Perché l’intelligence sulle minacce non è sufficiente: strategia di prossima generazione per contrastare le tattiche criminali di prossima generazione.

Parliamo dell’elefante nella stanza.

La sfida principale affrontata quest’anno dai team SOC è stata “troppi dati, non abbastanza informazioni”, secondo un rapporto del 2023 di Tines.

E un grande colpevole del problema è l’intelligence sulle minacce.

Poiché i threat actors si orientano verso nuove tattiche a un ritmo più veloce, l’intelligence sulle minacce tradizionale da sola non è più sufficiente per proteggere gli asset critici e i dati.

Dobbiamo iniziare a pensare a approcci di prossima generazione se vogliamo tenere il passo – figuriamoci superare – i criminali informatici. Per fare ciò, dobbiamo guardare al quadro generale, il che oggi ci impone di pensare “oltre al dispositivo” e considerare le identità digitali nel loro complesso. È uno spostamento necessario se vogliamo davvero essere in grado di proteggere dipendenti e clienti.

Lo stesso cambiamento deve avvenire anche con i dati che utilizziamo per informare le nostre strategie di prevenzione e protezione. Con i dati di intelligence sulle minacce recuperati, dobbiamo passare dall’attenzione alla quantità a quella sulla qualità. Ingerire dati di qualità dal darknet, provenienti sia da violazioni che da infezioni da malware, è necessario per comprendere effettivamente il rischio. Quei dati devono essere normalizzati, deduplicati, arricchiti e analizzati prima ancora di essere consegnati ai team di sicurezza, affinché siano utili, aiutando così i team a ridurre il lavoro manuale associato a MTTD e MTTR ottenendo nel contempo risultati migliori.

Ma prima di tutto, diamoci una mossa indietro e riconsideriamo i limiti dell’intelligence sulle minacce tradizionale. Poi potremo esplorare il concetto di intelligence sulle minacce di prossima generazione e iniziare a riflettere su come adattarci per contrastare le tattiche criminali in evoluzione.

Intelligence sulle minacce tradizionali: cos’è e a cosa serve storicamente

Storicamente, l’intelligence sulle minacce riguardava l’uso di dati ad alto volume per contribuire a determinare l’approccio alla sicurezza delle organizzazioni. In generale, coinvolge la raccolta e la diffusione di informazioni su attori malintenzionati, tattiche e tecniche.

Tutti sono elementi positivi da monitorare per i team di sicurezza. E l’intelligence sulle minacce tradizionale è davvero efficace nel fornire un contesto ampio e prezioso che può aiutarci a comprendere meglio le minacce e informare determinate strategie per mitigare i rischi.

Ma quando parliamo di intelligence sulle minacce tradizionale, ci riferiamo principalmente a grandi flussi di dati. Questi flussi includono elementi come Indicatori di Compromissione (IoC), tra cui firme di malware, indirizzi IP e nomi di dominio associati ad attività malevole; informazioni sui threat actors e sulle loro tattiche, tecniche e procedure (TTP); dettagli sui metodi di exploit; dati storici sugli attacchi e altre informazioni contestuali per comprendere il panorama delle minacce.

Di nuovo, è tutto utile, ma non abbastanza utile in modo olistico se consideriamo tutto ciò con cui ci confrontiamo nel panorama delle minacce odierno.

Dove l’intelligence sulle minacce tradizionali presenta delle lacune

Sebbene l’intelligence sulle minacce tradizionali abbia i suoi vantaggi, presenta anche diverse limitazioni.

