McAfee rende disponibili i dati relativi al nuovo report “Quando i minuti sono fondamentali“, un’analisi approfondita che evidenzia quali debbano essere le competenze del personale IT nelle prima fasi di rilevamento di eventuali attacchi mirati. McAfee rivela, in particolare, gli otto principali indicatori d’attacco e prende in esame le best practice per reagire proattivamente agli incidenti. Di fatto, quelle realtà che effettuano analisi in tempo reale hanno più possibilità di evitare danni e possono minimizzare anche le attività d’attacco impercettibili.
Tuttavia, stando a un’indagine commissionata da Intel Security e condotta da Evalueserve, la maggioranza delle aziende non ha fiducia nelle proprie capacità di rilevare gli attacchi mirati in modo tempestivo. Di fatto:
– Il 74% degli intervistati ha indicato che gli attacchi mirati sono una preoccupazione importante per l’azienda.
– Il 58% delle aziende ha analizzato 10 o più attacchi lo scorso anno
– Solo il 24% delle aziende ha fiducia nella loro capacità di rilevare un attacco in pochi minuti, e solo meno della metà afferma che sarebbero necessari giorni, settimane o anche mesi prima di notare un comportamento sospetto
– Il 78% di coloro in grado di rilevare gli attacchi in pochi minuti disponeva di un sistema SIEM proattivo in tempo reale
– La metà delle aziende coinvolte ha indicato di disporre di strumenti e tecnologie adeguate per reagire rapidamente agli eventi, ma spesso gli indicatori critici non vengono isolati dalla massa di segnalazioni generate, costringendo i team IT a vagliare tutti i dati relativi alle minacce.
Considerando l’importanza di identificare indicatori critici, il report di Intel Security mette in risalto le otto principali attività d’attacco più comuni che le aziende di successo tracciano per rilevare e contrastare gli attacchi mirati:
– Host interni che comunicano con destinazioni notoriamente pericolose o con una nazione straniera in cui un’azienda non è operativa.
– Host interni che comunicano con host esterni utilizzando porte non standard o discrepanze protocollo/porta, come l’invio di traffico command shell (SSH) invece che HTTP sulla porta 80, che è la porta web di default.
– Host accessibili pubblicamente o (DMZ) che comunicano con host interni. Ciò abilita il leapfrogging, consentendo l’esfiltrazione dei dati e l’accesso remoto alle risorse. Neutralizza il valore delle zone DMZ.
– Rilevamento del malware fuori orario. Le segnalazioni che si verificano al di fuori del classico orario di lavoro (di notte o nei fine settimana) potrebbero indicare un host compromesso.
– Scansioni di rete da parte di host interni che comunicano con molteplici host in un breve periodo di tempo potrebbero indicare un aggressore che si muove lateralmente all’interno della rete. Le protezioni di rete perimetrali, come firewall e IPS, sono raramente configurate per controllare il traffico sulla rete interna (ma potrebbero esserlo).
– Molteplici segnalazioni d’allarme da un unico host o eventi duplicati su molteplici computer nella stessa sottorete in un periodo di 24 ore, come errori di autenticazione ripetuti.
– Una volta bonificato, un sistema viene reinfettato dal malware entro cinque minuti; nuove infezioni ripetute segnalano la presenza di un rootkit o di una violazione persistente.
– Un account utente che cerca di collegarsi a molteplici risorse in pochi minuti da/a diverse regioni; un segnale che le credenziali dell’utente sono state sottratte o che un utente sta per causare un danno.
Ryan Allphin, Senior Vice President and General Manager, Security Management di Intel Security
Semplificare il lavoro frenetico di filtrare un’enorme quantità di segnalazioni e indicatori con informazioni in tempo reale e analisi, permette di comprendere più a fondo gli eventi rilevanti e di agire per limitare e contrastare più rapidamente gli attacchi. Le tecnologie SIEM in tempo reale basate su intelligence minimizzano il tempo necessario per rilevare le minacce per prevenire in modo proattivo le violazioni sulla base della contestualizzazione degli indicatori durante l’analisi e impostare reazioni automatiche basate su policy. Con il potere di velocizzare la loro capacità di individuare, rispondere e imparare dagli eventi, le aziende possono modificare drasticamente la loro condizione di sicurezza trasformandosi da preda a cacciatore.Lance Wright, Senior Manager, Information Security e Compliance di Volusion
Abbiamo notato una workstation che effettuava strane richieste di autenticazione al controller di dominio alle due del mattino. Poteva trattarsi di attività normale, ma anche un’indicazione di qualcosa di pericoloso. Dopo l’incidente abbiamo impostato una regola per avvisarci se una workstation invia più di cinque richieste di autenticazione fuori dall’orario d’ufficio per consentirci di identificare l’attacco il prima possibile, prima che i dati possano essere compromessi.