Operazioni di Sicurezza

I segreti di un analista della sicurezza: garantire una copertura 24 ore su 24, 7 giorni su 7

I suggerimenti degli analisti della sicurezza più esperti per aiutarti a indagare sugli incidenti

Quando sono al lavoro nel Sophos Rapid Response, il nostro servizio di Incident Response, purtroppo è fin troppo comune che mi imbatta in team IT che cercano di ricostruire le rovine della loro rete a seguito di un attacco informatico. Quando si parla con questi amministratori, spesso si scopre che, anche se disponevano di un software di sicurezza, è stato commesso un errore di configurazione che ha consentito all’attaccante di entrare nella rete, oppure è mancato un indicatore di compromissione che avrebbe potuto avvisare il team della potenziale violazione prima che avvenisse l’attacco.

Sfortunatamente, è probabile che qualsiasi utente malintenzionato che abbia cercato di violare la tua rete sia ben attrezzato, ben finanziato ed esperto nell’arte della network and system penetration. Spesso notiamo che gli aggressori hanno speso una notevole quantità di tempo:

  • Alla ricerca del loro obiettivo
  • A effettuare ricognizioni sia all’interno che all’esterno della rete
  • Nell’identificazione dei dispositivi probabili da prendere di mira (o anche persone)
  • Nella realizzazione di campagne di social engineering contro tali obiettivi al fine di ottenere informazioni supplementari, come nomi utente e credenziali, che consentano loro di entrare più a fondo nella rete

Nella maggior parte delle violazioni su cui indaghiamo, basandoci sulle tracce che si sono lasciati alle spalle, siamo spesso in grado di rilevare che gli aggressori erano presenti nella rete da un periodo di tempo significativo prima dell’incidente informatico. Questo “tempo di permanenza” può durare giorni, settimane o addirittura mesi, consentendo all’attaccante di integrarsi completamente all’interno della rete prima di lanciare l’attacco che desidera. Potrebbe trattarsi di un attacco ransomware o di una distribuzione di massa di software di cripto-mining.

Tuttavia, nella maggior parte dei casi, ci deve essere stato qualche segnale che indicava l’attività degli aggressori nella tua rete per un tempo significativo prima dell’incidente informatico. A causa dell’estrema pressione sugli amministratori IT e sui team di sicurezza, è facile capire come questi segnali si siano persi o come il sistema non sia stato configurato correttamente per la protezione e l’avviso di queste minacce.

Per mitigare questo rischio, è necessaria una soluzione di sicurezza a più livelli adeguatamente monitorata e gestita. Vale a dire:

  • Un prodotto per la sicurezza degli endpoint di nuova generazione con funzionalità complete che fornisca diversi livelli di protezione
  • Una solida piattaforma di gestione per il tuo prodotto di sicurezza protetto da contromisure come l’autenticazione a più fattori (MFA)
  • Una squadra in grado di monitorare in modo efficace la tua infrastruttura di sicurezza e condurre una caccia alle minacce proattiva e reattiva 24 ore al giorno, 7 giorni alla settimana, tutti i giorni dell’anno, perché, come rilevato dall’FBI e dalla CISA, la maggior parte degli attacchi avviene quando gli aggressori sanno che l’IT e i team di sicurezza probabilmente non stanno monitorando i loro ambienti, ad esempio nei fine settimana e nei giorni festivi (2)
  • Il know-how all’interno di quel team per prendere rapidamente le decisioni corrette quando si tratta di analisi delle minacce e di risposta agli incidenti identificati nella tua rete

Sebbene i punti uno e due siano facili da realizzare, possono esserci difficoltà a soddisfare il terzo e il quarto requisito. Nell’ultimo anno abbiamo registrato un aumento del 63% del carico di lavoro non di sicurezza dei team IT e un aumento del 69% del carico di lavoro di sicurezza informatica [1]. Ciò influisce sulla gestione quotidiana di una squadra IT, con il 61% che segnala un aumento dei tempi di risposta ai casi IT. I team IT più numerosi spesso devono destreggiarsi con il crescente carico di lavoro di sicurezza mantenendo la rete protetta.

Inoltre, c’è una notevole carenza di competenze nel settore IT. Il 54% degli amministratori IT ritiene che, anche con tutti gli strumenti a disposizione, gli attacchi informatici siano ormai troppo avanzati per essere affrontati internamente [1]. Pertanto, anche se la tua organizzazione ha il budget da investire nella tua squadra di sicurezza, ricoprire quei ruoli può essere difficile. Una volta che ti rendi conto che devi assumere almeno sei persone per fornire una copertura 24 ore su 24, 7 giorni su 7, la sfida si moltiplica.

