RILEVAMENTO DI MINACCE E REAZIONE BASATI SU INTELLIGENCE

Transcript

1 RILEVAMENTO DI MINACCE E REAZIONE BASATI SU INTELLIGENCE PANORAMICA Le organizzazioni devono ormai far fronte a costanti tentativi di intrusione. Tenere i criminali informatici fuori dagli ambienti IT dell'azienda è diventato estremamente difficile e, in alcuni casi, impossibile poiché gli attacchi personalizzati possono facilmente evitare gli strumenti tradizionali di rilevamento delle minacce e sfruttare le vulnerabilità intrinseche delle reti moderne. Le intrusioni non devono tuttavia determinare necessariamente il furto di dati o altri tipi di danno per l'azienda, in particolare se le organizzazioni si impegnano a rilevare e rispondere prontamente agli attacchi. Per rilevare gli attacchi prima che causino danni, è necessario che i team responsabili della sicurezza si affidino sempre meno alle forme passive di rilevamento delle minacce, quali gli avvisi forniti dagli strumenti di analisi basati sulle firme. Le organizzazioni devono invece cercare attivamente i tentativi di intrusione esaminando costantemente il proprio ambiente IT per individuare minimi segni di attività pericolosa o sospetta. Per individuare tempestivamente questi segni, le organizzazioni devono sviluppare nuove capacità nell'analisi dei dati e nella risposta agli incidenti. Lo sviluppo di nuove capacità può tuttavia rivelarsi proibitivo per i team responsabili della sicurezza, che sono spesso pressati da problemi quali la scarsità del personale e la continua espansione non solo delle applicazioni e delle infrastrutture ma anche delle minacce. La difficoltà maggiore che devono affrontare tali team consiste nella definizione delle priorità con cui affrontare i problemi, a causa delle limitate capacità di cui dispongono: risulta infatti difficile distinguere le minacce gravi dalla miriade di minacce innocue. Questo ostacolo viene rimosso dalla sicurezza basata su intelligence, una nuova strategia di sicurezza delle informazioni che garantisce la visibilità, le conoscenze analitiche e le azioni correttive necessarie per aiutare le organizzazioni a ridurre i rischi connessi con il mondo digitale. La sicurezza basata su intelligence migliora la rapidità e l'efficacia delle procedure di rilevamento delle minacce e di reazione nei seguenti modi: Offre la possibilità di esaminare l'attività digitale nei log, nella rete e negli endpoint Vengono utilizzati strumenti di analisi avanzati da diverse origini dati per svelare le minacce nascoste e valutare le soluzioni migliori per implementare una reazione mirata ed efficace Vengono utilizzati strumenti di rilevamento del malware senza firma nelle reti e negli endpoint I team responsabili della sicurezza possono diventare più efficaci grazie a processi efficienti, automazione del workflow, intelligence sulle minacce e formazione Per applicare la sicurezza basata su intelligence ai processi di rilevamento delle minacce e di reazione, le organizzazioni devono sviluppare capacità avanzate in quattro aree: 1. Monitoraggio costante e completo della rete e degli endpoint, incluse capacità quali l acquisizione di pacchetti completi e il rilevamento delle minacce basato sul comportamento negli host 2. Tecniche di analisi avanzate che consentano di esaminare enormi quantità di informazioni, come il traffico della rete, in tempo reale per individuare comportamenti sospetti e velocizzare le indagini 3. Analisi del malware tramite metodi che non si basano sulle firme del file e mirano direttamente al comportamento effettivo degli eseguibili, valutando se provengono dalla rete o dagli endpoint, per rilevare attività ostile White paper RSA: 4. Procedure di rilevamento degli incidenti e di reazione che allineino il personale addetto alla sicurezza, i processi e le tecnologie per ottimizzare e accelerare i workflow in modo che i team responsabili delle operazioni di sicurezza possano dedicare meno tempo alle attività di routine e concentrarsi maggiormente sulla difesa degli asset di massima priorità e il blocco delle minacce più pericolose

2 SOMMARIO Panoramica...1 Costantemente a rischio... 3 Rilevamento di minacce e reazione basati su intelligence... 3 Monitoraggio di rete ed endpoint: una visione completa... 4 Visibilità completa della rete e degli endpoint... 4 Raccolta e analisi dei dati in tempo reale...5 Implementazione quando è necessario il monitoraggio...5 Analisi avanzate: individuazione di minacce nascoste...5 Piattaforma unica e integrata per il monitoraggio e l'analisi della sicurezza...5 Analisi tempestiva dei Big Data... 6 Rilevamento basato sul comportamento anziché sulle firme...7 Scalabilità senza penalizzazione delle prestazioni...7 Analisi del malware: tolleranza zero...7 Rilevamento del malware in base al rischio... 8 Correlazione centralizzata dell'attività sospetta negli endpoint... 8 Avvisi con diverse priorità per accelerare l'analisi e l'intervento in caso di malware... 8 Risposta agli incidenti: azione rapida e mirata... 9 Pratica e pianificazione per bloccare prontamente le violazioni... 9 Risposta agli incidenti basata sui dati per risultati migliori e più rapidi... 9 Contesto consolidato per velocizzare le indagini...10 Conclusioni...10 Soluzioni di rilevamento di minacce e reazione basati su intelligence in RSA pagina 2

