Dietro l’1% del “rumore” delle reti aziendali si nasconde un attacco mirato sofisticato basato su tecniche Living Off The Land

Attacchi Web: il corso dell'Ordine degli Ingegneri di Ancona

Il Managed Detection and Response Analytics Report di Kaspersky mostra come, nella prima metà del 2019, solo l’1,26% degli avvisi IoA (Indicators of Attack) sugli endpoint dei dispositivi è stata ricondotta a incidenti di sicurezza informatica.

Dei 40.806 avvisi generati tramite gli indicatori di attacco, infatti, solo 515 hanno dato luogo ad incidenti rilevati. La maggior parte di questi incidenti, però, dipendevano da attacchi mirati sofisticati che utilizzavano le cosiddette tecniche Living Off The Land (LotL), implementate dagli autori della minaccia per occultare le attività malevole nell’ambito di un utilizzo legittimo da parte di utenti e amministratori.

A differenza dei metodi di rilevamento basati sugli indicatori di compromissione (IoC), gli IoA (Indicators of Attack, indicatori di attacco) consentono l’identificazione degli attacchi non sulla base di file malevoli o altri oggetti noti, ma sulla base delle tattiche, tecniche e procedure messe in atto dagli autori delle minacce. In altre parole, a partire dall’analisi dei modi tramite i quali particolari autori di minacce tendono ad attaccare le loro vittime. Con attacchi che utilizzano tecniche “Living Off The Land” (LotL), sempre più popolari, i metodi di rilevamento basati sugli IoA si rivelano i più efficaci.

Questa deduzione viene confermata anche da altri risultati presenti nel “Managed Detection and Response Analytics Report” di Kaspersky, un report che si basa su molteplici livelli di analisi dei risultati del Kaspersky Managed Protection Service, forniti da diverse organizzazioni di vari settori: finanziario, governativo, industriale, dei trasporti, dell’IT e delle telecomunicazioni.

Mentre gli incidenti di sicurezza informatica sono stati rilevati in quasi tutte le tattiche del modello “Cyber-Kill Chain”, il maggior numero di attacchi è stato riscontrato nelle fasi che sono considerate tra le più “rumorose” (quelle con la presenza di falsi positivi relativamente più alta): “execution” (37%), “defense evasion” (31%), “lateral movement” (16%) e “impact” (16%). Nel combattere queste tattiche, i ricercatori hanno osservato che le soluzioni per la protezione degli endpoint (EPP) si sono rivelati uno strumento efficace di risposta alle minacce nel 97% degli incidenti identificati: il 47% di questi sono stati classificati come incidenti di media gravità e comprendevano malware come Trojan e Cryptor; il 50% come incidenti di bassa gravità, con implicazione di programmi indesiderati come adware o riskware.

Tuttavia, quando si tratta di minacce di tipo avanzato, sconosciute o classificate come di alta gravità (3%), le soluzioni EPP tradizionali da sole si rivelano meno efficaci. Questo tipo di minacce – come quelle derivanti da attacchi mirati o da malware complessi, spesso lanciati attraverso tecniche “Living Off The Land” (LotL) – richiedono un ulteriore livello di rilevamento, “TPP-based”, con threat hunting manuale e analisi.

“Uno dei punti di forza della nostra Managed Detection and Response Analysis, alla quale abbiamo lavorato negli ultimi sei mesi, sta proprio nella capacità di analisi: se all’interno di una rete non sono visibili molti eventi riconosciuti come falsi positivi, questo probabilmente significa che molti incidenti di sicurezza importanti non sono stati rilevati. Pertanto sarebbe opportuno adottare, tra gli altri tool in uso, anche metodi che prendono in esame gli IoA. Con metodi “Living Off The Land” e altre tecniche di attacco che operano “in-the-wild”, in modo furtivo e “malware-less”, è del tutto inefficace affidarsi ai metodi classici di rilevamento, basati su Indicatori di Compromissione o su altri metodi già noti. Le segnalazioni basate su IoA sono molto più difficili da indagare, a causa della necessità di effettuare molte ricerche, per creare indicatori efficienti, e di condurre molte analisi manuali (in caso di attivazione degli IoA); le nostre statistiche mostrano, però, che se gli IoA sono tra gli indicatori più inclini ai falsi positivi, dall’altro lato sono comunque più efficaci, perché consentono di rilevare anche gli incidenti veramente critici”, ha commentato Sergey Soldatov, Head of Security Operation Centre di Kaspersky.