quali sono le tendenze attuali?
Piuttosto che sulle minacce comuni relativamente facili da rilevare per i sistemi EPP (
Endpoint Protection Platform), negli ultimi anni la tendenza dei criminali informatici è quella di concentrarsi sempre di più sulle minacce “
elusive”, specificamente progettate per aggirare le misure di protezione degli endpoint.
Uno dei motivi è che sta diventando molto più facile (ed economico) per i criminali informatici trovare, assemblare e testare strumenti e metodi già pronti e gli attacchi di questo tipo hanno possibilità di successo notevolmente superiori rispetto agli scenari tradizionali.
Aggiungete l’aumento del lavoro a distanza, che sta facendo dissolvere il perimetro aziendale di molte imprese, ed è facile capire perché nel prossimo futuro gli endpoint rimarranno in prima linea nella battaglia contro i criminali informatici.
Cosa succede quando una soluzione EPP deve rilevare una minaccia elusiva?
Queste minacce non sono facili da rilevare, grazie alle varie tecniche di elusione che impiegano, in particolare l’uso di strumenti legittimi e nativi del sistema. Passando a lungo inosservate, hanno anche il tempo necessario per esplorare e infiltrarsi nell’infrastruttura di un’azienda causando danni maggiori, che si tratti di un data breach, di un attacco ransomware, spyware o dell’override diretto.
Il risultato? L’impatto finanziario medio a seguito di un attacco è di 101.000 dollari per le PMI e di 1,09 milioni di dollari per le grandi aziende. Con impatti di questo tipo, invece di chiedersi “perché dovremmo investire in una soluzione EDR?”, molte aziende dovrebbero domandarsi “perché non abbiamo già investito?”
Cosa può fare per voi una soluzione EDR se deciderete di effettuare questo investimento?
In termini semplici, ogni volta che riceverete un alert, la soluzione EDR vi aiuterà a capire da dove proviene la minaccia, come si è sviluppata, se ha interessato altri host e quindi qual è la sua portata.
Dovrebbe anche guidarvi in un semplice processo di gestione degli incidenti, inclusi passaggi come l’identificazione, il contenimento, l’eliminazione, il ripristino e l’analisi degli insegnamenti appresi per prepararvi ad attacchi futuri. Per esempio:
- Identificazione. Che cosa ha rilevato lo strumento EDR? In base al contesto e ai dettagli sulla minaccia e sull’incidente che ha creato, si tratta di una minaccia comune o grave, è necessaria una risposta
- Contenimento. Che cosa occorre fare per contrastare la minaccia, ad esempio isolare l’host, impedirne l’esecuzione o mettere in quarantena file sospetti?
- Eliminazione. Mediante una scansione degli Indicator of Compromise (IoC) si possono trovare e cancellare i file correlati, insieme a qualsiasi altro processo necessario per eliminare la minaccia.
- Ripristino. Riportare la rete alla normalità: ad esempio, se un host infetto è stato isolato per prevenire la diffusione dell’infezione, l’isolamento può essere rimosso.
- Analisi degli insegnamenti appresi. Ad esempio, l’integrazione dei dati IoC con gli strumenti di sicurezza esistenti, la revisione del controllo degli accessi e del Web, il blocco dell’accesso a particolari indirizzi IP o account e-mail o l’avvio di corsi di formazione sulla security awareness per aiutare i dipendenti a comprendere meglio come individuare le moderne minacce per la sicurezza.