3 COSTANTEMENTE A RISCHIO Gli ambienti IT della maggior parte delle organizzazioni hanno subito intrusioni da parte di entità esterne e, in molti casi, gli attacker hanno stabilito una presenza persistente. Non è una visione allarmistica, bensì una realtà creata da un diverso tipo di attacker che sfrutta l'aspetto iperconnesso delle reti attuali. Gli attacker più pericolosi in circolazione non sono attivisti part-time o incursori notturni che intendono fare scherzi o diffondere in rete le proprie idee: sono professionisti in cerca di denaro. A volte sono nazioni che tentano di sviluppare piani strategici. Tutti questi soggetti usufruiscono di numerosi vantaggi. Il crescente livello di connessione tra i sistemi IT e le applicazioni ha creato nuovi standard di efficienza e nuove opportunità per le organizzazioni. Le reti sono aperte a un numero maggiore di partner e supply chain per agevolare processi commerciali improntati alla massima collaborazione. Tuttavia anche gli attacker possono sfruttare tale livello di apertura puntando alle vulnerabilità nella catena del valore e approfittando delle debolezze dei partecipanti meno protetti per estenderle a macchia d'olio. Allo stesso tempo, la virtualizzazione e l'outsourcing dell'infrastruttura IT e delle applicazioni offre vantaggi in termini di efficienza che non possono essere ignorati. Tuttavia il passaggio al cloud sposta anche le funzioni IT più importanti fuori sede, spesso in una serie di ubicazioni che adottano criteri e procedure eterogenee per quanto concerne la sicurezza informatica. Gli ambienti IT interconnessi sono più difficili da difendere e offrono agli intrusi molti più luoghi in cui nascondere le proprie attività. Se a questo si aggiunge il fatto che molti attacker modificano il malware per sfuggire ai tradizionali strumenti di analisi basati sulle firme, come i software antivirus, è evidente che l'intrusione sia ormai divenuta prassi comune. Le organizzazioni devono quindi riuscire ad adattarsi a questo costante stato di violazione. I team responsabili della sicurezza non possono più concentrare l'attenzione esclusivamente sulla prevenzione delle intrusioni; bensì devono dividersi tra la prevenzione degli attacchi (meta irraggiungibile), e competenze complementari in materia di rilevamento e reazione agli attacchi. Le organizzazioni oggi possono essere vulnerabili alle intrusioni, ma ciò non implica che il furto di dati o i danni all'azienda siano inevitabili. Le organizzazioni devono pertanto identificare e neutralizzare in modo proattivo le minacce all'interno dei propri ambienti IT prima che gli attacker mettano a segno i propri obiettivi. Il modo migliore per raggiungere questo scopo consiste nello sfruttare la sicurezza basata su intelligence, una strategia che consente di risolvere le problematiche di sicurezza attualmente più serie e sensibili. Rilevamento di minacce e reazione basati su intelligence La sicurezza basata su intelligence aiuta le organizzazioni a neutralizzare le minacce informatiche prima che causino problemi significativi. La strategia offre i seguenti vantaggi: Visibilità senza precedenti nelle reti e nei relativi endpoint, che consente di catturare e analizzare enormi quantità di dati importanti per la sicurezza. Analisi sofisticate per vagliare i dati, identificare le anomalie e quindi avvisare le organizzazioni dei potenziali problemi associati agli asset di informazioni dell'azienda Attivazione di processi di risposta agli incidenti che rendono più efficiente ed efficace la valutazione delle minacce e la risoluzione pagina 3

4 La sicurezza basata su intelligence ferma i cyber attack prima che arrechino danni Libertà di spostamento laterale Staging ed esfiltrazione Persistenza? Rilevamento tardivo Sicurezza basata su intelligence necessaria per il rilevamento Tipico punto di rilevamento o notifica Kill chain Target Creazione di un punto di appoggio Compromissione nella rete iniziale Compromissione del dominio Per applicare la strategia di sicurezza basata su intelligence al rilevamento degli incidenti e alla reazione, le organizzazioni devono sviluppare capacità in quattro aree correlate che sono essenziali per individuare, esaminare e affrontare gli attacchi avanzati: 1. Monitoraggio di rete ed endpoint 2. Analisi avanzata dei dati relativi alla sicurezza 3. Identificazione e analisi del malware 4. Risposta agli incidenti e risoluzione delle violazioni MONITORAGGIO DI RETE ED ENDPOINT: UNA VISIONE COMPLETA Il flusso costante di dati in transito nella rete in genere costringe le aziende a concentrarsi esclusivamente su determinate aree problematiche per la raccolta e l'analisi dei dati. I team responsabili della sicurezza spesso raccolgono e analizzano i log da sistemi critici, ma questo approccio al rilevamento delle minacce basato sui log lascia molti punti deboli che malintenzionati esperti possono sfruttare. La sicurezza basata su intelligence mira a eliminare i punti deboli fornendo una visibilità completa della rete e degli endpoint, come nel caso di server e computer dei dipendenti. Visibilità completa della rete e degli endpoint Le soluzioni di sicurezza basata su intelligence usano i log come una delle numerose origini di dati, ma ottengono una visibilità nettamente maggiore incorporando anche le capacità di acquisizione dei pacchetti della rete. L'acquisizione di tutti i pacchetti della rete consente di registrare, analizzare, normalizzare, esaminare e riassemblare tutto il traffico dati a ogni livello dello stack di rete. Quando il traffico della rete viene acquisito, viene analizzato e contrassegnato per facilitare le successive operazioni di analisi e valutazione delle minacce. Le operazioni di acquisizione e contrassegno dei dati della rete consentono agli analisti che si occupano della sicurezza di ricostruire le sessioni e le attività degli utenti per comprendere oltre ai dettagli di base, come l'ora o l'indirizzo IP a cui sono stati trasmessi specifici pacchetti di dati, anche quali informazioni siano transitate esattamente e quale sia il danno risultante. Con la raccolta completa dei pacchetti e la ricostruzione delle sessioni, le organizzazioni possono rilevare anomalie legate alla sicurezza e ricostruire incidenti specifici con sicurezza e precisione, in modo da poter esaminare le perdite e rimediare ai problemi in modo più rapido ed efficiente. pagina 4

