Gianfranco Vinucci ci ha illustrato come è possibile difendersi da attacchi esterni e APT e quali siano le tattiche da adottare per una mitigazione efficiente dei danni. Di fatto sono indispensabili: una visibilità continua di ciò che accade e una intensa attività di cyber intelligence, lo strumento chiave per correlare la moltitudine di informazioni che provengono dai sensori e dagli apparati di rete.
Servono poi tecnologie avanzate per l’analisi e il filtraggio delle informazioni, sistemi di ricerca che possono usare tecniche comprovate come quelle di sandboxing, ma anche architetture più recenti come il machine learning.
L’obiettivo delle infrastrutture di nuova concezione è quello di mettere in comunicazione i dati provenienti dai diversi sensori e sistemi di rete. Un SOC (Security Operations Center) tradizionale correla i dati tramite log, abilitando la tracciatura e il ticketing, ma non è oggi sufficientemente valido. Questo perché stanno via via diventando più importanti i meccanismi di intelligence, la visibilità di rete e gli strumenti di investigazione. Per migliorare il SOC convenzionale, Kaspersky propone una struttura avanzata, che includa “advanced analytics”, “threat intelllingence” e “threat hunting”, secondo la logica “Prevent, Detect, Respond, Predict”.
Anche per questo tipo di impiego, Kaspersky lancia la versione 2.0 della piattaforma Anti Targeted Attack (o KATA), che unisce sensori di rete ed endpoint, tecnologia sandbox e intelligent analysis per mettere in relazione diversi indicatori di compromissione ed aiutare le aziende a scoprire anche gli attacchi mirati complessi. L’aggiornamento del 2017 incrementa le performance grazie ad una migliore integrazione con gli endpoint, tramite la soluzione endpoint security di Kaspersky Lab oppure tramite un endpoint dedicato consentendo il rilevamento delle anomalie comportamentali e la richiesta di informazioni aggiuntive da utilizzare per l’elaborazione. Per assicurare la rilevazione anche di attacchi ben nascosti è stato, inoltre, aggiunto un processo di scansione ripetuta di oggetti sospetti e successiva archiviazione.
L’infrastruttura Sandbox è ora decentralizzata e può essere modificata a seconda delle esigenze del cliente, con una migliore adattabilità alle infrastrutture hardware/virtualizzate ed un costo di deployment inferiore. Inoltre, la connessione della soluzione alla rete e alle email è stato semplificato attraverso opzioni di deployment supplementari adatte a particolari infrastrutture IT. La nuova piattaforma Anti Targeted Attack, quando è integrata con la soluzione Security for Mail Gateway di Kaspersky Lab, è in grado di bloccare email infette.
Attualmente i CISO hanno un problema di mancanza di visibilità nel momento cruciale in cui devono decidere l’incident response. Per analizzare la kill chain di un attacco, è necessario avere una visione complessiva e capire quale alert sia più importante prendere in esame – se siano stati compromessi i dati del responsabile finanziario o si tratti di BSD presenti sui desktop del CEO. Un aspetto importante che migliora la risposta è il fatto di avere un security officer che osservi ed analizzi i risultati.
La Piattaforma Anti Targeted Attack di Kaspersky Lab rende questo possibile attraverso una dashboard completamente rielaborata e dotata di informazioni dettagliate sullo status dei check periodici, degli eventi più recenti e un confronto tra i dati degli incidenti e quelli degli eventi corrispondenti. Per garantire la privacy sono stati implementati diversi ruoli per gli amministratori. L’accesso alle informazioni relative ad alcune parti dell’infrastruttura e ai dati sensibili può essere limitato in accordo con la policy aziendale sulla privacy.
