Il rilevamento e la risposta degli endpoint (EDR) è nato per compensare la mancanza di capacità nelle piattaforme di protezione degli endpoint (EPP) e nelle soluzioni di sicurezza antivirus (AV) legacy per prevenire ogni attacco. In questo post, imparerai a conoscere il tipo di minacce che hanno scatenato la nascita di EDR, come è arrivato, quali problemi deve affrontare oggi e dove si evolverà il suo futuro.
Il panorama delle minacce si è evoluto
Nei primi anni del 2010, sia la sicurezza difensiva che le operazioni offensive hanno realizzato come eseguire codice dannoso senza installare alcun software, utilizzando un eseguibile per sfuggire al software antivirus sia di rete che legacy. Esistono alcuni modi comuni per ottenere l’esecuzione del codice senza portare nulla che i difensori possano scansionare nel sistema infetto. Diamo un’occhiata a due minacce pervasive che hanno portato alla necessità di EDR.
1. DOCUMENTI DANNOSI: PHISHING HEAVEN
Molti utenti ritengono che un’applicazione sia in grado di eseguire codice ma un file come Microsoft Word, Excel, PowerPoint o PDF non può farlo: può solo essere letto o scritto. Questo non è esattamente vero, ma a causa dell’incomprensione, la maggior parte degli utenti è disposta ad aprire un documento Word inviato da una campagna di phishing ben progettata. Convincere un utente ad aprire quello che si aspetta sia un documento innocuo è molto più semplice che convincere qualcuno a fare doppio clic su un eseguibile che sa che eseguirà il codice (anche se ciò accade).
Data la percezione diffusa dei file di documenti come contenitori di contenuti innocui, gli autori di malware hanno presto trovato modi semplici per infettare gli obiettivi attraverso questo tipo di file. Il modo più noto per eseguire il codice dai documenti è utilizzare le macro, che sono state costruite per automatizzare le attività frequenti nei documenti ma ora sono spesso armate per compromettere il sistema di un utente finale.
Molte persone attente alla sicurezza potrebbero dire: “Allora, qual è il problema? Basta non consentire le macro e sei al sicuro! ” Tecnicamente, è corretto. Tuttavia, trascura due importanti realtà sul modo in cui lavorano le moderne imprese e su come la sicurezza si adatta al modello di business.
Il primo motivo è che i file malware basati su macro sono ancora disponibili e hanno successo, in parte perché le aziende usano ancora le macro per svolgere il proprio lavoro. Sono stati inventati per aumentare la produttività e fanno un buon lavoro. Di conseguenza, per molti utenti e aziende, disabilitare le macro è un sacrificio di produttività che non sono disposti a fare. Dalle macro VBA in Excel (utilizzate per estrarre dati da altri sistemi o automatizzare i calcoli) alle macro di Word (utilizzate per inserire una carta intestata o creare stili e formati personalizzati), le macro sono diventate strumenti essenziali per risparmiare tempo. È semplicemente irrealistico per molte aziende bloccarli.
Il secondo motivo per cui i documenti infetti sono ancora in circolazione è perché è più facile per gli aggressori posizionarli sui dispositivi rispetto, per esempio, a un binario o un’applicazione dannoso che potrebbe essere scansionato da una soluzione di sicurezza. Con solo una piccola quantità di personalizzazione, le possibilità di ottenere un destinatario per aprire un documento da un’e-mail di phishing aumentano in modo esponenziale. Invia a qualcuno un CV, una richiesta di pagamento o una fattura e se colpisci la persona appropriata come un reclutatore o qualcuno nei conti passivi, le tue possibilità di ottenere il “clic” potrebbero essere piuttosto elevate (soprattutto rispetto all’invio di un file eseguibile) .
2. ETERNALBLUE: IL MOVIMENTO LATERALE VIENE A GIOCARE
Le tecniche di movimento laterale sono modi in cui gli attaccanti diffondono gli attacchi attraverso una rete. Questi non sono nuovi per la maggior parte degli amministratori di sistema, ma grazie a una perdita di strumenti di hacking della NSA, risulta che alcuni protocolli di sistema operativo hanno avuto vulnerabilità in essi per molti anni che consentono agli aggressori di ottenere movimenti laterali furtivi. Un esempio notevole è quello che ora conosciamo come ” EternalBlue “.
EternalBlue sfrutta il protocollo SMB (Server Message Block) utilizzato per la condivisione di file sulla rete. Questo rende il protocollo molto attraente per gli hackers. EternalBlue è stato trapelato dal gruppo di hacker di Shadow Brokers nel 2017 ed è stato utilizzato come parte dell’attacco ransomware WannaCry e dell’attacco informatico NotPetya nello stesso anno. Né AV né EPP di prossima generazione potrebbero effettivamente impedire lo sfruttamento utilizzando EternalBlue al momento.
Il malware senza file e le vulnerabilità del sistema sono solo due modi in cui gli aggressori possono bypassare l’AV tradizionale (e anche più di alcune soluzioni endpoint di nuova generazione). Quindi, se la reputazione della tua azienda è in linea e non puoi garantire la protezione, cosa puoi fare? Trovi i modi per assicurarti di essere a conoscenza di cosa sta succedendo con le tue risorse: il nuovo nome del gioco è il rilevamento.
