Estimated reading time: 6 minuti
I dati di threat intelligence forniscono alle aziende approfondimenti rilevanti e tempestivi necessari per comprendere, prevedere, rilevare e rispondere alle minacce alla sicurezza informatica. Le soluzioni di intelligence sulle minacce raccolgono, filtrano e analizzano grandi volumi di dati grezzi relativi a fonti esistenti o emergenti di minacce. Il risultato sono feed di threat intelligence e rapporti di gestione. I data scientist e i team di sicurezza utilizzano questi feed e report per sviluppare un programma con risposte mirate agli incidenti per attacchi specifici.
Tutti, dalla prevenzione delle frodi alle operazioni di sicurezza all’analisi dei rischi, traggono vantaggio dalla threat intelligence. Il software di intelligence sulle minacce fornisce visualizzazioni interattive e in tempo reale dei dati relativi alle minacce e alle vulnerabilità.
Il vantaggio offerto agli analisti ed esperti di sicurezza è evidente e serve a identificare facilmente e rapidamente i modelli degli attori delle minacce. Comprendere la fonte e l’obiettivo degli attacchi aiuta i capi d’azienda a mettere in atto difese efficaci per mitigare i rischi e proteggersi dalle attività che potrebbero avere un impatto negativo sull’azienda.
La cyber threat intelligence può essere classificata come strategica, tattica oppure operativa. Quella Strategica riguarda le capacità e gli intenti generali degli attacchi informatici. Di conseguenza anche lo sviluppo di strategie informate associate alla lotta contro le minacce a lungo termine. Quella Tattica riguarda le tecniche e le procedure che gli aggressori potrebbero utilizzare nelle operazioni quotidiane. Infine, la threat intelligence Operativa, fornisce informazioni altamente tecniche a livello forense riguardanti una specifica campagna di attacco.
Il ciclo della threat intelligence
Le soluzioni di intelligence sulle minacce raccolgono dati grezzi sugli attori e le minacce da varie fonti. Questi dati vengono poi analizzati e filtrati per produrre feed e rapporti di gestione che contengono informazioni che possono essere utilizzate in soluzioni automatizzate di controllo della sicurezza. Lo scopo principale di questo tipo di sicurezza è quello di mantenere le organizzazioni informate sui rischi delle minacce persistenti avanzate, delle minacce zero-day e degli exploit, e su come proteggersi da esse.
Il ciclo di intelligence delle minacce informatiche consiste nelle seguenti fasi.
Pianificazione: I requisiti dei dati devono essere prima definiti.
Raccolta: Si raccolgono grandi quantità di dati grezzi da fonti interne ed esterne di threat intelligence.
Elaborazione: I dati grezzi sono filtrati, categorizzati e organizzati.
Analisi: Questo processo trasforma i dati grezzi in flussi di informazioni sulle minacce con l’uso di tecniche analitiche strutturate in tempo reale e aiuta gli analisti a individuare gli indicatori di compromissione (IOC).
Diffusione: I risultati dell’analisi vengono immediatamente condivisi con i professionisti della sicurezza informatica e gli analisti di threat intelligence.
Feedback: Se tutte le domande trovano risposta, il ciclo si conclude. Se ci sono nuovi requisiti, il ciclo ricomincia dalla fase di pianificazione.
Indicatori comuni di compromissione
Le aziende sono sempre più sotto pressione per gestire le vulnerabilità della sicurezza e il panorama delle minacce è in continua evoluzione. I feed di threat intelligence possono aiutare in questo processo identificando gli indicatori comuni di compromissione (IOC). Non solo, possono anche raccomandare i passi necessari per prevenire attacchi e infezioni. Alcuni degli indicatori di compromissione più comuni includono:
Indirizzi IP, URL e nomi di dominio: Un esempio potrebbe essere un malware che prende di mira un host interno che sta comunicando con un noto attore di minacce.
Indirizzi e-mail, oggetto delle e-mail, link e allegati: Un esempio potrebbe essere un tentativo di phishing che si basa su un utente ignaro che clicca su un link o un allegato e avvia un comando dannoso.
Chiavi di registro, nomi di file e hash di file e DLL: Un esempio potrebbe essere un attacco da un host esterno che è già stato segnalato per un comportamento nefasto o che è già infetto.
Quali strumenti per la threat intelligence
Il crescente aumento del malware e delle minacce informatiche ha portato a un’abbondanza di strumenti di threat intelligence che forniscono preziose informazioni per proteggere le aziende.