  1. Il primo problema che incontriamo con l’intelligence sulle minacce tradizionali è quello di cui abbiamo parlato all’inizio di questo articolo: sovraccarico di dati. Tipicamente, i feed di intelligence sulle minacce raccolgono praticamente tutto, con poco sforzo dedicato a curare ed arricchire l’output. Molte informazioni possono essere utili per avere una visione d’insieme, ma diventano rapidamente un ostacolo quando i team cercano di giungere a soluzioni senza influire negativamente sui flussi di lavoro del team o aumentare l’onere sulle risorse esistenti. Se si dispone di un ampio team con risorse avanzate che può dedicare molto tempo a ordinare e vagliare manualmente i dati per scoprire significati e correlare i rischi, il problema è meno grave, ma comunque non ideale.
  2. Il prossimo problema principale riguarda la fedeltà. L’intelligence sulle minacce tradizionali si basa pesantemente su OSINT, ovvero dati di origine pubblica facili da raccogliere in grandi quantità. Non è un modo efficiente per individuare prove definitive di compromissione, poiché può essere difficile verificare le fonti, e i dati sono standardizzati.
  3. L’intelligence sulle minacce tradizionali tende a concentrarsi sulle minacce conosciute e sulle tecniche di attacco conosciute. I criminali informatici, tuttavia, stanno continuamente evolvendo le loro tattiche e utilizzando tecniche sofisticate, tra cui malware avanzato e metodi di esfiltrazione. L’intelligence sulle minacce tradizionali potrebbe avere difficoltà a tenere il passo con queste tattiche in rapido cambiamento.
  4. Alcune soluzioni di intelligence sulle minacce sono gratuite (o praticamente gratuite), a cui diciamo: si ottiene ciò per cui si paga. Le fonti gratuite sono un ottimo punto di partenza, ma forniscono solo il pagliaio senza l’ago.
  5. L’intelligence sulle minacce tradizionali è spesso di natura retrospettiva. Si basa su dati storici e su firme o indicatori di compromissione (IOCs) noti per identificare minacce. Questo approccio reattivo significa che le organizzazioni potrebbero essere a conoscenza di un attacco solo dopo che è già avvenuto, o stanno sprecando tempo a esaminare dati vecchi e inutili.
  6. Infine, l’intelligence sulle minacce tradizionali tende ad essere proprio quella: informazioni. L’analisi è lasciata ai team di sicurezza, così come la prioritizzazione e l’attuazione delle risposte.

Ovviamente, siamo un po’ di parte, perché la nostra intera missione ruota attorno alla risoluzione del problema dell’intelligence sulle minacce legacy. Crediamo in dati più approfonditi, puliti e azionabili, perché sappiamo che è l’unico modo per posizionare meglio i team di sicurezza contro le minacce moderne ed evolventi.

La sfida dell’intelligence sulle minacce di prossima generazione: Dati esfiltrati da malware

Il nostro team di ricerca dedica molto tempo all’analisi dei dati, e non c’è dubbio che la principale tendenza minacciosa che stiamo osservando è l’aumento e l’evoluzione del malware per l’esfiltrazione di dati sensibili. Molti fornitori di intelligence sulle minacce non raccolgono ancora registri di malware, ma è più chiaro che mai che le strategie di prevenzione di prossima generazione devono tenere conto del monitoraggio e della risoluzione delle esposizioni legate ai dati esfiltrati da malware.

Malware per il furto di informazioni
Nuove tecnologie di malware come servizio, come LummaC2, spiccano perché possono rubare dati estremamente sensibili, come l’autenticazione a due fattori basata su browser, le configurazioni del software di desktop remoto e le password salvate nei vault basati su browser o memorizzati localmente. Queste caratteristiche si aggiungono alla sua capacità di esfiltrare file locali, rubare credenziali e cookie salvati e analizzare dati di browser in cache come compilazioni automatiche.

Malware per dispositivi mobili
La tecnologia di malware per dispositivi mobili sta avanzando, dando agli attori malevoli nuovi modi per sfruttare vulnerabilità e rubare dati personali, password e informazioni finanziarie. Le infezioni da malware per dispositivi mobili e l’aumento dell’uso di dispositivi personali per trasmettere dati aziendali aumentano il rischio di attacchi successivi.

Malware per macOS
Il malware non è più una preoccupazione solo per gli utenti di Windows. Stiamo osservando un aumento delle infezioni da malware su dispositivi macOS, aggravato dall’uso frequente di dispositivi personali a casa – spesso MacBook – per accedere alle reti aziendali e alle applicazioni aziendali. E ciò è preoccupante: ad esempio, l’Atomic macOS Stealer è in grado di esfiltrare dati dalla keychain.

Cookie di sessione rubati e hijacking di sessione
Il malware sottrae tutto da un dispositivo infetto, comprese credenziali e cookie di sessione web. Sfruttando i cookie di sessione sottratti dal malware, gli attori malevoli possono perpetrare il session hijacking, che elude la necessità di credenziali, autenticazione a più fattori (MFA) e persino passkey. Il session hijacking è un precursore sempre più diffuso per le frodi, e ancor più dannoso per le imprese, negli attacchi ransomware.