Dalla prevenzione al rilevamento: nasce EDR
In passato (e in una certa misura anche oggi), le aziende hanno assunto squadre di risposta agli incidenti per entrare e indagare sulle violazioni della sicurezza. Nel 2013, il più affidabile tra questi era Mandiant. Hanno offerto ai professionisti della sicurezza che erano sempre pronti ad intervenire e scoprire cosa era successo. E non erano economici.
Parallelamente, alcune altre imprese tecniche hanno iniziato a investire in strumenti di visibilità come l’osquery di Facebook e altri modi per vedere ed indagare nelle reti. Ciò ha aperto una nuova categoria per il mercato sovraffollato della sicurezza informatica e di conseguenza sono state create molte nuove soluzioni. Questi spesso rientravano nel termine generico “EDR” (originariamente rilevamento e risposta delle minacce endpoint).
Con quella rivoluzione, iniziarono a manifestarsi i problemi intrinseci delle soluzioni EDR. Avevi bisogno di un equipaggio altamente qualificato per gestire queste soluzioni in quanto forniscono così tanti dati (molti dei quali privi di contesto). Le aziende si sono trovate ad assumere sempre più enti per risolvere questo problema, ma negli ultimi due anni non è trascorso nemmeno un mese senza il titolo di notizie di un’altra violazione dei dati di alto profilo.
L’altro problema critico di EDR ruotava attorno al “tempo di permanenza”. Il tempo di permanenza rappresenta il tempo che intercorre tra l’infezione e la scoperta dell’attività dannosa. Il rapporto Ponemon sul costo di una violazione dei dati del 2019 ha rilevato che il tempo medio per identificare una violazione era di 206 giorni. In alcuni casi, anche 10 secondi sono troppo lunghi: gli attaccanti possono eseguire il loro codice, eseguire il loro attacco, concludere e ripulire nel giro di pochi secondi. Qualsiasi soluzione che non è in grado di rilevare cosa succede in tempo reale è fuori gioco.
Le società di sicurezza informatica hanno cercato di risolvere questo problema in diversi modi.
1. CREARE UN BOT DI CHAT DI CACCIA
Per semplificare la vita dell’analista della sicurezza, una strategia prevede che l’analista del SOC (Security Operations Center) addestrato professionalmente per conversare con un bot di chat. Far capire a un bot di chat esattamente cosa intendi può essere spesso più difficile che scrivere semplicemente una query SQL che fai ogni giorno, in particolare per un cacciatore di minacce esperto.
2. AFFIDATI A UN SOC PERSONALIZZATO
Se hai un SOC, ti consentirà di vedere di più e fare di più per mantenere la sicurezza aziendale. Detto questo, lanciare più dati non correlati alla tua squadra senza un vero contesto crea fatica allerta e una squadra infelice e stressata dalla mole di lavoro. Gli analisti SOC hanno competenze avanzate e dovrebbero svolgere il lavoro avanzato. Invece di cercare faticosamente di mettere insieme i pezzi del quadro, dovrebbero lavorare a partire da dati già contestualizzati che danno loro la trama dell’attacco, quindi possono usare le loro abilità per decidere un’azione aggiuntiva oltre a fermare l’attacco.
3. FORNIRE UN SERVIZIO IN AGGIUNTA ALLA TECNOLOGIA
Questo sta diventando popolare ed è una buona mossa, a volte necessaria, molte aziende non hanno il personale con le competenze necessarie per cacciare e comprendere i dati visti sulla propria rete. Anche per quanto preziosi possano essere questi servizi, ci sono ancora aspetti del loro lavoro che dovresti automatizzare. Se disponi di una tecnologia in grado di vedere tutto ciò che sta accadendo in tempo reale e un’intelligenza artificiale sul dispositivo in grado di eseguire immediatamente le necessarie azioni correttive, il problema del tempo di permanenza si riduce in modo significativo. C’è semplicemente il rilevamento e la risposta in tempo reale.
EDR di SolarWinds
Immagina di avere un analista SOC su ciascun endpoint, che trasforma enormi quantità di dati in storie di attacco e genera avvisi prioritari di alta qualità quando viene osservato il comportamento delle minacce. Questo è l’obiettivo di SolarWinds ® Endpoint Detection and Response, realizzato da SentinelOne. Alla velocità della macchina, SolarWinds EDR può aiutare a prevenire, rilevare e rispondere agli attacchi avanzati indipendentemente dai vettori di consegna, indipendentemente dal fatto che l’endpoint sia connesso o meno al cloud. La soluzione può aiutare i team a ottenere il contesto non solo per comprendere ciò che viene trovato, ma anche per bloccare autonomamente gli attacchi in tempo reale.
Scopri di più su SolarWinds EDR e su come può aiutare la tua azienda MSP oggi visitando il sito oggi.
FONTE: Solarwinds MSP BLOG – by SentinelOne – Traduzione N4B SRL Distributore Autorizzato Solarwinds MSP
Nota: questo articolo è stato ristampato e leggermente modificato con l’autorizzazione di SentinelOne.