Questi strumenti si presentano sotto forma di piattaforme sia open source che proprietarie. Queste forniscono una serie di capacità di difesa contro le minacce informatiche, come l’analisi automatizzata dei rischi, la raccolta di dati privati, strumenti di ricerca rapida di threat intelligence, la segnalazione e condivisione di queste informazioni tra più utenti, avvisi curati, analisi dei rischi di vulnerabilità, monitoraggio del dark web, mitigazione automatizzata dei rischi, threat hunting e molto altro.
Abbiamo parlato di uno di questi strumenti in un altro articolo: il Mitre Att&ck. Questo è uno strumento molto utile per conoscere i comportamenti e le tecniche di attacco hacker. Questo grazie alle informazioni raccolte dalla threat intelligence e la conseguente condivisione. Un framework come questo è molto efficiente per creare meccanismi difensivi che consentono di mettere in sicurezza le infrastrutture aziendali.
Intelligenza artificiale e informazioni sulle minacce
Come abbiamo visto prima, la raccolta di informazioni da varie fonti non è altro che una delle fasi. Queste devono poi venire analizzate e successivamente elaborate in protocolli di controllo, per essere davvero utili per la sicurezza.
Per questo tipo di lavori di analisi, definizione di comportamenti baseline e controllo dei dati ci si affida sempre di più all’intelligenza artificiale e al deep learning. Un Next Generation SIEM, affiancato a una soluzione UEBA sono perfetti per questo tipo di protezione.
Il controllo del comportamento delle entità all’interno del perimetro effettuato dal UEBA è in grado di identificare ogni comportamento sospetto, in base alle informazioni raccolte e analizzate dal SIEM.
Conclusioni
Gli strumenti di difesa che abbiamo nominato sono il valore primario di un piano di sicurezza aziendale. Adottare soluzioni specifiche, implementare la threat intelligence e quindi una ricerca attiva degli indicatori di minacce, offre una posizione di vantaggio strategica. L’azienda può operare un passo avanti ai criminali, i quali possono far leva solo sull’effetto sorpresa contro le loro vittime. Proprio per questa situazione generale, ogni azienda dovrebbe essere nelle condizioni di non farsi cogliere alla sprovvista. Implementare soluzioni proattive è ormai necessario.
La threat intelligence è quindi un’arma da difesa dietro la quale mettere al riparo le risorse più importanti per poter lavorare in tranquillità.
Se vuoi sapere come possiamo aiutarti con i nostri servizi dedicati alla sicurezza, non esitare a contattarci, saremo lieti di rispondere a ogni domanda.
Useful links:
Cyber Threat Intelligence (CTI) – maggiore efficacia per la sicurezza IT
Progetti di Secure Online Desktop
Cos’è la Cyber Security? Definizione e proposte
Prevenire il shoulder surfing e il furto di credenziali aziendali
Tempo di lettura stimato: 7 minuti
Quando parliamo di “left of boom” o “right of boom” ci riferiamo ad un concetto che all’apparenza può sembrare superficiale. Invece, è un potente strumento che offre la possibilità di analizzare i conflitti di sicurezza sia da un punto di vista offensivo che da uno difensivo. In una ipotetica linea temporale di un attacco, ciò che si trova alla sua sinistra (left of boom) si riferisce a quello che accade prima. Analogamente, ciò che sta alla destra, è quello che avviene dopo.
Nel linguaggio comune molto spesso anziché “boom” si utilizza il termine “bang”, ma il significato resta comunque invariato. Si tratta, in sostanza, dell’evento stesso intorno al quale si analizza il periodo precedente e successivo.
Quindi, “left of boom” è l’insieme di eventi che si verificano prima dell’attacco. “Right of boom”, invece, è l’insieme di eventi che seguono il “boom”. Questa è la differenza sostanziale tra i due termini. Se le azioni difensive riescono a rilevare gli eventi nel periodo “left of boom”, è possibile trovare e adottare soluzioni per prevedere quando accadrà il “boom”.
Per una persona inesperta nell’ambito della sicurezza informatica, questi concetti riguardanti la linea temporale di un attacco informatico potrebbero non essere nemmeno presi in considerazione, per questo motivo molte aziende preferiscono avvalersi di un SOCaaS.
Left of Boom
Un buon penetration tester riesce a rilevare alcuni eventi di tipo “left of boom”, ma spesso si tralascia la raccolta di informazioni sulle minacce. Certe volte non è in grado di distinguere tra loro concetti come “ingegneria della sicurezza, scoperta e risoluzione delle vulnerabilità” da un “controllo di prevenzione automatizzato”.
Non esiste in realtà un vero strumento valido di prevenzione, più che altro i controlli di sicurezza sono controlli di rilevamento. Alcuni di questi controlli integrano dei meccanismi di risposta automatizzati che impediscono il susseguirsi di spiacevoli eventi.
