono creati documenti, file e informazioni fittizi, apparentemente autentici, che attirano l’attenzione degli hacker e li indirizzano verso zone specifiche della rete. Questi falsi dati sono progettati per sembrare autentici e convincenti. Ma in realtà non rappresentano alcun rischio per la sicurezza dell’azienda.
I rischi delle minacce Zero Day
Le vulnerabilità zero-day sfruttano una vulnerabilità di cui né gli utenti né gli sviluppatori sono a conoscenza. In queste circostanze, il sistema risulta indifeso e la compromissione potrebbe rimanere nascosta per mesi, finché l’organizzazione colpita non la rilevi e reagisca. Un esempio di attacco basato su vulnerabilità zero-day è quello portato alla supply chain di SolarWinds, in cui cyber criminali organizzati hanno sfruttato tali vulnerabilità per infiltrarsi nelle agenzie governative statunitensi e numerose aziende Fortune 500, causando danni a miliardi di utenti.
Esistono diversi metodi per eseguire attacchi zero-day, e possono variare notevolmente. Ci sono lo spam e il phishing, che portano a cliccare su un link o apre un allegato dannoso. In questo modo, l’exploit zero-day può diffondersi così a tutti i vostri contatti.
Un’altra strategia diffusa è lo spear phishing, una variante del phishing in cui gli attacchi vengono diretti a un utente privilegiato al fine di indirizzare gli exploit zero-day verso sistemi di alto valore all’interno della sua organizzazione. Un terzo metodo è il malvertising, un’attività attraverso cui i malintenzionati compromettono un sito web e iniettano l’exploit zero-day mediante uno script. In caso di accesso non autorizzato, gli attaccanti possono utilizzare la forza bruta fino a ottenere successo nella violazione dei sistemi.
Come rilevare gli exploit
Ci sono vari approcci per individuare comportamenti anomali che potrebbero suggerire la presenza di un exploit zero-day:
- Monitoraggio basato su analisi statistiche. I fornitori di soluzioni antimalware forniscono dati statistici riguardanti exploit precedentemente rilevati. Le organizzazioni così possono integrare in un sistema di machine learning per individuare attacchi in corso. Questo metodo, tuttavia, può avere dei limiti, potenzialmente portando a falsi positivi o falsi negativi.
- Rilevamento delle varianti basato su firma. Gli exploit hanno una firma digitale riconoscibile. Le organizzazioni possono inserire queste firme in algoritmi di machine learning e sistemi di intelligenza artificiale per individuare varianti di attacchi già noti.
- Monitoraggio basato sul comportamento. Questo metodo genera avvisi quando individua attività sospette come scansioni e traffico anomalo nella rete. Invece di analizzare solo memorie o firme, il monitoraggio si concentra su come il malware interagisce con i dispositivi.
- Rilevamento ibrido. Questo approccio combina i metodi sopra descritti per un monitoraggio e identificazione più efficiente degli exploit zero-day. Utilizzando una combinazione di analisi statistiche, rilevamento di firme e monitoraggio del comportamento, le organizzazioni possono aumentare le probabilità di individuare tempestivamente le minacce zero-day.
L’inganno informatico e il rilevamento tempestivo
Le moderne tecnologie di inganno stanno acquisendo un ruolo sempre più significativo nelle strategie di rilevamento anticipato per individuare minacce zero-day altamente pericolose che sfuggono agli strumenti di sicurezza tradizionali. Il loro approccio intelligente, basato sull’utilizzo di esche, può ingannare i cybercriminali facendoli interagire con risorse fittizie, dando alle potenziali vittime il tempo necessario per avviare le operazioni di pulizia.
Queste tecnologie di deception popolano la rete con numerose esche che appaiono come nodi di rete reali agli occhi degli attaccanti. Insieme ai sensori di minaccia, possono simulare varie risorse, come postazioni di lavoro, database, dispositivi di rete e dispositivi IoT. Creando un ambiente ricco di risorse digitali contraffatte che risultano indistinguibili per i cybercriminali.
Contemporaneamente, vengono inviati allarmi di minaccia ai principali responsabili della sicurezza e ai sistemi di protezione prima che strutture o dati possano essere compromessi. Ricevendo questi avvisi sui falsi positivi, le aziende ottengono una visione dettagliata dell’attività, dei percorsi di attacco e delle tecniche utilizzate dai cybercriminali.
Per ridurre al minimo i rischi in un panorama IT sempre più pericoloso, le organizzazioni devono concentrarsi sulla creazione di soluzioni altamente efficaci. È fondamentale che i team IT possano agire prima che i dati vengano compromessi. Adottando un approccio alla sicurezza a più livelli, in cui la tecnologia di deception svolge un ruolo fondamentale, le aziende possono bloccare le minacce prima che diventino pericolose.
- Cardwell, Kevin (Autore)
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
🔮 Il futuro dell’innovazione tecnologica, ecco come l’AI può esserci d’aiuto
🕸️ La rivoluzione nell’automazione delle reti aziendali
🇪🇺 L’Unione Europea e il confine tra algoritmo e intelligenza artificiale
🏭 Google lancia IA per il Made in Italy per supportare le PMI italiane
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