5 Le soluzioni di sicurezza basata su intelligence forniscono anche ampia visibilità sulle attività negli endpoint, server e laptop inclusi. Per rilevare attività sospetta negli endpoint che possa indicare malware e altre minacce, le soluzioni devono analizzare ciò che accade nella memoria di un computer e ciò che viene memorizzato nel disco fisico. Confrontando i processi in esecuzione con i file su disco, senza affidarsi all'intervento di sistemi operativi e hypervisor che possono essere manipolati dal malware, le organizzazioni possono comprendere se gli eseguibili e i processi dell'endpoint siano legittimi o siano stati introdotti arbitrariamente. Una visione approfondita e dettagliata degli endpoint associata al rilevamento automatizzato delle attività sospette sono essenziali per identificare ed esaminare le minacce in tempi brevi. Raccolta e analisi dei dati in tempo reale I dati legati alla sicurezza, come log, pacchetti di rete e attività degli endpoint, vengono raccolti da origini diverse, analizzati e memorizzati in modo da semplificarne la ricerca e l'analisi da una posizione centrale. Ad esempio, i sistemi efficaci di raccolta dei pacchetti di rete analizzano e contrassegnano il traffico di dati durante la raccolta per successive operazioni di indicizzazione, storage e analisi. I dati di sicurezza interni e la visibilità vengono ulteriormente ottimizzati grazie all'intelligence sulle minacce da origini esterne. I dati sulle minacce esterne consentono alle organizzazioni di imparare dalle esperienze di altri utenti per migliorare le proprie capacità di rilevamento. Implementazione quando è necessario il monitoraggio In caso di urgente bisogno di migliorare la visibilità, ad esempio mentre sono in corso le indagini per un incidente effettivo in un'organizzazione, la semplicità e rapidità di implementazione sono essenziali. Spesso il processo necessario affinché gli strumenti di monitoraggio della rete e degli endpoint siano pronti e funzionanti richiede solo pochi giorni. Tale processo include l installazione delle attrezzature con funzionalità di acquisizione completa dei pacchetti nei principali punti di entrata o uscita della rete dell organizzazione, nonché l acquisizione del traffico di dati da e verso i sistemi IT che gestiscono la proprietà intellettuale e altre informazioni importanti. Gli agenti che effettuano la scansione per individuare attività di malware negli endpoint possono in genere essere implementati nell'arco di poche ore, in base alle dimensioni e all'entità dell'implementazione. ANALISI AVANZATE: INDIVIDUAZIONE DI MINACCE NASCOSTE L'impareggiabile visibilità, creata da una strategia di sicurezza basata su intelligence, offre molti altri vantaggi oltre all acquisizione dei dati validi ai fini legali, necessari per ricreare le scene dei crimini informatici. Crea nuove opportunità per migliorare la prevenzione e previsione nel rilevamento delle minacce, consentendo alle organizzazioni di prevenire violazioni gravi e danni alle attività. I sistemi di sicurezza basata su intelligence introducono nuovi approcci all'analisi e alla generazione di report basati sul comportamento di utenti, computer e risorse, che mirano a comprendere quali comportamenti siano normali per un determinato sistema, utente o risorsa, per poi individuare e segnalare anche la minima anomalia. I sistemi di sicurezza basata su intelligence si basano sui seguenti principi: Piattaforma unica a integrata per il monitoraggio e l'analisi di sicurezza Le operazioni per la sicurezza basata su intelligence centralizzano il monitoraggio, il rilevamento, l'analisi, le indagini e la generazione di report su anomalie e incidenti. In pochi clic gli analisti possono esaminare terabyte di dati di log, metadati e sessioni di rete ricreate. Poiché i dettagli relativi alle reti e agli endpoint sono disponibili tramite un sistema centralizzato e un'unica console, gli analisti non sono costretti a destreggiarsi fra strumenti e applicazioni di sicurezza diversi. Questa integrazione migliora anche la gestione delle query, consentendo agli analisti di risparmiare notevolmente in termini di tempo e impegno. Pertanto le indagini che un tempo richiedevano giorni ora possono essere gestite in pochi minuti. pagina 5

