Tempo di lettura stimato: 4 minuti
Combattere il ransomware con una strategia di Defense in Depth
La media giornaliera degli attacchi ransomware, come osservato da Check Point Research, è aumentata del 50% in Q3 rispetto alla prima metà del 2020. Dal governo, ai servizi finanziari, agli ospedali: gli attacchi ransomware altamente redditizi in tutto il mondo sono esplosi e non mostrano segni di cedimento. Mentre gli attacchi ransomware continuano a fare notizia, le organizzazioni devono evolvere verso la lotta contro ransomware con una strategia di difesa in profondità.
La sicurezza informatica si sta evolvendo in modo aggressivo e i difensori sono profondamente impegnati in una partita a scacchi contro gli aggressori. Ogni passo un difensore prende per proteggere la loro rete un attaccante crea un nuovo metodo o vettore di attacco. I difensori devono studiare continuamente le loro mosse, osservando da vicino gli indicatori di compromesso, imparando a prevedere in modo affidabile potenziali strategie e vettori di attacco. Queste osservazioni diventano parte di una complessa strategia di difesa approfondita, utilizzata per identificare lacune di sicurezza o potenziali punti di errore all’interno del Cyber Operating Environment (COE).
Strumenti comuni per la Cyber Defense
Defense in Depth sfrutta una serie di strumenti di sicurezza che offrono diversi tipi di protezione in tutti i diversi punti di accesso del COE. Di seguito sono riportati alcuni dei più comunemente utilizzati per affrontare i livelli di sicurezza primari.
Firewall
Poiché gli attacchi ransomware iniziano con il Malicious Cyber Actor (MCA) che accede a una rete, un firewall è spesso la prima linea di difesa. Il firewall blocca determinate porte dall’accesso alla rete e utilizza rilevamenti comportamentali e/o basati su regole per impedire a un MCA di accedere alla rete.
Network Intrusion Prevention System (NIDS)
I NID forniscono un altro livello di sicurezza utilizzando il rilevamento comportamentale e basato su regole per potenziali minacce ransomware a livello di rete. Inoltre, i NID sono in grado di fornire la granularità dei dati necessaria agli analisti informatici per rilevare un attacco in modo che possano rispondere con un approccio mirato per impedire all’MCA di accedere alla rete.
Endpoint Detection and Response (EDR)
Gli EDR forniscono una visibilità cruciale per i team di sicurezza della rete per rilevare minacce, come ransomware, se gli MCA riescono a eludere gli altri livelli di sicurezza e penetrare nella rete. Gli EDR forniscono rilevamento, indagine e correzione basati su host contro il malware per contenere le minacce prima che le azioni nefaste di un MCA possano essere completamente eseguite.
Gestione delle patch
La gestione delle patch è un altro livello di sicurezza preventiva e serve a prevenire i compromessi prima ancora che accadano. Gli aggressori ransomware indirizzeranno le vulnerabilità del sistema che possono essere utilizzate per aumentare i privilegi e ottenere l’esecuzione di codice remoto sul sistema senza privilegi di amministratore.
Registrazione e segmentazione della rete
La registrazione e la segmentazione della rete costituiscono un ulteriore ostacolo per gli MCA una volta penetrati gli altri strumenti di sicurezza della rete. Se un MCA compromette la rete, questo viene utilizzato per segmentare aree specifiche della rete per mitigare il movimento di un attacco, rallentandolo fino a quando i difensori non sono in grado di contenere la minaccia. Nel caso di attacchi ransomware, questo sarebbe sfruttato per impedire il movimento laterale all’interno della rete.
Mentre gli strumenti di sicurezza di cui sopra offrono una solida difesa ampia base contro le minacce e gli exploit, sono anche outmatched contro MCA qualificati — in particolare quando si tratta di attacchi ransomware. Allora, cosa manca dal set di strumenti di difesa in profondità? E come possono i difensori rafforzare la sicurezza per anticipare gli attacchi ransomware?
La risposta breve è Cyber Threat Intelligence. L’elemento più comunemente mancante di una strategia di difesa in profondità è avere sia completa Cyber Threat Intelligence e un team dedicato di professionisti della sicurezza che capiscono come ricavare informazioni sulle minacce attuabili da quelli che altrimenti sarebbero solo dati potenzialmente utili sulle minacce. Mentre molte organizzazioni possono fonte di uno, o più, Threat Intelligence feed, spesso mancano le risorse interne per capire veramente come che i dati impatti loro COE unico. Quando si tratta di sicurezza informatica, è fondamentale per i dati di intelligence delle minacce da visualizzare in base alla composizione unica di COE di un’organizzazione.
Un esempio di ransomware: Emotet
L’immagine qui sotto mostra i dati che identificano un malware comunemente usato chiamato Emotet. Questo malware è progettato come un trojan che permette agli aggressori di ottenere l’accesso remoto a un sistema, sfruttarlo e installare altri payload dannosi, in particolare ransomware.
ottenere un extra spaccato attaccanti C2 e domini malevoli può dare difensori altro strato di difesa per impedire un attacco o di fornire la capacità di rilevamento in modo che i difensori hanno la capacità di rispondere ad un attacco.
Sulla base dei dati presentati in precedenza, un professionista di Threat Intelligence può essere in grado di identificare l’accovacciamento del dominio o l’typosquatting se un utente malintenzionato sta prendendo di mira le tue aziende o clienti, nonché il C2 di un MCA e le nuove tecniche utilizzate in una campagna. Tuttavia, l’identificazione è solo un passo. Una volta identificata la potenziale minaccia, un difensore dovrebbe convalidare l’infrastruttura C2 e, auspicabilmente, raccogliere nuovi hash di malware o vettori di attacco, dettagli che verrebbero utilizzati per interrompere la kill chain e bloccare gli MCA nel punto di accesso iniziale. Ciò dimostra la differenza tra avere solo dati di intelligence sulle minacce e disporre di dati di intelligence sulle minacce utilizzabili.
Se la tua organizzazione sta affrontando attacchi ransomware o una qualsiasi delle altre legioni di minacce ed exploit, l’aggiunta più preziosa alla tua difesa dalle minacce è la Threat Intelligence perseguibile. Mentre la minaccia di attacchi informatici rimane una delle principali preoccupazioni per le organizzazioni, relativamente pochi prendono l’azione preventiva necessaria per proteggere il loro ambiente e formare il personale di sicurezza. Almeno, non fino a dopo che sono stati attaccati-che è molto più costoso che se avessero preso misure preventive per cominciare.