Un’applicazione web che previene attacchi di tipo XSS o SQLI è davvero utile per rilevare input non validi e risponde scartando il contenuto prima che l’iniezione possa verificarsi.
Un firewall progettato per bloccare le porte rileva semplicemente il traffico indesiderato in relazione al protocollo usato per la connessione e al numero della porta verso la quale si desidera accedere, interrompendo e reimpostando la richiesta di connessione.
Questi esempi si legano bene al concetto di “right of boom”. I controlli di prevenzione rilevano il “boom”, l’evento, e rispondono immediatamente arginando i possibili danni. “Left of boom” e “right of boom” sono così vicini nella linea temporale che sono difficilmente distinguibili, fino a quando non si esegue un’analisi accurata degli eventi.
Questo è uno dei motivi per cui i professionisti, nell’ambito della sicurezza informatica, amano i controlli di prevenzione. Lavorano rapidamente per correggere gli errori prima che gli hacker riescano a raggiungere i loro obbiettivi, limitando i danni.
Un SOCaaS in questi casi è una delle soluzioni migliori da adottare per proteggere l’integrità di un sistema informatico.
Right of Boom
Generalmente minore è la distanza tra “right of boom” e il tempo di risposta ad una minaccia, minori sono le conseguenze provocate da un eventuale attacco informatico. Ovviamente questa è solo una considerazione logica, non vale come regola assoluta.
Per alcune violazioni, la linea temporale tra l’evento e l’eliminazione completa della minaccia è discutibile, poiché il rilevamento è avvenuto dopo che l’hacker ha raggiunto il suo obbiettivo. Se gli hacker riescono ad infiltrarsi nel sistema ma vengono fermati in tempo, non arrecando nessun danno all’infrastruttura. In questo secondo caso, quindi, non c’è il “boom” di cui stiamo parlando.
Un esempio di right of boom
Per spiegare meglio il concetto di “right of boom” potremmo prendere come esempio un comune “malware”. I malware generalmente vengono sviluppati per attaccare in massa molti dispositivi, senza tanta discrezione. Con “right of boom” ci riferiamo a quel periodo di tempo che è passato da quando è avvenuta l’infezione da parte del malware.
Se hai letto gli altri articoli pubblicati da noi avrai appreso come gli hacker utilizzano queste tipologie di infezioni allo scopo di raccogliere informazioni sensibili, che vengono rivendute ad un terzo soggetto. Se il “right of boom” è più breve del tempo che l’hacker impiega per vendere queste informazioni, il danno può essere contenuto.
I migliori sistemi di sicurezza riescono ad accorciare il tempo “right of boom” riuscendo a raccogliere informazioni sugli attaccanti nel “left of boom”. Ci si può riuscire implementando delle contromisure in base al modello di minaccia. Questi strumenti permettono di scansionare intere infrastrutture, osservando i nuovi indicatori di minaccia giorni o addirittura settimane prima che gli attacchi si distribuiscano.
Come abbiamo visto anche in altri articoli, non sempre gli attacchi si svolgono in breve tempo. È, anzi, più probabile che gli hacker coinvolti agiscano in un primo, lento, periodo solo per raccogliere le informazioni necessario per sferrare l’attacco. Nel periodo “right of boom”, tornano utili strumenti come la cyber threat intelligence e un team di threat hunting.
Perché sono importanti i concetti “Right e Left of boom”
Se ci mettessimo nell’ottica dell’hacker, il concetto di “right of boom” e di “left of boom” può aiutare a decidere quale schema d’azione sia meglio intraprendere.
Supponiamo il caso in cui un hacker abbia a disposizione due metodi per potersi introdurre in un sistema informatico. Se uno dei due metodi potrebbe venire rilevato nel periodo “left of boom”, invece l’altro nel “right of boom”, è ovvio che l’hacker preferirà il secondo. Infatti, questo garantirebbe maggiori probabilità di successo dell’attacco.
Analogamente, tra due metodi che possono essere rilevati “right of boom” si sceglie quello che ha più possibilità di venir scoperto in ritardo. Più tempo passa dal boom alla rilevazione, maggiori sono le probabilità di successo. Questo tipo di ragionamento è importante per determinare quale tattica ha una linea temporale più ampia.
Ragionare in quest’ottica non è affatto semplice, richiede delle conoscenze avanzate da parte dell’esperto di sicurezza. Richiede inoltre il dover prendere in considerazione tutte quelle ipotesi che potrebbero potenzialmente determinare il successo dell’hacker.
