FireEye, conoscere le tecniche di evasione permette alle aziende di prevenire gli attacchi e le compromissioni ai sistemi. I cyber aggressori spesso ricorrono a quelle che sono chiamate tecniche di evasione per minimizzare la possibilità di essere scoperti. E nascondere più a lungo possibile le loro attività malevole e, il più delle volte, tali tecniche si dimostrano piuttosto efficaci. Dai dati presenti nel Mandiant Security Effectiveness Report 2020, si riscontra che il 65% delle volte in cui vengono utilizzate tecniche di evasione per bypassare le policy o gli strumenti di sicurezza aziendali, tali eventi non vengono rilevati e notificati.
Inoltre, solamente nel 15% dei casi viene generato un allarme (e.g. nel SIEM) mentre nel 25% dei casi vi è solo una rilevazione (e.g. generazione di un log) e nel 31% dei casi invece non avviene proprio nulla. Nel mondo odierno la sicurezza deve essere sempre messa al primo posto all’interno di un’azienda e questo significa che essere aderenti a certi standard di sicurezza informatica è essenziale per prevenire attacchi e compromissioni.
Prevenzione attacchi FireEye
Gabriele Zanoni, EMEA Solutions Architect di FireEye
Questi dati significano che le organizzazioni stanno performando molto al di sotto dei livelli di efficacia previsti per il proprio livello di cyber security e questo dato è piuttosto allarmante.
Prevenire gli attacchi significa pensare come un cyber attaccante
Quando si osserva il panorama mondiale delle minacce, FireEye grazie alla sua attività, ha modo di rilevare un vastissimo numero di aggressori che utilizzano le più differenti tipologie di tecniche di evasione. Le tre più comunemente usate sono:
- Uso di crittografia e tunneling. I sistemi IPS monitorano la rete e catturano i dati mentre passano sulla rete, ma questi sensori network fanno affidamento sul fatto che i dati siano trasmessi in chiaro. Un modo per evitarli è quello di usare connessioni cifrate;
Tempistica degli attacchi. Gli aggressori possono eludere i sistemi di rilevamento eseguendo le loro azioni più lentamente del solito. Questa tipologia di “evasione” può essere effettuata verso tecnologie che utilizzano una finestra temporale di osservazione fissa e un livello di soglia per la classificazione degli eventi malevoli. - Errata interpretazione dei protocolli. L’attaccante gioca sul fatto che un sensore sia portato ad ignorare o meno un certo traffico, ottenendo come risultato che l’azienda veda quel traffico in maniera differente rispetto alla vittima.
Prevenzione attacchi FireEye
Le tre cause più comuni che portano a una scarsa prevenzione e rilevazione di queste fasi di un attacco sono le seguenti:
- Uso di categorie e motori di classificazione obsoleti;
- Uso di un monitoraggio di rete limitato ai soli protocolli in uso;
- Mancanza di una efficace comunicazione e tracciamento delle modifiche e delle richieste di eccezioni alle policy.
Gabriele Zanoni, EMEA Solutions Architect di FireEye
Un esempio di errata interpretazione a livello di protocollo lo abbiamo rilevato quando stavamo lavorando con uno dei nostri clienti, un’azienda che fa parte delle Fortune 500. “L’azienda si era dotata di un sistema di validazione della sicurezza per monitorare in maniera continua i possibili cambiamenti che potessero causare un abbassamento del proprio livello di sicurezza.Il team che seguiva questa tematica di validazione, durante le proprie indagini, ha rilevato che in molti casi i dati e i log degli allarmi non venivano più consegnati al SIEM. Per via di questo problema le regole di correlazione sul SIEM non potevano generare gli allarmi che avrebbero poi potuto avviare un processo di gestione dell’incidente, dando così all’attaccante campo libero.
Conoscere le tecniche di evasione
La possibilità di poter testare queste situazioni scatenando quindi attacchi reali all’interno dell’azienda al fine di verificare se e come vengono generati allarmi, ha permesso al team di sicurezza dell’azienda di rimuovere questo fattore di rischio. Le organizzazioni sono molto più esposte di quanto non credano. Per loro è imperativo validare l’efficacia dei sistemi di sicurezza al fine di ridurre al minimo i rischi. Solo in questo modo le aziende hanno la possibilità di proteggere al meglio gli asset più critici per il business, la brand reputation e il relativo valore economico.