Gli avversari attivi sono ormai una seria minaccia per le organizzazioni di ogni dimensione. Questi criminali informatici altamente qualificati continuano a sviluppare ed evolvere le loro tecniche in risposta a difese avanzate, eseguendo attacchi su vasta scala e impiegando tecniche sofisticate specificamente progettate per evitare di attivare le soluzioni di sicurezza predittive.
Siamo entusiasti di annunciare l’aggiunta di nuove funzionalità alle soluzioni Sophos Firewall, Sophos XDR e Sophos NDR per consentire alle organizzazioni di difendersi ulteriormente da questi pericolosi avversari.
Cosa sono gli avversari attivi e come agiscono?
Gli avversari attivi sono criminali informatici altamente qualificati, spesso dotati di software e competenze di rete sofisticati, che si introducono nei sistemi di un’organizzazione, eludono il rilevamento e adattano continuamente le loro tecniche, utilizzando metodi hands-on keyboard e AI-assisted per aggirare i controlli di sicurezza predittivi ed eseguire i loro attacchi.
Le organizzazioni hanno bisogno di controlli di sicurezza adattivi progettati per rilevare e rispondere agli approcci comunemente utilizzati dagli avversari attivi:
Attacchi multi-fase
Attacchi che si concludono in un luogo diverso da quello in cui sono iniziati.
Gli avversari attivi eseguono attacchi che attraversano più domini nell’ambiente della vittima. L’intera portata di queste aggressioni non può essere rilevata da un singolo prodotto. Le organizzazioni hanno bisogno di avere visibilità sull’intero ecosistema.
Attacchi di tipo “living off the land”
Attacchi che utilizzano strumenti legittimi in modo dannoso
Gli strumenti di sicurezza preventiva non sono in grado di bloccare l’uso di strumenti IT legittimi senza il rischio di causare una significativa interruzione delle operazioni. Gli aggressori ne approfittano utilizzando strumenti IT legittimi come RDP e PowerShell per passare inosservati..
Vulnerabilità sconosciute
Attacchi che sfruttano una vulnerabilità, una falla o un errore nel software
Gli aggressori sfruttano vulnerabilità zero-day e non patchate per eseguire questi attacchi: Il 65% dei ransomware inizia con un aggressore che sfrutta una vulnerabilità sconosciuta o che accede utilizzando credenziali legittime..
Abuso di credenziali
Attacchi che iniziano con l’accesso dell’avversario invece che con l’intrusione.
Gli avversari attivi utilizzano credenziali utente legittime compromesse per accedere e portare a termine le aggressioni. Gli strumenti di sicurezza preventiva non sono in grado di bloccare o rilevare finché l'”utente” non dimostra un comportamento sospetto o dannoso.
Il nostro nuovo Active Adversary Report per i professionisti della sicurezza evidenzia i principali cambiamenti nel comportamento degli avversari nell’ultimo anno, tra cui:
- Gli attaccanti stanno accelerando. Il tempo di permanenza del ransomware sta rapidamente diminuendo, passando da nove giorni nel 2022 a cinque giorni nella prima metà del 2023.
- Gli avversari abusano spesso di strumenti informatici legittimi. I LOLBin (Living-off-the-Land Binaries) e le tecniche non variano sostanzialmente tra attacchi veloci (< cinque giorni di tempo di permanenza) e lenti (> cinque giorni di tempo di permanenza).
- Gli avversari attivi innoveranno quando dovranno farlo, e solo nella misura in cui questo li porterà al loro obiettivo.
Il report evidenzia la necessità per le organizzazioni di capire come si comportano gli avversari attivi e di avere visibilità sui loro ecosistemi di sicurezza per rilevare rapidamente e rispondere ancora più velocemente.
Cosa c’è di nuovo?
Stiamo aggiungendo nuove funzionalità alla piattaforma Sophos, attraverso Sophos XDR, Sophos Firewall e Sophos NDR, che danno alle organizzazioni un potere di difesa ancora maggiore:
Sophos Firewall – ora con Active Threat Response (Risposta attiva alle minacce)
Ora disponibile!
La nuova funzione Active Threat Response di Sophos Firewall v20 fornisce una risposta istantanea e automatizzata agli avversari attivi. Gli analisti di Sophos XDR e MDR possono inviare informazioni sulle minacce ai firewall direttamente da Sophos Central, consentendo a questi ultimi di coordinare immediatamente le difese senza bisogno di interventi manuali o di nuove regole.
Sophos NDR – ora disponibile per XDR
Disponibile dal 20 novembre 2023
Sophos Network Detection and Response (NDR) rileva gli aggressori che si muovono tra i dispositivi della rete di un’organizzazione. Precedentemente fornito solo come componente aggiuntivo di Sophos MDR, Sophos NDR è ora disponibile come componente aggiuntivo di Sophos XDR, per le organizzazioni che gestiscono le proprie attività di rilevamento e risposta.
Sophos XDR – ora con una maggiore compatibilità con le terze parti e una UX ottimizzata
Disponibile dal 20 novembre 2023
Stiamo ampliando in modo significativo la gamma di strumenti e prodotti di terze parti che i clienti possono integrare con Sophos XDR, in tutte le categorie di endpoint, firewall, cloud, identità, rete, e-mail e produttività. Sophos XDR consolida i dati di sicurezza e fornisce ai clienti un’unica console da cui lavorare, con flussi di lavoro ottimizzati che riducono il carico di lavoro delle indagini.
Prodotti singoli o prodotti e servizi connessi che lavorano insieme?
Gli aggressori adattano continuamente le loro tecniche, con la conseguente introduzione di nuovi prodotti mirati per difendersi da questi nuovi approcci. Strumenti diversi, tuttavia, in genere non comunicano bene tra loro. Sophos offre una piattaforma unificata che incorpora un ampio portafoglio di prodotti e servizi per la sicurezza informatica, progettati per funzionare insieme senza problemi. Inoltre, compatibile con le tecnologie di terze parti, l’ecosistema connesso di Sophos fornisce azioni automatiche e dati correlati, consentendo alle organizzazioni di rilevare, investigare e rispondere più rapidamente agli avversari, su tutte le principali superfici di attacco.
Migliorate le vostre difese
Per saperne di più ed esplorare come le soluzioni Sophos possono aiutare la vostra organizzazione a difendersi meglio dagli avversari attivi, parlate oggi stesso con un consulente Sophos o con il vostro partner Sophos.