Perchè è necessario analizzare la catena di attacco degli endopoint

endpoint

Conoscere e comprendere la catena degli attacchi informatici è indispensabile per proteggersi! La miglior strategia difensiva che utilizza strati di protezione sovrapposti  garantisce il miglior approccio alla sicurezza IT.

Sono 7 le fasi di una catena di cyber kill standard:

  1. Riconoscimento
  2. Trasformazione in arma
  3. Rilascio
  4. Exploit
  5. Installazione
  6. Comando e controllo
  7. Azioni

Spesso comunque è sufficiente analizzare una catena di attacco più semplice, specifica per l’endpoint, per capire come difendersi. Questa catena è composta da soli tre passaggi principali:

  1. Consegna e istruzioni
    Gli attaccanti accedono ad un ambiente, depositano le loro armi e danno istruzioni sul come procedere.
    Senza utilizzare la sicurezza degli endpoint,  per fermare l’attacco in questa fase, esistono alemeno tre diverse opportunità:
    - formazione sul phishing,
    - sicurezza della rete;
    protezione della posta elettronica.
    Se l'attacco riesce a superare questi primi livelli di difesa, si passa alla sicurezza degli endpoint per bloccare gli exploit utilizzati per la distribuzione, rilevare gli URL dannosi e impedire l’accesso ai documenti malevoli.
    Si possono anche rilevare le comunicazioni con i server di comando e controllo.
  2. Exploit ed esecuzione
    I cyber criminali cercano poi di sfruttare gli endpoint per eseguire il codice dannoso.
    Le difese degli endpoint attuano l’arresto degli eseguibili malevoli, sia utilizzando approcci fondamentali come le firme o approcci più recenti come il machine learning.
    In questa fase consigliamo di applicare anche altre tecniche complementari, come l'anti-exploit per la prevenzione del furto di credenziali, l’escalation dei privilegi e l’abuso di applicazioni.
  1. Il boom
    E' la fase finale in cui gli attaccanti infliggono i danni. In questa fase si possono implementare altri livelli di difesa.
    La prevenzione della perdita di dati (DLP) può essere utilizzata per interrompere la fuoriuscita di dati sensibili.
    La tecnica corpotamentale di  protezione dai ransomware, può rilevare le attività dannose attive e fermare l’aggressore prima del raggiungimento dell'obiettivo.
    L’analisi post-esecuzione può anche essere applicata per comprendere i dettagli della catena di attacco specifica.

Spesso, le difese degli endpoint si concentrano fondamentalmente sull’arresto degli eseguibili, ma come visto, ci sono altre opportunità lungo la catena di attacco per riuscire ad interromperlo.

Se le tue difese stratificate intercettano un attacco in un qualsiasi punto lungo la catena, riuscirai ad interrompere l'attacco.
Vuoi sapere come attuare un'adeguata strategia di sicurezza informatica?

Un nuovo attacco informatico: il trojan URSNIF arriva via mail dai vostri contatti

Fonte dei contenuti: “The endpoint attack chain… simplified” di Seth Geftic; www.sophos.com -