6 L'integrazione della tecnologia è la chiave che rende possibile questo elevato livello di efficienza. La piattaforma di analisi deve interagire con un'ampia gamma di strumenti che generano informazioni di sicurezza su server, reti, endpoint e altri sistemi IT vitali. L'analisi e la gestione dei metadati consolidano eventi, log e dati di rete provenienti da numerose origini per renderli accessibili in caso di analisi, segnalazione e generazione di report. Questo tipo di integrazione si estende oltre i limiti dei sistemi interni per includere l'uso di informazioni di intelligence sulle minacce esterne. I feed di intelligence che possono essere acquisiti direttamente dalla piattaforma di analisi, inclusi l'intelligence basata su community open source, i domini contrassegnati APT, nonché blacklist e proxy sospetti, sono essenziali per rilevare tempestivamente i problemi di sicurezza. Analisi tempestiva dei Big Data I sistemi di sicurezza basata su intelligence acquisiscono e analizzano enormi quantità di dati in rapido cambiamento da più origini, esaminando terabyte di dati in tempo reale. Le analisi legate alla sicurezza vengono stratificate per permettere diversi tipi di rilevamento. Ad esempio, i dati possono essere acquisiti e analizzati durante il transito nella rete. Questo tipo di analisi in fase di acquisizione identifica le attività sospette cercando strumenti, servizi, comunicazioni e tecniche spesso utilizzare dagli attacker, senza basarsi su log, eventi o firme di altri sistemi di sicurezza. Esempi di questo processo includono il rilevamento di programmi software diversi da browser che eseguono HTTP, protocolli su porte non convenzionali ed eseguibili integrati in file PDF. Questi strumenti sofisticati possono inoltre rilevare impercettibili segni di attacco, correlando eventi dall'aspetto innocuo se presi singolarmente, ma che costituiscono un problema se vengono collegati. Le tecniche di analisi fanno confluire gli input interni provenienti da origini diverse, utilizzando i metadati. Questi meccanismi avanzati di rilevamento fungono anche da allarme per fornire avvisi tempestivi di una potenziale intrusione. L'elaborazione di questi flussi di informazioni avviene mentre sono attivi, pertanto le attività sospette vengono individuate quando i team responsabili della sicurezza possono ancora fermare gli attacchi in corso. Con i sistemi di sicurezza basata su intelligence, i team delle operazioni di sicurezza possono anche eseguire analisi in batch su enormi volumi di dati cronologici relativi alla sicurezza. Questi ultimi sono necessari non solo per soddisfare i requisiti di conservazione dei dati della maggior parte delle aziende; hanno anche un valore inestimabile, poiché consentono di svelare tattiche degli avversari, la cui esecuzione può avere richiesto molti mesi e che potrebbe essere ancora in corso. Ad esempio, l'analisi in batch degli archivi di dati relativi alla sicurezza può aiutare a svelare attacchi informatici precedentemente sfuggiti in cui dati illeciti sono stati trasmessi solo sporadicamente in piccoli flussi nascosti nell'arco di settimane o mesi. Questi tipi di tecniche di attacco in sordina sono difficili da individuare nel momento in cui si verificano, poiché sono progettati per sembrare innocui assumendo le sembianze di processi esistenti e flussi di comunicazione. Tali tecniche in genere diventano sospette solo quando vengono eseguite in uno schema particolare in uno specifico intervallo di tempo. Analisi dettagliate ed automatizzate degli archivi di dati relativi alla sicurezza possono scoprire attacker mentre cercano di creare un punto d'appoggio, nonché rivelare perdite di informazioni di cui le organizzazioni potrebbero non accorgersi affatto. Spesso l'analisi in batch dei dati relativi alla sicurezza può evidenziare miniere di informazioni sulle tecniche degli attacker e gli indicatori di compromissioni che i team responsabili della sicurezza possono usare in futuro per individuare attacchi simili. L'aspetto forse più importante è che le tecniche di analisi in batch aiutano le organizzazioni a comprendere che cosa possa essere considerato "tipico" in un ambiente IT; ciò consente di identificare ed esaminare future deviazioni dalla normalità, che spesso indicano dei problemi, nel momento stesso in cui si verificano. pagina 6

7 RILEVAMENTO DI MINACCE BASATO SU INTELLIGENCE IN AZIONE Se le intrusioni non vengono rilevate, i cyber attacker in genere ottengono privilegi elevati, si spostano lateralmente tra i sistemi IT e si spacciano per utenti legittimi dopo aver ottenuto l'accesso a livello di dominio. Quando gli attacker raggiungono questo scopo, non possono più essere individuati ed eliminati con strumenti di sicurezza convenzionali. I team responsabili della sicurezza devono contenere la minaccia tramite una caccia costante e proattiva. Questi principi solo illustrati in un report sulla ricerca delle minacce RSA dedicato all'uso crescente di Web shell nei cyber attack. Una Web shell infetta può essere un file standalone contenente solo il codice della Web shell oppure può introdurre codice dannoso direttamente in pagine Web legittime. Poiché le Web shell non rientrano nelle definizioni tradizionali del malware, non possono essere rilevate tramite il software antivirus e altri strumenti di sicurezza tradizionali. Gli attacchi tramite Web offrono svariati vantaggi rispetto ai Trojan e ad altre forme convenzionali di malware: Basse percentuali di rilevamento a causa della varietà e personalizzazione del codice e poiché gli attacker possono mascherare le proprie attività illecite come traffico e file normali sui server Web Consentono agli attacker di ottenere una persistenza a basso livello nell'ambiente IT tramite vari metodi per aggiornare e sostituire backdoor dannosi Riescono ad accedere inizialmente tramite l'attacco del framework dell'applicazione web anziché tramite attacchi spear-phishing, che sono più facilmente identificabili La connettività può essere instaurata da qualsiasi indirizzo di origine, rendendo inefficace il blocco degli indirizzi IP Non è necessaria alcuna attività di beaconing