Un tema che ci ha presentato non pochi problemi.
Siamo dei grandi appassionati del NCSAM, ma non possiamo dire lo stesso per quanto riguarda le previsioni per il futuro, quindi abbiamo deciso di sostenere il NCSAM con alcune previsioni fatte a modo nostro e cioè prendendo alla lettera le parole “l’internet di domani”.
Abbiamo chiesto ad alcune persone che rivestono diversi ruoli tecnici in Sophos come pensano di impiegare il loro tempo e le loro energie nei prossimi sei mesi.
Ecco quindi le nostre previsioni “dalle trincee” che riflettono ciò a cui la gente si sta preparando. Dal canto nostro ci stiamo preparando perché crediamo che diverranno realtà, forse dovreste farlo anche voi.
- Più attacchi file-less
Principal Threat Researcher 2, Fraser Howard:
Ad oggi gli attacchi file-less sono stati abbastanza isolati, ma sembrano crescere in modo rilevante (Poweliks, Angler per un po’, Kovter e più recentemente Powmet). Si tratta di una risposta naturale all’applicazione diffusa del machine learning.
Mi aspetto anche un aumento di Powershell.
- Fuzzing più intelligente per tutti
Senior Security Analyst 2, Stephen Edwards:
Prevedo che la sofisticazione del fuzzing migliori in modo significativo. Il fuzzing può essere utilizzato per creare automaticamente miliardi di test “stupidi” e la prossima sfida è rendere più intelligenti tali test, fornendo al processo di creazione del test informazioni come la conoscenza di come funziona un programma.
L’esplorazione automatica del codice è però difficile.
Le tecniche ibride cercano di bilanciare la velocità dei test stupidi con l’efficienza di quelli più intelligenti evitando di perdersi in troppe possibilità di scelta.
Sono stati già dimostrati diversi e promettenti approcci al miglioramento del fuzzing credo che siamo quasi al punto di svolta in cui queste tecniche saranno combinate e rese pubbliche.
- Chiedete chi e cosa, non dove
Cybersecurity Specialist, Mark Lanczak-Faulds:
Tradizionalmente, la sicurezza si concentra sul dominio nel suo complesso. Mentre cerchiamo di sfumare i contorni di una rete tradizionale e di Internet, ciò che conta sono le identità e gli asset che risiedono all’interno del dominio.
Dobbiamo determinare il rischio basato sull’identità e sui beni associati a tale identità. Quando si attiva una segnalazione che tiene conto di questi fattori, sapete cosa è in gioco e potete agire in modo proporzionale e rapido.
- Focus sulla mitigazione degli exploit
Sophos Security Specialist, Greg Iddon:
Applicare le patch non è più qualcosa che potete rimandare al prossimo giorno piovoso.
Penso che nei prossimi sei-dodici mesi, l’implementazione della mitigazione degli exploit – e cioè la protezione contro l’abuso di bug o vulnerabilità noti o sconosciuti e delle modalità che stanno alla base dello sfruttamento di questi bug e vulnerabilità – sarà la chiave per stare un passo avanti.
Quello che mi preoccupa di più è che ci sia una fascia di nuovi fornitori che si concentrano solo sull’individuazione di file Portable Executable (PE), cercando di vendere il machine learning come il non plus ultra dell’endpoint security. Questo semplicemente non è vero.
Non fraintendetemi, il machine learning è fantastico, ma è solo un singolo livello in quello che deve essere un approccio multilivello alla sicurezza.
- Il riproporsi del ransomware
Global Escalation Support Engineer, Peter Mackenzie:
Sulla base di alcune tendenze a cui stiamo assistendo penso che potremmo essere testimoni di un cambiamento nel modo in cui viene utilizzato il ransomware.
A differenza di molti altri malware, il ransomware è “rumoroso” e spaventoso – non funziona se non sapete di averlo e deve farvi paura. Poiché gli strumenti di sicurezza migliorano nel trattare con il ransomware, alcuni attaccanti utilizzano quel “rumore” come tecnica per nascondere qualcos’altro, o come ultima risorsa dopo aver fatto soldi in altro modo utilizzando, ad esempio, i key loggers o i miners di criptovaluta.
Una volta rimossa l’infezione ransomware “rumorosa”, è facile pensare di aver pulito il sistema. Quello che vi dovete chiedere è “perché è stato fatto detonare ora?” E “che altro era? o è ancora in esecuzione sul computer su cui abbiamo trovato il ransomware?”.
- I dati sono una responsabilità, non una risorsa
Senior Cybersecurity Director, Ross McKerchar:
Mi aspetto di passare molto tempo nei prossimi 6 mesi ad eliminare dati inutili e generalmente stando molto attento a ciò che memorizziamo e dove. È una misura di difesa in profondità – meno si memorizza meno che si deve perdere.
Ciò vale per intere aziende, ma probabilmente anche per asset esposti come i server web. Dovrebbero avere accesso solo alla quantità minima dei dati necessari e nient’altro. Perché un server web deve avere accesso ad un SSN di qualcuno, ad esempio? Potrebbe essere necessario per altri motivi, o il tuo web server potrebbe avere bisogno di raccogliere un SSN una volta, ma è necessario mantenerlo?
Noi abbiamo detto la nostra, ma ci piacerebbe leggere le vostre previsioni nei commenti qui sotto.
- Ispirato all’articolo “6 cybersecurity predictions (that might actually come true)” da Naked Security
Lascia un commento