Secondo il report Fortinetla cybersecurity deve diventare una priorità e gli strumenti per conseguirla sono tanti e vanno dalla formazione al machine learning. Come indica l’ultimo Threat Landscape Reportdi Fortinet, i criminali informatici non solo utilizzano metodologie d’attacco sempre nuove e diversificate (anche nel caso di attacchi più datati), ma stanno anche cambiando le strategie per oscurare la loro presenza ed eludere il rilevamento.
I cybercriminali stanno sfruttando vari fattori come ad esempio la velocità, l’espansione della superficie di attacco e la complessità dell’attuale panorama delle minacce informatiche per identificare e sfruttare i punti deboli nei network. Di conseguenza, le imprese devono trovare una modalità per conciliare la propria strategia di sicurezza integrata con la necessità di rimanere al passo con le forme di attacco emergenti.
L’evoluzione del ransomware Il ransomware rappresenta l’esempio perfetto dell’evoluzione di una minaccia: proprio quando sembrava che stesse per essere sostituito dal cryptomining, è ritornato in auge e si è preso una rivincita. La prima prova di tutto ciò è stata un’ondata di attacchi molto sofisticati e mirati avvenuti all’inizio dell’anno. LockerGoga, ad esempio, ha utilizzato la deep reconnaissance per identificare gli obiettivi primari ed eludere efficacemente le soluzioni di sicurezza che avrebbero potuto intralciarlo. Questi nuovi tool hanno ampliato le normali funzionalità del ransomware: per fare un esempio, RobbinHood è in grado di disabilitare i servizi Windows che prevengono la codifica dei dati e la capacità dei sistemi di disconnettersi dai drive condivisi, garantendo la massima esposizione alla crittografia dei dati dannosi. L’impatto di questo exploit potrebbe essere devastante perché consente che un sistema possa essere infettato senza che la vittima abbia fatto qualcosa per innescare il virus.
Le nuove strategie Anti-Analysis Un altro tema critico di cui i team di sicurezza devono occuparsi è quello legato al crescente numero di tecniche sviluppate dai cybercriminali per non farsi scoprire. Nell’ultimo trimestre sono state introdotte diverse nuove strategie di evasione e per eludere il rilevamento. Per fare un esempio, AndroMut è un downloader che è salito alla ribalta di recente. È noto per il download di malware come FlawedAmmyy RAT. Tuttavia, il motivo per cui ha raggiunto la notorietà è legato al fatto che include non solo il rilevamento sandbox, che sta diventando piuttosto comune, ma anche uno strumento simulatore della verifica.
Monitorare i trend non è sufficiente Ultimamente gli attacchi ransomware ad hoc sono sostituiti da exploit estremamente mirati che combinano il riconoscimento con la disabilitazione di strumenti e servizi per la sicurezza e tecniche d’evasione avanzate. I risultati possono essere devastanti. Dare priorità a questi attacchi, che appaiono nel radar dei Threat Report può non essere sufficiente per identificare e rispondere nel modo adeguato a minacce che sono pensate proprio per evitare di essere individuate.
Mettere in sicurezza i network moderni: si comincia dall’integrazione e dalla Threat Intelligence Per affrontare i rischi cui le aziende possono essere sottoposte e ridurne i possibili effetti, è fondamentale che chi si occupa di sicurezza monitori la threat intelligence da diverse fonti. In questo modo sarà possibile dare priorità ai rischi associati all’ambiente di rete in cui opera ogni singola realtà.
Tale approccio deve essere abbinato a una strategia per la sicurezza pensata per identificare e fermare, o perlomeno limitare l’impatto di un attacco proveniente da un punto inaspettato. Tutto ciò inizia con un approccio integrato che incorpori ogni elemento di sicurezza distribuito in qualsiasi punto della rete in un unico ‘security fabric’. Questa strategia deve poi essere potenziata con una segmentazione mirata, pratiche per la sicurezza coerenti e continue e un’automazione combinata con il machine learning.
L’intelligenza artificiale ha un ruolo sempre più preponderante in quanto può prendere in carico compiti ripetitivi come il patching, nonché l’identificazione e la risposta alle minacce in velocità. Qualsiasi strategia di sicurezza che non includa tutti questi elementi essenziali non sarà in grado di raggiungere il grado di visibilità e controllo richiesto dalle reti odierne.