rivelatrice Per informazioni su come il rilevamento delle minacce basato su intelligence abbia aiutato numerose aziende a individuare e risolvere attacchi Web shell, leggere il blog di RSA. Rilevamento basato sul comportamento anziché sulle firme I sistemi di sicurezza basata su intelligence monitorano l'ambiente IT alla ricerca di segnali di comportamento insolito di persone, applicazioni, infrastrutture e comunicazioni, senza limitarsi a indicatori espliciti come avveniva nel caso delle firme malware oppure degli indirizzi IP o dei domini inseriti nelle blacklist. Gli attacker esperti possono evitare approcci di monitoraggio statici basati su segni rivelatori, tramite la modifica di righe di codice, il provisioning di una nuova macchina virtuale in un cloud pubblico oppure la registrazione di un nuovo dominio Internet come un sito di comando e controllo o di consegna. È invece molto più difficile sfuggire ai sistemi di monitoraggio della sicurezza che osservano eventuali schemi o comportamenti insoliti. Prima o poi il malware o gli utenti ostili sono costretti a fare qualcosa di insolito, che interrompe la routine del sistema; proprio quello è il frangente nel quale vengono individuati dai sistemi di analisi basata su intelligence. Ad esempio, nel caso del rilevamento di malware, le soluzioni di rilevamento delle minacce negli endpoint non sono alla ricerca di file evidentemente pericolosi, bensì di comportamenti sospetti. Confrontando i processi in esecuzione nella memoria con ciò che dovrebbe essere in esecuzione sulla base dei file presenti nel disco locale, gli strumenti di rilevamento malware sono in grado di identificare meglio le discrepanze e ottenere una visione diretta e affidabile dell'eventuale presenza di codice illecito. I sistemi di sicurezza basata su intelligence definiscono ciò che caratterizza un comportamento normale in un ambiente IT, monitorando ed esaminando un'ampia gamma di attività dei computer e degli utenti, a partire dalle porte generalmente utilizzate dai server per le comunicazioni esterne fino alle abitudini dei dipendenti e le singole sedi da cui accedono. Le attività che si discostano dalla norma vengono segnalate in modo da essere esaminate dagli analisti addetti alla sicurezza. Se gli analisti considerano un evento come un falso positivo, gli strumenti di sicurezza possono apprendere da tale esperienza in modo da evitare di contrassegnarne le occorrenze future. Scalabilità senza penalizzazione delle prestazioni I processi di raccolta e analisi dei dati vengono gestiti da un'architettura di elaborazione distribuita, anziché da un unico database centralizzato. Suddividendo il carico di lavoro su numerosi nodi di elaborazione, le organizzazioni ottengono risultati più rapidi e un sistema scalabile e altamente modulare. Per consentire la raccolta e l'analisi dei dati in un nuovo segmento della rete o in una filiale, le organizzazioni possono semplicemente aggiungere un nuovo nodo. Questo sistema modulare e distribuito può adattarsi ai crescenti requisiti di analisi dei dati di un'organizzazione, senza peggioramento delle prestazioni o significativo aumento dei costi ANALISI DEL MALWARE: TOLLERANZA ZERO Il software ostile che i programmi antivirus segnalano come pericoloso in genere non corrisponde al malware utilizzato negli attacchi informatici mirati. Tuttavia, alcuni strumenti di sicurezza continuano a sostenere di proteggere le organizzazioni analizzando l'ambiente IT tramite le firme di malware facilmente alterabili. I sistemi di sicurezza basata su intelligence evitano l'analisi basata sulle firme a causa della sua evidente inefficacia e adottano un approccio a "tolleranza zero" per il rilevamento del malware che presume che tutti i programmi siano ostili, tutte le comunicazioni siano sospette, ogni computer infetto e ogni sistema operativo danneggiato. pagina 7

8 Rilevamento del malware in base al rischio Gli strumenti avanzati di rilevamento delle minacce esaminano il comportamento di computer, reti e processi per determinare se attualmente o in precedenza sono stati danneggiati da malware. Oltre a rilevare gli incidenti, tali strumenti valutano i rischi e forniscono avvisi con diverse priorità per rimediare alle violazioni. I file identificati come dannosi possono ottenere una priorità inferiore se si rivelano malware ordinari che si limitano a causare fastidi, anziché costituire una vera minaccia. Diversamente, i file che non mostrano segni evidenti di manomissione possono contenere un eseguibile personalizzato, progettato per essere eseguito solo quando raggiunge determinati sistemi o quando viene inviato un comando nascosto. Per svelare questo tipo di malware pericoloso e personalizzato, gli strumenti avanzati di rilevamento delle minacce usano una serie di tecniche di analisi che valutano i livelli di rischio dei file sospetti. Ad esempio, un'organizzazione può impostare una regola in base alla quale il sistema di sicurezza deve analizzare ogni nuovo eseguibile proveniente dalle reti. Il sistema di rilevamento malware filtrerà quindi i nuovi eseguibili, eseguendoli in un ambiente in quarantena, registrando tutto ciò che fanno e quindi aumentando il livello di rischio se si osservano comportamenti sospetti, quali la modifica di impostazioni del registro di sistema o la sostituzione delle DLL del sistema operativo. È chiaro che anche il software legittimo possa eseguire queste azioni, ad esempio per integrare funzioni nel software esistente oppure per installare una patch. Tuttavia, se