Velocità
Un hacker è in grado di riuscire a prevedere se, utilizzando determinate tattiche, riuscirebbe a raggiungere l’obbiettivo più velocemente rispetto all’esperto che cerca di rilevare gli attacchi. Il “boom” è il primo contatto, nell’insieme delle tattiche d’intrusione utilizzate per accedere illegalmente ad un sistema informatico. Le rimanenti tattiche si collocano prima e dopo di esso.
Velocità e furtività solitamente si annullano a vicenda. Infatti, molto spesso si può essere più veloci sacrificando parte della furtività.
Velocità e furtività non vanno molto d’accordo quando parliamo di attacchi informatici. Essere furtivi, evitando di lasciare tracce, richiede più attenzione e quindi inevitabilmente anche più tempo. Tuttavia se lo scopo di un hacker non è un singolo obbiettivo ma una serie di più obbiettivi, l’essere veloci può rivelarsi efficace.
Per difendersi dagli attacchi, è possibile raccogliere gli indicatori di compromissione (IOC) per rimediare alle vulnerabilità presenti e per introdurre nuovi controlli di rilevamento, rendendo più sicuro il sistema informatico.
Conclusioni
È importante conoscere il concetto di linea temporale degli attacchi e abbiamo visto come i concetti di “left of boom” e “right of boom” influenzino i meccanismi di risposta alle minacce di intrusione.
I concetti che abbiamo visto in questo articolo, nonostante non aggiungano niente di concreto alle tecniche di difesa o di attacco di un sistema, offrono un punto di vista. Nella continua lotta tra hacker e operatori di sicurezza, avere una strategia vincente significa non solo disporre di strumenti efficienti, ma anche pianificare in modo dettagliato ogni dettaglio, prima e dopo gli attacchi.
Per sapere come un SOCaaS può aiutarti a monitorare l’infrastruttura aziendale e cogliere gli indizi “left of boom”, non esitare a contattarci, sapremo rispondere a ogni domanda e ti offriremo una soluzione per la tua azienda.
Useful links:
In televisione e sul web sentiamo parlare sempre più spesso di questo termine ed è naturale quindi chiedersi cos’è il doxing. La parola “Doxing” è un neologismo che deriva da un’alterazione ortografica dell’abbreviazione “docs”, ovvero documenti. Il termine fa riferimento all’atto di compilare e rilasciare un dossier di informazioni personali di un individuo, rendendole pubbliche.
Il termine “dox”, in particolare, deriva dallo slang “dropping box”, una tattica di vendetta adottata dagli hacker negli anni ’90. Gli hacker in quell’epoca utilizzavano esporre pubblicamente i dati sensibili degli avversari, con il fine di molestarli oppure con l’intento di causare loro ripercussioni legali.
Rivelare pubblicamente i documenti di un individuo, ecco essenzialmente cos’è il doxing.
Evoluzione del doxing
Le prime attività di doxing si iniziarono a diffondere nei forum di discussione su Usenet. Uno dei primi eventi documentati fu la “Blacklist of Net.Nazis and Sandlot Bullies”, una lista contenente dati personali di individui ritenuti fastidiosi dall’autore.
Col tempo si sono sviluppate nuove tecniche di attacco come il Doxware, che esegue estorsioni utilizzando un malware. L’attacco differisce dalla vera e propria estorsione perché la vittima non può accedere alle proprie informazioni e deve pagare per riottenerle. Mentre nel doxware la vittima preserva l’accesso alle sue informazioni ma la loro divulgazione è a discrezione del malware.
Potremmo quasi dire che il doxware è il contrario del ransomware. In un attacco ransomware, il malware cripta i dati contenuti all’interno di un sistema informatico e richiede che la vittima effettui un pagamento per poter ricevere la chiave di decrittazione necessaria per accedere ai propri dati. Nell’attacco doxware invece, l’hacker ruba i dati della vittima e minaccia di pubblicarli a meno che non si paghi una determinata somma di denaro.
Tecniche comuni nel doxing
Gli individui esposti ad un attacco di doxing possono essere presi di mira, subendo molestie di ogni natura, come ad esempio:
- Molestie fisiche
- False iscrizioni a servizi o ad abbonamenti
- Creazione di caselle postali
- Invio di servizi pubblici presso la residenza della vittima (polizia, carabinieri, ambulanze)
Inoltre è possibile che l’hacker utilizzi le informazioni che è riuscito ad ottenere per violare gli account personali della vittima, dai social media agli account finanziari. Solitamente gli hacker mostrano alle loro vittime alcune delle informazioni in loro possesso, a riprova del fatto che sono state realmente vittime di doxing, intimorendo il malcapitato. Il doxing è una pratica molto comune sul web che può comportare danni di qualsivoglia natura.
