Chain
Products and Services PRODUCTS & SERVICES

La catena di attacco degli endpoint … semplificata

Comprendere le diverse azioni che i cyber criminali intraprendono è cruciale per proteggersi dagli attacchi.

Una strategia di difesa completa e approfondita che utilizza strati di protezione sovrapposti si è dimostrata uno dei migliori approcci alla sicurezza informatica. Questo è il motivo per cui studiare la catena di attacco, o la catena cyber kill, per comprendere le diverse azioni che gli attaccanti intraprendono, è così cruciale.

La catena di cyber kill identifica sette fasi di un cyberattacco:

  1. Riconoscimento
  2. Trasformazione in arma
  3. Rilascio
  4. Exploit
  5. Installazione
  6. Comando e controllo
  7. Azioni

Tuttavia, la catena cyber kill standard è spesso più complicata del necessario. Invece, è sufficiente iniziare con una catena di attacco più semplice, specifica per l’endpoint, composta da tre soli passaggi principali.

“Ora guardo questa catena di eventi che devo spezzare”

  • Every Grain of Sand di Bob Dylan
  1. Consegna e istruzioni

Questo stadio inizia con gli attaccanti che accedono ad un ambiente recapitando le loro armi e inviando loro istruzioni sul cosa fare.

In qualità di difensori, abbiamo diverse opportunità – senza dover per forza utilizzare la sicurezza degli endpoint – per fermare l’attacco in questa fase, tra cui la formazione sul phishing, sicurezza della rete e protezione della posta elettronica.

Tuttavia, se l’hacker supera questi livelli della nostra difesa, possiamo ancora utilizzare la sicurezza degli endpoint per bloccare gli exploit utilizzati per la distribuzione, rilevare gli URL dannosi e impedire l’accesso ai documenti malevoli. Abbiamo anche l’opportunità di rilevare le comunicazioni con i server di comando e controllo.

  1. Exploit ed esecuzione

Successivamente, gli aggressori cercano di sfruttare gli endpoint per eseguire il codice dannoso.

Le difese degli endpoint sono spesso fortemente focalizzate sull’arresto di eseguibili malevoli, sia utilizzando approcci fondamentali come le firme o approcci più recenti come il machine learning.

Tuttavia, in questa fase dovrebbero essere applicate anche altre tecniche complementari, compresa la tecnologia anti-exploit per prevenire il furto di credenziali, l’escalation dei privilegi e l’abuso di applicazioni.

  1. Il boom!

Infine, arriviamo al “boom!”, noto anche come fase di azione o post-esecuzione, in cui gli attaccanti infliggono danni.

Anche se un attaccante è in grado di arrivare fino a questo punto, ci sono ulteriori livelli di difesa che possono essere applicati. La prevenzione della perdita di dati (DLP) può essere utilizzata per interrompere l’esfiltrazione di dati sensibili.

Inoltre, le tecniche comportamentali, come la protezione dai ransomware, possono rilevare attività dannose in azione e fermare l’aggressore prima che raggiunga i suoi obiettivi. L’analisi post-esecuzione può anche essere applicata per comprendere i dettagli della catena di attacco specifica.

Spesso, le difese degli endpoint si concentrano principalmente sull’arresto degli eseguibili; tuttavia, ci sono molte altre opportunità lungo la catena di attacco per interromperlo. Alcune tecniche difensive potrebbero essere molto avanzate, oppure potrebbero essere approcci tradizionali in vigore da diversi anni.

Indipendentemente da questo, il risultato ottenuto è lo stesso. Se le tue difese stratificate intercettano un attacco in un qualsiasi punto lungo la catena, avrai interrotto l’intero attacco.

 

 

*Tratto dall’articolo “The endpoint attack chain… simplified” di Seth Geftic