{"id":3628,"date":"2017-11-02T16:25:22","date_gmt":"2017-11-02T15:25:22","guid":{"rendered":"http:\/\/www.bitmat.it\/specialesicurezza\/?p=3628"},"modified":"2017-11-02T16:25:22","modified_gmt":"2017-11-02T15:25:22","slug":"la-zona-grigia-affligge-la-cyber-security","status":"publish","type":"post","link":"https:\/\/www.bitmat.it\/specialesicurezza\/news\/3628\/la-zona-grigia-affligge-la-cyber-security","title":{"rendered":"La zona grigia che affligge la cyber security"},"content":{"rendered":"

\n\tDi fronte all’odierno panorama caratterizzato da minacce di livello avanzato, da tempo la best-practice prevede una difesa stratificata e profonda. La prima linea di tale difesa (a parte solide attività di formazione e di manutenzione dei sistemi) solitamente è perimetrale: antivirus, firewall di ultima generazione e sistemi antintrusione (Intrusion Prevention Systems, IPS). Gli altri strati di difesa possono prevedere sistemi per la gestione degli eventi e delle informazioni sulla sicurezza (Security Information and Event Management, SIEM) oltre a soluzioni per la prevenzione della perdita di dati (Data Loss Prevention, DLP) e le innovative soluzioni di risposta e rilevazione degli endpoint (Endpoint Detection and Response, EDR).\n<\/p>\n

\n\tTuttavia, tutti questi strati lasciano una zona grigia: dopo che il malintenzionato si è introdotto nel perimetro, ma prima che abbia compromesso i sistemi chiave e trafugato i dati. Attualmente è difficile notare, tenere traccia e contrastare rapidamente malware avanzati e attacchi mirati presenti proprio in queste fasi. Occorre dunque una visibilità in tempo reale delle possibili attività di minaccia dopo l’exploit iniziale, mentre l’infiltrato valuta la rete, cerca i punti deboli e si prepara ad appropriarsi dei dati.\n<\/p>\n

\n\tLa zona grigia odierna<\/strong>\n<\/p>\n

\n\tIl problema risiede nel fatto che le difese perimetrali forniscono un’allerta per le minacce note, ma non hanno visibilità sulla ricognizione dell’avversario o i movimenti laterali e soprattutto non sono in grado di capire quali altri sistemi potrebbero essere compromessi. Ciò è dovuto ai sistemi di prevenzione della perdita di dati e di risposta e rilevamento degli endpoint, che avvertono in caso di accessi sospetti  e\/o di furti di asset critici. Purtroppo, tali sistemi non sono concepiti per individuare e tantomeno tenere traccia di comportamenti minacciosi che si presentano in rete.\n<\/p>\n

\n\tSebbene offrano una maggiore visibilità, i sistemi SIEM sono sviluppati per fungere da strutture difensive che reagiscono a indicatori noti; soluzioni non ottimali, dunque, al momento di individuare in maniera proattiva movimenti laterali sospetti oppure attività correlate a malware nuovi\/ignoti. Riuscire a filtrare e assegnare una priorità agli effettivi indicatori di compromissione (Indicators of Compromise, IoC) tra l’immensa mole di allerte può rivelarsi un compito arduo. Come se non bastasse, ottenere un’immagine completa di un’intera attività di attacco che interessa la rete è difficile e richiede tempi lunghi.\n<\/p>\n

\n\tLe minacce più pericolose da affrontare al giorno d’oggi non sono i semplici malware ma le campagne di attacco orchestrate da soggetti umani. La componente malware è comunque sviluppata per operare furtivamente eludendo, inosservata, gli strati di sicurezza. Questi strumenti riscuotono successo: numerose violazioni restano ignote finché un soggetto terzo non avverte la vittima.\n<\/p>\n

\n\tMigliore visibilità dopo l’exploit<\/strong>\n<\/p>\n

\n\tCiò che occorre realmente è una visibilità immediata e flessibile delle tecniche di attacco, dopo le manovre iniziali (siano essere rilevate o meno) e prima che dati e sistemi vengano ulteriormente compromessi: l’avanscoperta interna, il movimento laterale, le comunicazioni esterne, le credenziali soggette a escalation o rubate. Grazie a una migliore visibilità dopo l’exploit<\/a> le aziende possono:\n<\/p>\n