Per comprendere meglio cos’è il doxing e come può essere spiacevole subire questo genere di attacchi basta pensare alle controversie scaturite da Wikileaks, che ha diffuso materiale segreto appartenente ad organizzazioni governative (e non solo).
Le vittime di questi attacchi sono molto spesso celebrità o persone che hanno un ruolo distinto all’interno della società.
Come proteggersi con la CTI
Gli attacchi doxing sono sempre più frequenti e sofisticati, fortunatamente però le attività di Cyber Threat Intelligence possono aiutare a prevenire queste tipologie di attacchi.
Noi di SOD, grazie alle nostre tecniche OSINT, siamo in grado di ricercare all’interno dell’intero web informazioni e dati che potrebbero essere stati trafugati.
Implicazioni del doxing per le aziende
Il furto di dati aziendali è una situazione molto comune e comporta inevitabilmente un aumento dell’esposizione ad attacchi di doxing o ransomware. I dati che sono stati trafugati potrebbero essere utilizzati per progettare un altro attacco più avanzato, che potrebbe comportare danni ancora maggiori.
I dati rubati, infatti, vengono solitamente distribuiti o rivenduti sul Dark Web e sul Deep Web. Questi dati a loro volta vengono impiegati per commettere altri crimini informatici. Ecco perché è meglio scoprire il prima possibile quali dati sono eventualmente stati trafugati. Con i nostri sistemi siamo in grado di rilevare tempestivamente quando avviene una compromissione dei dati.
Sapendo quali informazioni sono state trafugate, è possibile adottare delle contromisure di sicurezza per proteggere il sistema IT e tutta l’azienda.
Ecco una lista contenente solo alcune delle tante informazioni che potrebbero essere compromesse in una fuoriuscita di dati:
- Credenziali d’accesso a sistemi informatici
- Documenti
- Leak di codice sorgente
- Sistemi che hanno subito Data Breach
- Siti di phishing, ricreati sfruttando l’aspetto di un sito aziendale
- Account falsi nei Social Networks
- Rapporti sulle vulnerabilità
- Violazioni del marchio
- Nomi di dominio occupati
Conclusioni
I dati e le nostre informazioni personali sono costantemente a rischio, ma adesso che abbiamo compreso cos’è il doxing e le conseguenze che potrebbe comportare un attacco di questo tipo, abbiamo capito come le attività di CTI possono supportare le aziende con servizi di prevenzione e di risposta agli attacchi informatici.
Contattaci per sapere come il nostro servizio di Cyber Threat Inteligence potrebbe aiutare la tua azienda contro il doxing, per avere informazioni sui nostri sistemi e sui nostri servizi dedicati alla salvaguardia dei dati aziendali, saremo lieti di rispondere ad ogni domanda.
Contattaci per sapere come SOD può aiutare la tua azienda nella difesa dei dati.
Useful links:
Tempo di lettura stimato: 5 minuti
In un altro articolo abbiamo già parlato della Cyber Threat Intelligence spiegando cos’è, come funziona e le sue varie tipologie. Oggi, invece, ci focalizzeremo più sull’importanza della Cyber Threat Intelligence, approfondendo come può essere utile alle aziende per fornire risposte in ambito di sicurezza, contenendo i rischi e fornendo informazioni che supportino la risposta agli incidenti.
L’importanza della Cyber Threat Intelligence
In un mondo in cui le tecnologie e le minacce informatiche sono sempre in continua evoluzione, un’azienda non può permettersi di trascurare l’importanza della Cyber Threat Intelligence. Ogni giorno sul web avvengono innumerevoli attacchi informatici e furti di dati a danno di aziende e privati. Queste grandi quantità di informazioni, vengono poi catalogate e vendute illegalmente sul Dark Web.
Gli hacker sono soliti vendere informazioni in questa parte del web perché garantisce loro l’anonimato. Infatti, a differenza del web tradizionale, per poter accedere a questi luoghi virtuali, bisogna utilizzare un browser che mascheri il proprio indirizzo IP. Questo complica le attività di tracciamento dei criminali da parte delle autorità e rende il dark web un posto completamente anonimo.
Uno degli obbiettivi che si pone la CTI è quello di monitorare le informazioni presenti in questa grande parte del web a scopo analitico. Il fine è quello di prevenire e arginare i danni che questi dati potrebbero provocare.
Monitorare il Dark Web e il Deep Web
Spesso, quando parliamo di Deep Web e di Dark Web, pensiamo che siano presenti solo ed esclusivamente attività illegali, ma non è corretto. Ci sono anche forum, blog e siti web che hanno il fine di divulgare informazioni difficilmente reperibili sul web tradizionale.
