A lighthouse on a rocky coast, with an overcast sky
Operazioni di Sicurezza

Dalla prima linea: il punto di vista del nostro CISO su Pacific Rim

Al di là di “ Detect and Respond” e “Secure by Design”
Scritto da
4 Novembre 2024
Security Operations Pacific Rim Pacific Rim thought leadership Sophos X-Ops

Sophos non è il primo fornitore di cybersicurezza a scoprire che i suoi prodotti perimetrali sono l’obiettivo di un attacco sostenuto da parte di uno Stato nazionale. Se c’è qualcosa di speciale nella serie di eventi che riveliamo in “Pacific Rim: Inside the Counter-Offensive-The TTPs Used to Neutralize China-Based Threats”, è che stiamo riportando questa attività di caccia/contro-caccia nel modo più completo possibile, così da illustrare con precisione ciò che il settore della sicurezza si trova ad affrontare in termini di determinazione e aggressività di certi attaccanti. Grazie ad essa, abbiamo imparato molto sulle contromisure. Questo saggio presenta tre serie di osservazioni che altri difensori possono applicare.

Per aumentare i costi dell’avversario, è necessario ridurne le capacità. Sophos è abbastanza grande da poter attingere a importanti risorse in caso di emergenza, ma è anche abbastanza agile da poter rispondere rapidamente e in modo creativo per mettere in difficoltà l’attaccante. In questa situazione, il vantaggio è stato quello di avere un ambiente relativamente prevedibile come i firewall. Rispetto all’attività sugli endpoint generici, gli aggressori devono lavorare di più per essere silenziosi e non invadenti sui firewall. Se si confronta questo aspetto con l’alto valore generale dei firewall – potenti dispositivi Linux, sempre accesi, con una buona connettività, situati per loro natura in luoghi fidati della rete – si capisce perché un aggressore vorrebbe trovarsi lì e perché siamo stati in grado di affrontarlo efficacemente su quel campo.

Certo, ci sono stati alcuni episodi straordinari (e carichi di tensione) quando abbiamo osservato gli aggressori evolvere le proprie capacità creative; ci viene in mente il bootkit UEFI, che crediamo sia il primo caso osservato di bootkit utilizzato per la persistenza sui firewall. Tuttavia, questo tipo di creatività ha un costo elevato. Un mondo in cui gli aggressori sono costretti a trovare il modo di restare in memoria e a usare i bootkit UEFI per la persistenza è un mondo in cui la maggior parte dei difensori direbbe, ancora una volta, di avere un vantaggio di campo. (E poi possono continuare a sviluppare processi di rilevamento e risposta a queste tattiche molto specifiche).

Leggi tutto l’articolo.

L’autore

Ross McKerchar is the CISO of Sophos. Ross has a BSc in Computer Science from Edinburgh University and joined Sophos in 2007. During his 17 years at Sophos, Ross established and built Sophos’ cybersecurity program through periods of high company growth, including multiple acquisitions and an IPO on the LSE.

At Sophos, the CISO team runs all aspect of Sophos' own security including Security Architecture, Trust and Compliance, Product Security, Red Teaming and Security Operations. Sitting in the Sophos technology group alongside Sophos Labs and our customer-facing MDR team, we are part of Sophos X-Ops joint task force.

Out of work Ross has a passion for the outdoors and, when he’s not spending time with his young family, loves to travel around the world rock climbing, trail running or surfing.

Leggi articoli simili

Lascia un commento

Your email address will not be published. Required fields are marked *