Ecco perché i servizi Managed Detection and Response (MDR), come Sophos Managed Threat Response (Sophos MTR), che forniscono una copertura 24/7/365 per il tuo ambiente, sono soluzioni ideali per molte organizzazioni. Quando si seleziona un servizio MDR per ampliare la propria squadra, ci sono alcune domande essenziali a cui dare risposta:

  • Che livello di supporto fornisce il team? Neutralizzeranno le minacce per noi? Oppure ce ne parleranno?
  • In cosa consiste la loro bonifica? Stanno solo isolando il dispositivo per garantire che l’attaccante non possa spostarsi lateralmente attraverso la tua proprietà o stanno cacciando definitivamente il nemico?
  • Quanto è competente il team di ricerca delle minacce, neutralizzazione e risposta agli incidenti?

Diamo un’occhiata a come si posiziona Sophos in queste aree.

Livello di supporto

Sophos MTR lavora con e al fianco del tuo gruppo IT, integrandosi ed estendendo la tua organizzazione. Offriamo una gamma di modalità di risposta in modo che tu possa scegliere come vuoi lavorare con noi:

Notifica

  • Il team di Sophos MTR ti informerà di qualsiasi comportamento preoccupante e ti guiderà su come rimediare

Collaborazione

  • Il team di Sophos MTR ti contatterà e lavorerà con il tuo team per condividere l’onere di rimediare al comportamento o alla minaccia

Autorizzazione

  • Il team di Sophos MTR risolverà e neutralizzerà attivamente le minacce nel tuo ambiente per tuo conto
  • Ti informeremo in seguito sulle azioni intraprese
  • Se si verifica un incidente di sicurezza critico o un aggressore attivo sulla tua rete, contatteremo i tuoi contatti preposti per informarli che si sta verificando un incidente prioritario

Collaborazione con l’opzione Autorizzazione

  • Ci consenti di spostarti in una modalità “Autorizzazione” se non c’è risposta alle nostre comunicazioni iniziali in merito a un incidente o una minaccia

Qualità del risanamento

Sophos cambia il paradigma con il livello di azione che possiamo intraprendere per garantire che i vostri sistemi siano sicuri. Gli strumenti a nostra disposizione includono:

Azioni Descrizione
Modifica le configurazioni Regola le configurazioni per gestire una minaccia attiva. Non limitato all’adeguamento delle politiche sulle minacce, all’abilitazione delle funzioni di protezione Sophos sui dispositivi non protetti, alla regolazione delle esclusioni, ecc.
Isola gli host Limita l’esposizione che potrebbe avere un asset compromesso
Blocca i file Blocca i file tramite hash all’interno di un ambiente per impedire l’esecuzione di contenuti dannosi
Esegui la scansione Avvia la scansione del sistema
Blocca i siti Web/IP/CIDR Blocca un sito Web o un indirizzo IP specifico tramite il controllo Web
Blocca l’applicazione Blocca un’applicazione specifica tramite il controllo delle applicazioni
Usa il terminale in tempo reale Se altre azioni di risposta non sono efficaci, l’uso di Live Terminal può darci accesso diretto all’host.
SophosLabs Il team di Sophos MTR ha una linea diretta con i SophosLabs per raccogliere i dati più aggiornati sulle minacce su una particolare minaccia.

Voglio prendermi un momento per tuffarmi in Live Terminal. Quando si affronta un aggressore attivo con un accesso da tastiera alla tua rete, spesso l’unico modo per neutralizzare e rimuovere attivamente quell’attaccante dalla tua rete è combattere il fuoco con il fuoco. In questi casi, uno dei nostri analisti MTR senior chiederà l’approvazione della direzione e quindi attiverà una sessione di Live Terminal direttamente sui dispositivi pertinenti sulla tua rete. All’interno di questa sessione, avrà pieno accesso alla riga di comando (o terminale per OSX e Linux) del dispositivo, cosa che gli consentirà di eseguire una difesa attiva contro l’attaccante; inoltre, se l’analista MTR ha bisogno di isolare il dispositivo, è comunque in grado di mantenere il proprio tunnel sicuro verso i tuoi dispositivi e neutralizzare e rimediare attivamente alla minaccia.

Competenza sulla sicurezza

Il gruppo di Sophos MTR è composto da cacciatori di minacce certificati e professionisti della sicurezza (SSCP, SCP) che sono spesso esperti nelle aree prescelte (C|EH, C|TIA, ECSA) e fonti di conoscenza a 360 gradi in ogni area del tuo stack di sicurezza (CompTIA Security+, Network+, CySA+). Quando ci consegnate le chiavi del vostro castello, sappiate che ci assumiamo una responsabilità che non viene presa alla leggera.

Per riassumere….

La conclusione è che la caccia alle minacce e la neutralizzazione è un’attività 24 ore su 24, 7 giorni su 7, che richiede operatori esperti. Se non hai la capacità o le competenze interne per fornire questo livello di copertura, amplia la tua squadra con analisti di terze parti. Scegli qualcuno che possa lavorare con te per elevare le tue difese e tenere a bada gli attaccanti, anche nel cuore della notte.

 

 

[1] Sophos: The IT Security Team: 2021 and beyond

[2] CISA – Ransomware Awareness for Holidays and Weekends