Purtroppo però, è anche vero che i criminali sfruttano questa sezione della rete per vendere ogni genere di informazione. Queste comprendono numeri di telefono, indirizzi email, dati bancari, documenti, passaporti, credenziali d’accesso amministrative di siti web. C’è praticamente di tutto.
Questo genere di informazioni, nelle mani di un malintenzionato (o di un competitor), potrebbe compromettere l’integrità di un’intera azienda, dei suoi dipendenti e dei suoi clienti. Le conseguenze provocate da una violazione di dati, potrebbero inoltre manifestarsi anche sotto forma di danni alla reputazione dell’azienda.
Quando un cliente fornisce ad un’azienda i suoi dati personali si aspetta che vengano trattati con il massimo rispetto. I clienti potrebbero sentirsi “traditi” dall’azienda che avrebbe dovuto garantire loro la sicurezza delle proprie informazioni personali.
Un esempio clamoroso è stato il furto di dati avvenuto nel 2019 ai danni di Facebook Inc. (Fonte)
Ben 533 milioni di dati personali appartenenti agli utilizzatori della piattaforma sono stati sottratti, suddivisi per 106 paesi e diffusi gratuitamente sul web portando nuovamente la società al centro di polemiche.
Le aziende che cercano di proteggere i dati dei propri clienti, fornitori e dipendenti investono in strumenti di analisi e monitoraggio.
Affidandosi a dei professionisti, è possibile ricevere tempestivamente un avviso ogni qualvolta che un’informazione sensibile viene pubblicata su un forum o su un sito web presente nel Dark Web. Per questo l’importanza della Cyber Threat Intelligence gioca un ruolo chiave nel ramo della sicurezza informatica aziendale.
Monitorare il Dark Web dunque, significa avere la possibilità di poter rilevare tempestivamente eventuali informazioni sensibili prima che esse possano causare problemi alle aziende.
Strumenti per monitorare il Dark Web
Essendo una porzione di internet difficilmente accessibile e non indicizzata dai motori di ricerca, analizzare e monitorare le risorse presenti sul Deep Web diventa più complicato. Per questo motivo ci vengono in aiuto diversi strumenti progettati con lo scopo di semplificare il processo di indagine e analisi.
Un software che potrebbe essere d’aiuto durante un’attività d’investigazione è Onionscan, un programma Open Source completamente gratuito.
Il progetto Onionscan e la CTI
Il progetto Onionscan si pone due obiettivi:
– Aiutare gli operatori a trovare e risolvere problemi di sicurezza operativa
– Aiutare i ricercatori a monitorare e tracciare i siti presenti nel Deep Web
Il software è scaricabile sulla pagina Github dedicata, contenente anche una guida per l’installazione e una lista delle dipendenze necessarie per eseguire il software.
Una volta installato, per poterlo utilizzare basta semplicemente digitare nella riga di comando:
onionscan nomesitowebdascansionare.onion
Certamente, il solo accesso a uno strumento come questo non basta a fornire una copertura efficace. Infatti, l’importanza della Cyber Threat Intelligence risiede in gran parte nel saper effettuare le ricerche e interpretare i dati.
Conclusioni
Abbiamo visto cos’è e come funziona un’attività di monitoring del Dark Web e soprattutto abbiamo iniziato a comprendere l’importanza della Cyber Threat Intelligence.
Investire in queste soluzioni garantisce un’ulteriore sicurezza all’azienda. Mettere al sicuro i dati dei propri clienti e dei propri dipendenti non può essere un optional, ogni azienda dovrebbe essere sensibile a queste tematiche ed investire le proprie risorse per prevenire spiacevoli situazioni.
SOD offre un servizio apposito che si prefigge proprio di fornire informazioni di CTI preziose per la difesa proattiva e la risoluzione di criticità prima che diventino dei veri problemi.
Se hai bisogno di ulteriori chiarimenti non esitare a contattarci, siamo pronti a rispondere ad ogni tua domanda.
Useful links:
Estimated reading time: 6 minuti
L’implementazione di sistemi in cloud all’interno di un contesto aziendale è sempre più marcata. La facilità di utilizzo e i vantaggi ricavati rendono più sicure e produttive le attività lavorative. Oltre ai tradizionali sistemi in cloud, negli ultimi anni le società stanno introducendo nel contesto aziendale il multi-cloud. Questo porta nuove sfide nel campo della threat detection
Secondo Statista, tra il 2021-2023, le aziende che adotteranno una strategia multi-cloud incrementerà dal 76% all’84% per le PMI e dal 90% al 94% per le grandi imprese. Condizione che si estende anche a una maggiore sicurezza informatica con la threat detection.