il nuovo eseguibile mostra uno di questi comportamenti unitamente alla creazione di insolite connessioni di rete, il suo livello di rischio generale aumenterà drasticamente. Le tecniche di rilevamento malware basate su intelligence mettono in correlazione numerosi fattori, per ottenere valutazioni probabilistiche sul rischio e propongono avvisi con diverse priorità agli analisti addetti alla sicurezza. È compito degli analisti stabilire la gravità di una minaccia, ma le loro decisioni sono nettamente più rapide e accurate in virtù del lavoro svolto in background dagli strumenti di sicurezza basata su intelligence. Correlazione centralizzata dell'attività sospetta negli endpoint I risultati delle scansioni negli endpoint vengono inviati a un server centrale in cui vengono identificati i file noti e sconosciuti e l'attività sospetta viene segnalata. I file (inclusi i processi, i driver, le DLL e così via) vengono analizzati e i livelli di rischio vengono assegnati in base al comportamento osservato. Il comportamento del file può essere valutato a un livello generale nell'intera organizzazione per mostrare se il potenziale malware sia attivo in un computer e dormiente in un altro. Le organizzazioni possono inoltre comprendere la rilevanza di un determinato file nell'ambiente. Ad esempio, se un determinato file viene trovato in migliaia di computer dell'organizzazione, è possibile che si tratti di un'applicazione IT standard che può essere esclusa dalla visione degli analisti addetti alla sicurezza durante un'indagine. D'altro canto, se viene identificato un file dannoso, le organizzazioni possono rapidamente comprendere la portata dell'infezione visualizzando all'istante tutti gli altri computer in cui è presente tale file. Avvisi con diverse priorità per accelerare l'analisi e l'intervento in caso di malware Per ridurre al minimo il carico sugli analisti della sicurezza, l'approccio basato su intelligence al rilevamento del malware si basa sui risultati delle scansioni precedenti e su una baseline dell'ambiente per segnalare automaticamente i file sconosciuti o sospetti. Prima di essere presentati agli analisti, i risultati delle scansioni vengono controllati a fronte di un repository globale di elementi precedentemente esaminati dagli analisti e inclusi in una whitelist, per indicare che i file sono attendibili. I file attendibili vengono rimossi dai risultati della scansione per evitare di confondere gli analisti. pagina 8

9 Le console che rilevano le minacce negli endpoint non si limitano semplicemente a presentare un elenco di risultati della scansione, bensì assegnano priorità ai problemi potenziali in modo che gli analisti possano identificare gli elementi da esaminare per primi. Per velocizzare le indagini, tali console forniscono dettagli avanzati sui problemi potenziali. Ad esempio, mettono in correlazione comportamenti sospetti relativi a un file (quale un driver, un processo o una DLL) e quindi rivelano tutto ciò che è possibile sapere sul file (ovvero dimensioni, attributi, hash dei file MD5) tramite un'analisi statica ed euristica. Gli analisti addetti alla sicurezza utilizzano gli strumenti e le informazioni presenti nella console per determinare se il file è pericoloso e deve essere incluso nella blacklist, oppure innocuo e da includere nella whitelist. Se un elemento viene ritenuto pericoloso, tutte le occorrenze del problema vengono identificate all'istante nell'intero ambiente IT. Dopo aver individuato una soluzione, il team responsabile delle operazioni di sicurezza può svolgere tutte le indagini necessarie e/o ripulire tutti gli endpoint interessati. RISPOSTA AGLI INCIDENTI: AZIONE RAPIDA E MIRATA Sebbene la crescente quantità e complessità degli ambienti IT abbia ampliato l'ambito delle vulnerabilità, ciò non implica che tutti i potenziali punti di ingresso siano caratterizzati dallo stesso livello di rischio. Quando si sospetta un attacco o un incidente, i team responsabili della sicurezza devono agire in fretta per circoscrivere gli attacker nell'ambiente IT e limitare i danni. Per questo scopo è necessaria una pianificazione, la formazione del personale e a volte anche un'assistenza esterna. Pratica e pianificazione per bloccare prontamente le violazioni Se preparati adeguatamente, i team responsabili della sicurezza sanno quali siano gli asset di informazioni più preziosi e quali sistemi, applicazioni e utenti vi hanno accesso. Conoscere questi parametri aiuta gli analisti addetti alla sicurezza a limitare l'ambito di indagine durante una violazione, in modo che possano affrontare il problema in modo più rapido e deciso. I team responsabili delle operazioni di sicurezza devono condurre valutazioni dell'idoneità ad affrontare le violazioni ed esercitazioni sulle soluzioni, per migliorare la rapidità e l'efficacia delle reazioni ai cyber attack. Nell'ambito di tali valutazioni, i team responsabili della sicurezza fanno l'inventario degli asset IT di maggior valore che devono essere protetti, controllano i workflow per esaminare e risolvere gli incidenti e valutano aree di miglioramento. Per ottenere una pianificazione e una preparazione proattiva, le organizzazioni devono allineare le proprie politiche di sicurezza alle priorità aziendali e ai requisiti richiesti dalle normative vigenti. In questo modo le organizzazioni possono migliorare progressivamente le proprie capacità di rilevamento, gestione e reazione alle minacce. Inoltre si ottimizzano l'assegnazione del personale e l'acquisizione delle