Chiavi API rubate
Il malware per il furto di informazioni è anche uno dei modi più diffusi in cui i criminali ottengono accesso alle chiavi API. Spesso, il furto di una chiave API per un amministratore o un account di servizio può consentire a un criminale di accedere direttamente e controllare la tua applicazione. Le applicazioni che supportano l’accesso dei clienti tramite chiavi API possono mettere a rischio informazioni personali identificabili (PII), dati sensibili o addirittura l’accesso a risorse finanziarie quando la chiave API viene rubata.

Come iniziare a pensare alla prevenzione delle cyberattività di prossima generazione

Quando pensiamo al panorama attuale e alla prevenzione efficace, riguarda principalmente:

1. Strategia e ciò da cui è informata;
2. Come viene attuato, coinvolgendo idealmente una componente pesante di automazione.

L’approccio centrato sull’identità rispetto a quello centrato sul dispositivo… più il principio di zero trust.

Esiste un nuovo perimetro nella sicurezza, ed è composto dalle identità digitali degli utenti e dei clienti. Un approccio di sicurezza centrato sull’identità si concentra sulla protezione delle identità degli utenti e dei dati ad esse associati, indipendentemente dalla posizione dell’utente o dal dispositivo che sta utilizzando.

La sicurezza basata sull’identità è anche un componente chiave e la prima linea di difesa per raggiungere il zero trust. Verificare tutto e non fidarsi di nulla è una strategia efficace e proattiva nel programma di sicurezza complessivo che deve essere adottata per ridurre il rischio di cyberattacchi. Un approccio di sicurezza basato sull’identità presume che tutti gli utenti siano potenziali bersagli per gli attori delle minacce che cercano modi per sfruttare qualsiasi debolezza possibile, persino eludendo la tecnologia di autenticazione moderna per accedere agli account degli utenti.

Per proteggere con successo il nuovo perimetro, i team di sicurezza hanno bisogno di prove tempestive e definitive di identità digitali vulnerabili esposte in violazioni di dati e infezioni da malware.

Questo è uno spostamento che dobbiamo fare collettivamente per avere successo nel contrastare la cybercriminalità.

Automazione
L’altro punto chiave che dobbiamo considerare è automatizzare, automatizzare, automatizzare. Presso SpyCloud, i nostri ricercatori recuperano dati all’inizio della linea temporale di violazioni e infezioni da malware per ridurre l’esposizione delle organizzazioni e stare al passo con gli attacchi successivi.

Per muoversi abbastanza velocemente, i team devono sfruttare le informazioni sull’esposizione nei flussi di lavoro automatizzati di SOAR (Security Orchestration, Automation, and Response) e SIEM (Security Information and Event Management). Una volta identificate le esposizioni conosciute, questi flussi di lavoro automatizzati dovrebbero essere utilizzati per rimediare e chiudere le porte agli attaccanti, essenziali per mantenere il vantaggio. L’automazione non solo migliora i tempi di risposta, ma libera anche risorse per compiti più critici.

Andare oltre l’intelligence sulle minacce tradizionali
Noi – e, cosa più importante, i cybercriminali – abbiamo superato l’intelligence sulle minacce tradizionali. Per la presa di decisioni e l’operatività, i team di sicurezza devono disporre di dati di esposizione affidabili e definitivi, indipendentemente dalle tecniche di esfiltrazione dati utilizzate dai criminali, e devono essere in grado di intervenire prima che lo facciano gli attaccanti.

Non è facile, ma è un’idea semplice. Devi sapere cosa i criminali sanno già sulla tua azienda per essere in grado di prevenire futuri attacchi.

Articolo originale

Scopri la pagina del vendor sul nostro sito

PUBBLICATO DA:<br>Sara Guglielmi
PUBBLICATO DA:
Sara Guglielmi
Marketing

ARTICOLI CORRELATI

Battaglia al Ransomware, un tag alla volta

Battaglia al Ransomware, un tag alla volta

Nell'ottobre 2023, nell'ambito del Ransomware Vulnerability Warning Pilot  (RVWP), il CISA ha iniziato a contrassegnare voci nel loro catalogo di Known Exploited Vulnerabilities (KEV). Questo campo indica se sono noti exploit per una determinata vulnerabilità che...