Multi-cloud: cos’è
Quando si utilizza il termine multi-cloud si identifica quel sistema infrastrutturale digitale di public cloud, ambiente on-premise, edge e hybrid cloud che consente di usufruire di più provider in combinazione.
L’utilizzo di un multi-cloud può avvenire in modi diversi: due o più public cloud, due o più private cloud oppure una combinazione di private cloud e public cloud. L’applicazione di un sistema multi-cloud garantisce una maggiore flessibilità per le aziende, capaci di gestire i propri servizi digitali a seconda del provider e del cloud hosting. Affinché si possano definire i contorni di tale tecnologia è opportuno analizzarne i vantaggi, così da comprenderne le potenzialità per la propria attività lavorativa.
Provider e servizi
Uno dei vantaggi più interessanti di tale tecnologia risiede nella capacità di organizzare e scegliere tra diversi cloud provider. Ogni azienda ha esigenze diverse e riuscire a utilizzare più cloud combinati permette di personalizzare al meglio le risorse e i software.
Scalabilità
Beneficio da non sottovalutare del multi-cloud risiede nella migliore scalabilità rispetto a in sistema in cloud tradizionale. Nel momento in cui la domanda degli utenti oppure delle attività lavorative aumenta, l’azienda può scalare in modo agevole su più cloud provider.
Microservizi
Alcune aziende hanno l’esigenza di utilizzare specifici microservizi, non tutti i provider dispongono ti tali elementi. La capacità di poter usufruire di un impianto multi-cloud migliora tale aspetto, inglobando di fatto anche provider specifici.
Ping
Uno dei problemi più rilevanti di un sistema in cloud è la latenza. Grazie a un’interconnessione di più cloud è possibile ridurre drasticamente il ping, garantendo una connettività più rapida e piacevole.
Conformità
Molte aziende, soprattutto quelle di grandi dimensioni, hanno l’esigenza di utilizzare un sistema informatico in cloud che tuteli specifiche normative. Usufruire di un provider di storage su cloud che offra tale condizione migliora anche l’identità del brand di riferimento.
Costi
Per quanto molti utenti siano convinti che un sistema multi-cloud abbia un costo maggiore perché basato su più provider, in realtà non è così. L’eliminazione dell’acquisto dell’hardware e di tutte quelle componenti fisiche incide molto di più rispetto all’acquisto di più provider combinati.
Forza contrattuale
Usufruire di più provider rende la propria azienda versatile e sempre online. Il passaggio da un cloud all’altro è veloce e avvantaggia le aziende che hanno più servizi.
Threat detection: cos’è
Sebbene l’implementazione di un sistema multi-cloud comporti diversi vantaggi, avvalorato anche dai dati che ne testimoniano la crescita, vi è una condizione da valutare: la sicurezza informatica. I sistemi in multi-cloud sono necessariamente vincolati alla sicurezza informatica, gestire nel migliore dei modi i dati aziendali e degli utenti è essenziale per ottenere un’ottima identità del brand.
Già da alcuni anni, l’utilizzo di un sistema di threat detection è indispensabile per garantire un’eccellente sicurezza informatica aziendale, ma di cosa si tratta?
Con il termine threat detection si identifica quell’apparato informatico capace di identificare o rilevare le minacce informatiche. Le piattaforme più avanzate di cloud computing permettono il rilevamento delle minacce informatiche in tempo reale, garantendo alle aziende la massima sicurezza.
Il termine threat si traduce con la parola “minaccia” e può presentarsi in diverse forme per destabilizzare l’infrastruttura aziendale. I threat più diffusi, cioè quelli che costantemente vengono rilevati nei sistemi aziendali sono: malware, phishing, ransomware e trojan.
I malware sono tecnicamente dei software che vengono avviati dal sistema informatico aziendale e infettano lo storage. Con i servizi in cloud è meno probabile che tali attacchi abbiano successo, ma in ambiente locale è tra i più diffusi.
Il phishing invece, è una tipologia di attacco che avviene tramite le comunicazioni e-mail, condizione che al momento è vincolata all’esperienza IT dei dipendenti.
Gli attacchi ransomware sono tra i più critici poiché hanno la capacità di criptare dei file o delle informazioni digitali, al fine di ottenere un riscatto dal loro sblocco. Lo abbiamo visto in più occasioni.
I trojan horse sono usualmente dei file eseguibili che spalancano le porte dei sistemi informatici aziendali e li espongono ad attacchi esterni.
I vantaggi di un software di threat detection
Un software di Threat detection ha la capacità di rilevare in tempo reale tali minacce, inviando una segnalazione diretta al responsabile IT aziendale oppure intervenendo in modo automatico.