competenze per i team responsabili delle operazioni di sicurezza, in modo da sfruttare al massimo tutte le risorse. Ciò consente altresì di offrire una formazione mirata, volta a migliorare le capacità di risposta agli incidenti del personale addetto alla sicurezza. Risposta agli incidenti basata sui dati per risultati migliori e più rapidi I team responsabili delle operazioni di sicurezza spesso trovano prove potenziali di un'intrusione o violazione, ma devono svolgere un'indagine per comprenderne le cause. Capita inoltre che le organizzazioni valutino le cause potenziali per settimane o mesi senza successo. In questi casi può essere utile integrare esperti e strumenti specializzati nella risposta agli incidenti. Gli specialisti della risposta agli incidenti possono implementare tecnologie che acquisiscono le attività nelle reti e negli endpoint dei segmenti chiave dell'ambiente IT. Sulla base di scansioni, analisi e informazioni supplementari generate da queste tecnologie, gli esperti di risposta agli incidenti in genere riescono a individuare il luogo e le modalità di esecuzione delle violazioni in modo da bloccare i cyber attack più rapidamente di quanto possano fare le organizzazioni contando unicamente sulle proprie forze. pagina 9

10 Contesto consolidato per velocizzare le indagini Le soluzioni di sicurezza basata su intelligence raccolgono un vasto assortimento di informazioni di sfondo e di supporto, che sono di aiuto nelle indagini sugli incidenti. Avvisi provenienti da più sistemi di monitoraggio della sicurezza vengono aggregati in un'unica console di gestione della sicurezza, dalla quale gli analisti possono eseguire il drill-down per esaminare origini dati, computer interessati e altre informazioni relative agli incidenti con pochi clic del mouse. La console di security management si integra anche con il software di gestione dei rischi a livello aziendale per fornire informazioni contestuali sull'importanza per l'azienda degli incidenti identificati e dei sistemi interessati. A ogni incidente viene assegnata una valutazione di priorità sulla base degli asset di informazioni coinvolti, dei rischi per l'organizzazione e della gravità del problema di sicurezza. Tutte insieme queste informazioni supplementari aiutano gli analisti a esaminare gli incidenti in modo più completo, accurato e rapido. I sistemi di sicurezza basata su intelligence inglobano inoltre informazioni da origini esterne per arricchire i dati di sicurezza interni dell'organizzazione. La piattaforma di analisi e il dashboard di gestione della sicurezza identificano, aggregano e adoperano le migliori origini di intelligence e dati sul contesto interne ed esterne all'organizzazione per velocizzare il processo decisionale degli analisti e i workflow. CONCLUSIONI Il rilevamento delle minacce e la risposta basati su intelligence aiutano le organizzazioni a ottenere standard prevedibilmente elevati di sicurezza nonostante la rapida diffusione e imprevedibilità delle minacce attuali. Il rilevamento delle minacce basato su intelligence si impernia sulla realizzazione di una visibilità completa delle reti e degli endpoint e sull'applicazione di tecniche di analisi dei dati avanzate per svelare il malware senza utilizzare esclusivamente hash o firme. La reazione alle minacce basata su intelligence viene attuata da esperti di sicurezza coadiuvati da soluzioni di analisi e strumenti di gestione specificamente progettati per la sicurezza. Tali strumenti migliorano nettamente la velocità e l'accuratezza delle indagini di sicurezza fornendo il contesto completo degli incidenti da un'unica console di gestione e assegnando diverse priorità ai potenziali problemi da valutare ulteriormente. La sicurezza basata su intelligence garantisce un'efficienza senza precedenti nel rilevamento delle minacce e nella risposta in quanto ottimizza l'interazione tra il personale, i processi e le tecnologie di sicurezza di un'organizzazione. Gli strumenti vengono integrati per migliorare la visibilità e valutazione degli analisti della sicurezza e per consentire analisi e generazione di report centralizzate. Gli strumenti guidano inoltre i workflow di indagini e i processi di correzione basati su procedure comprovate e sulle politiche dell'organizzazione. Supportando i team responsabili della sicurezza con una serie ottimale di strumenti e processi, le organizzazioni possono ridurre al minimo il tempo che gli analisti della sicurezza devono dedicare ai processi di routine e consentire loro di concentrarsi sulla neutralizzazione delle minacce più importanti. Il risultato finale è una sicurezza più inattaccabile e flessibile che non solo aiuta le organizzazioni a fronteggiare le principali minacce alla sicurezza ma anche di muoversi nel mondo digitale con maggiore fiducia. pagina 10

