Di seguito condividiamo l’articolo di Cesar Cid de Rivera, International VP of Systems Engineering di Commvault relativo alle minacce zero-day. L’esperto spiega come riconoscerle e come minimizzare i rischi.
L’importanza di una strategia di threat detection Zero Day
Con minacce informatiche che si fanno sempre più sofisticate e potenzialmente distruttive, le aziende dovrebbero considerare seriamente una profonda revisione delle strategie di difesa per proteggere i propri dati preziosi. Come evidenziato dal rapporto Clusit 2023, l’Italia è sempre di più nel mirino dei cyberattaccanti: nel 2022 sono stati 188 gli attacchi che hanno colpito il nostro Paese, con un aumento del 169% rispetto all’anno precedente. Inoltre, anche gli approcci stanno diventando sempre più complessi, con script e payload pericolosi utilizzati durante la sequenza offensiva che rappresentano quasi il 90% delle tattiche di attacchi crittografati bloccati nel 2022.
Anche se come proteggere in modo efficace reti che non hanno più confini è una preoccupazione in costante aumento, molti team IT non dispongono ancora di strumenti che coprano il vasto patrimonio di dati, e non sono pertanto in grado di rilevare gli attacchi ransomware in una fase abbastanza precoce da evitare violazioni di successo. In particolare, le minacce zero-day, punti deboli o vulnerabilità che i criminali informatici hanno strategicamente sfruttato o venduto ad altri, rappresentano una sfida sempre più impegnativa.
Per vincere sugli attori delle minacce e fornire una risposta il più possibile tempestiva, la cyber deception – cioè l’inganno informatico – sta diventando un metodo sempre più diffuso per contrastare i pericoli delle minacce zero-day.
I gravi rischi delle minacce zero-day
Gli exploit zero-day sono tecniche utilizzate per attaccare un sistema con una vulnerabilità zero-day, di cui cioè utenti e sviluppatori non sono ancora a conoscenza. In questo caso, il sistema non è protetto e una compromissione può non essere scoperta per mesi prima che l’organizzazione possa rilevarla e reagire. Nell’attacco portato alla supply chain di SolarWinds, criminali informatici organizzati hanno sfruttato una vulnerabilità zero-day per violare le agenzie governative statunitensi e molte delle Fortune 500, con un impatto complessivo finale su miliardi di utenti.
I metodi per lanciare attacchi zero-day sono vari e numerosi, e possono includere spam e phishing, tecniche che consentono al cybercriminale di inviare un messaggio a più destinatari in molte organizzazioni. Una volta che un utente clicca su un link o un allegato pericoloso, può distribuire l’exploit zero-day a tutto l’elenco dei suoi contatti.
Lo spear phishing è un attacco di phishing rivolto a un utente privilegiato, per indirizzare gli exploit zero-day verso sistemi di alto valore al suo interno. Un ulteriore metodo è il malvertising, in cui è possibile compromettere un sito web e iniettare un exploit zero-day tramite uno script. In caso di accesso non autorizzato, i malintenzionati utilizzano la forza bruta finché la violazione non abbia successo.
Strategie di rilevazione degli exploit zero-day
Esistono alcuni metodi per identificare le minacce zero-day:
- Monitoraggio basato su statistiche: i fornitori di soluzioni antimalware forniscono statistiche sugli exploit precedentemente rilevati che le organizzazioni possono inserire in un sistema di machine learning per identificare gli attacchi in corso. I limiti di questo approccio portano a potenziali predisposizioni a falsi negativi e falsi positivi.
- Rilevamento delle varianti basate su firma: tutti gli exploit hanno una firma digitale. Un’organizzazione può inserirle in algoritmi di machine learning e sistemi di intelligenza artificiale per identificare varianti di attacchi precedenti.
- Monitoraggio basato sul comportamento: questo metodo crea avvisi quando identifica scansioni e traffico sospetti in rete e, invece di analizzare le attività in memoria o le firme, individua malware analizzando il modo in cui interagisce con i dispositivi.
- Rilevamento ibrido: questo approccio utilizza una combinazione di questi metodi per il monitoraggio e l’identificazione, per una rilevazione più efficiente degli exploit zero-day.
Come la tecnologia di inganno informatico affronta le minacce zero-day
Le moderne tecnologie di deception svolgono un ruolo sempre più importante nelle strategie di rilevamento anticipato, per identificare minacce zero-day potenzialmente pericolose che sfuggono alla rete degli strumenti di sicurezza convenzionali. Il loro approccio intelligente basato sull’utilizzo di esche può indurre i cybercriminali a interagire con risorse fittizie, dando alle potenziali vittime il tempo di iniziare le attività di bonifica.
La tecnologia dell’inganno popola la rete con centinaia di esche che agli occhi di un attaccante sembrano nodi di rete reali. Insieme ai sensori di minaccia possono imitare numerose risorse, comprese postazioni di lavoro, database, dispositivi di rete e IoT, inondando i loro ambienti con risorse digitali falsificate indistinguibili per cybercriminali. Questi ultimi vengono immediatamente ingaggiati e deviati verso risorse convincenti ma false e allontanati da dati e asset di valore inestimabile.
Allo stesso tempo, alert di minacce zero-day vengono inviati ai principali stakeholder e ai sistemi di sicurezza prima che strutture o dati possano essere compromessi. Una volta ricevuti gli avvisi sui falsi positivi, le aziende hanno una visione dettagliata dell’attività, dei percorsi di attacco e delle tecniche impiegate.
Solo il rilevamento più tempestivo può intercettare le minacce
Per minimizzare i rischi nel sempre più pericoloso panorama IT attuale, le organizzazioni devono concentrarsi sulla creazione di soluzioni più efficaci, progettate per affrontare i rischi specifici posti dal ransomware e da altre sofisticate tecniche di criminalità informatica. Per contrastare le minacce zero-day è fondamentale che i team IT siano in grado di agire prima che i dati vengano violati e abbiano la possibilità di identificare e deviare immediatamente le minacce pericolose prima che i dati vengano rubati, danneggiati o compromessi.
Adottando un approccio alla sicurezza a più livelli, di cui la tecnologia di deception è un elemento fondamentale, le aziende agiranno da una posizione ideale per vanificare i malintenzionati prima ancora che abbiano la possibilità di chiedere un riscatto.
di Cesar Cid de Rivera, International VP of Systems Engineering di Commvault