11 SOLUZIONI DI RILEVAMENTO DI MINACCE E RISPOSTA BASATI SU INTELLIGENCE IN RSA RSA Advanced Cyber Defense Practiceoffre una serie olistica di soluzioni che aiutano i clienti a proteggere la propria missione aziendale, stimolare l'efficienza operativa e realizzare un ambiente dinamico per far fronte alle minacce. Gli attacchi mirati spesso si concentrano sul furto di asset e dati critici e sull'uso di tecniche che aggirano le difese tradizionali. Con RSA le organizzazioni possono migliorare le proprie soluzioni di sicurezza esistenti e implementare contromisure progettate per impedire agli avversari informatici di raggiungere i loro obiettivi. I servizi offerti da RSA includono gap analysis, Maturity Model, intelligence sulle minacce informatiche, potenziamento dell'infrastruttura, nonché sviluppo e automazione delle operazioni di sicurezza. I servizi sono progettati per aiutare le organizzazioni a far convergere le proprie risorse tecniche e operative in un programma di sicurezza unificato che sia allineato alle priorità di gestione dei rischi e agli obiettivi aziendali. RSA evidenzia le misure preventive necessarie per proteggere l'organizzazione e al contempo fornisce servizi di risposta agli incidenti e risoluzione per ridurre i tempi di esposizione alle violazioni e limitare gli attacchi. Gli RSA Education Services includono corsi di formazione sulla sicurezza delle informazioni concepiti per il personale IT, gli sviluppatori di software, gli esperti di sicurezza e i dipendenti di un'organizzazione in generale. I corsi sono tenuti da esperti di sicurezza da RSA s Advanced Cyber Defense Practice e combinano teorie, tecnologia ed esercizi basati su scenari per coinvolgere i partecipanti in un apprendimento attivo. Il curriculum attuale include argomenti quali l'analisi del malware e l'intelligence sulle minacce informatiche. Gli RSA Education Services offrono anche un seminario su come affrontare minacce avanzate quali le APT (Advanced Persistent Threat). I corsi sono progettati per fornire il maggiore numero di informazioni nel più breve tempo possibile, per ridurre al minimo i tempi di inattività del personale. RSA Enterprise Compromise Assessment Tool (ECAT) è una soluzione di rilevamento minacce e risposta di livello aziendale progettata per monitorare e proteggere gli ambienti IT da software pericoloso e dal malware più sfuggente, compresi i rootkit più nascosti, APT e virus non identificati. RSA ECAT automatizza il rilevamento delle anomalie nelle applicazioni e nella memoria dei computer senza basarsi sulle firme dei virus. Anziché analizzare gli esempi di malware per creare firme, RSA ECAT definisce una baseline di anomalie partendo da applicazioni attendibili, filtrando i disturbi di fondo per svelare l'attività pericolosa nei computer interessati. La console RSA ECAT presenta una visione centralizzata delle attività che si verificano nella memoria di un computer, che può essere utilizzata per identificare rapidamente il malware, indipendentemente dall'esistenza di una firma o dal precedente rilevamento del malware. Quando viene identificata una singola anomalia pericolosa, RSA ECAT può effettuare la scansione su migliaia di computer, per identificare altri endpoint danneggiati o a rischio. pagina 11

12 Adozione della sicurezza basata su intelligence RSA Security Analytics è progettato per offrire alle organizzazioni la consapevolezza situazionale necessaria per gestire le problematiche di sicurezza più urgenti. Analizzando i dati del traffico di rete e degli eventi del log, la soluzione RSA Security Analytics consente alle organizzazioni di avere una panoramica completa dell'ambiente IT, permettendo agli analisti della sicurezza di assegnare rapidamente una priorità alle minacce, indagare su di esse, prendere decisioni relative alla risoluzione, intraprendere un'azione e generare automaticamente report. L'architettura dati distribuita della soluzione RSA Security Analytics raccoglie, analizza e archivia grandi volumi di dati (spesso centinaia di terabyte o più) a una velocità molto elevata utilizzando più modelli di analisi. La soluzione è inoltre in grado di integrare l'intelligence sulle minacce tramite RSA Live in relazione agli strumenti, alle tecniche e alle procedure più recenti utilizzati dalla community degli attacker per segnalare alle organizzazioni potenziali minacce attive nel proprio ambiente. RSA Security Operations Management permette agli analisti di rilevare gli incidenti legati alla sicurezza e le violazioni dei dati, nonché a rispondere a tali eventi, in modo più efficace fornendo un livello di coordinamento centralizzato per le indagini di sicurezza che integri persone, processi e tecnologia. La soluzione aggrega e collega i sistemi e i processi di sicurezza per fornire un contesto integrato per la risposta agli incidenti. Aiuta inoltre i team responsabili della sicurezza a monitorare e generare report sugli indicatori di prestazioni chiave. Il framework RSA Security Operations Management è basato sulle best practice del settore per quanto concerne la risposta agli incidenti e la gestione delle violazioni. INFORMAZIONI SU RSA RSA, The Security Division of EMC, è il principale provider di soluzioni di sicurezza basate su intelligence. RSA consente alle organizzazioni leader a livello mondiale di risolvere le sfide più complesse e delicate in fatto di sicurezza: gestione del rischio organizzativo, protezione degli accessi e della collaborazione su dispositivi mobili, prevenzione della frode online e difesa dalle minacce avanzate. RSA offre agili controlli per la verifica delle identità, il rilevamento delle frodi e la protezione dei dati, solide funzionalità di Security Analytics e GRC leader del settore, nonché servizi di consulenza forniti da professionisti del settore. Per ulteriori informazioni, visitare il sito EMC 2, EMC, il logo EMC, RSA, Archer, FraudAction, NetWitness e il logo RSA sono marchi o marchi registrati di EMC Corporation negli Stati Uniti e in altri paesi. Microsoft e Outlook sono marchi registrati di Microsoft. Tutti gli altri marchi o servizi citati nel presente documento appartengono ai rispettivi proprietari. Copyright 2014 EMC Corporation. Tutti i diritti riservati. H13402