La possibilità di implementare un sistema di questa tipologia consente di risparmiare capitali importanti per gli interventi dei tecnici IT, ma non solo. Un software di Threat detection garantisce alle aziende una maggior tutela dei dati personali, diminuendo il numero di errori dei propri operatori.
I dipendenti sono la prima causa dei problemi al sistema informatico aziendale, condizione dovuta a una scarsa formazione nelle competenze IT. Un sistema dedicato permette di limitare i comportamenti errati e di ridurre i costi complessivi.
L’importanza di un’unica piattaforma in proiezione futura
Come è facile dedurre dalle definizioni di multi-cloud e di threat detection, queste due tecnologie possono essere utilizzate contemporaneamente. Avere la possibilità di utilizzare più Cloud provider e allo stesso tempo una rilevazione in tempo reale delle minacce informatiche garantisce vantaggi notevoli.
La comunicazione di tali tecnologie però può non essere semplice se gestita su due apparati separati. Non tutte le aziende sono a conoscenza del fatto che è possibile far comunicare i due diversi sistemi implementandoli in un’unica piattaforma di controllo, indipendentemente dal provider di riferimento.
Grazie a un’interfaccia dedicata, l’azienda ha la possibilità di controllare sia gli aspetti legati ai servizi dei multi-cloud provider, sia di esaminare gli aspetti legati alla sicurezza.
I benefici di una piattaforma unificata
Benché idealmente sia consequenziale identificare una piattaforma unificata come una soluzione intelligente, quali sono i vantaggi pratici che un’azienda può ottenere?
Uno dei vantaggi più significativi è la riduzione del carico di lavoro dei team IT, non si dovranno gestire più software nello stesso momento, ma un’unica interfaccia. Anche la visibilità e l’aspetto grafico migliorano notevolmente la gestione dei servizi e della sicurezza informatica in azienda.
Condizione che si estende anche a vantaggi come una migliore gestione dei costi e una maggiore disponibilità di soluzioni a portata di mano.
Conclusioni
La gestione aziendale in multi-cloud e con sistemi di Threat detection garantisce notevoli benefici. La proiezione futura del multi-cloud e della sicurezza informatica non è vincolata solo al provider di riferimento, ma soprattutto all’esigenze dell’azienda.
E proprio a partire dalle esigenze dell’azienda, noi di SOD offriamo servizi e combinazioni di servizi pensati per la singola azienda sulla base delle sue necessità.
Tra i vari servizi abbiamo anche un software per la gestione unificata della threat detection per alzare la sicurezza anche nel caso in cui si adotti un sistema in multilcoud.
Per qualunque domanda o informazioni ulteriore, non esitare a contattarci, saremo lieti di rispondere ad ogni domanda.
Useful links:
Tempo di lettura stimato: 6 minuti
Oggi parliamo dell’aggiornamento CTI dei nostri servizi. La sicurezza dei dati rappresenta un aspetto che deve essere sempre tenuto in considerazione per evitare che i dati possano essere in qualche modo rubati.
Le problematiche della rete
Quando si possiede una presenza collegata alla rete, specialmente se contiene dati sensibili, le potenziali minacce ai quali si viene esposti sono molteplici. Il furto dei dati dei propri clienti, infatti, è solamente una delle potenziali situazioni negative che si possono palesare e che potrebbero compromettere la solidità del proprio sito e la nomea della propria impresa.
Il servizio di Cyber Threat Intelligence (CTI), nasce con l’obiettivo, non solo di scoprire quali sono le aree maggiormente a rischio, ma anche prevenire attacchi mirati. La prevenzione rappresenta la giusta soluzione grazie alla quale è possibile evitare che la situazione possa farsi difficile da affrontare e che possano esserci futuri problemi complessi da risolvere.
CTI: l’analisi preventiva delle minacce
Grazie al servizio di CTI da noi proposto e ai nostri Cyber Treath Hunter, è possibile evitare che un attacco programmato vada a segno. La ricerca delle zone vulnerabili dell’infrastruttura informatica rappresenta il primo processo del servizio di CTI da noi proposto.
Tali informazioni, infatti, sono quelle che vengono elaborate nel Dark Web, dove appunto vengono svolte gran parte delle progettazioni degli attacchi. L’analisi della fuga dei dati, quindi, viene svolta con estrema attenzione per capire quali e quanti dati possono essere divenuti oggetto dell’attenzione di hacker. Di conseguenza possiamo anche capire quali possono essere i target specifici di attacco o le prossime informazioni a rischio.
Le diverse analisi sono svolte con cura e precisione, per evitare che le vulnerabilità siano sfruttate e la sicurezza della struttura messa a repentaglio. Grazie all’analisi svolta da un team di professionisti, la vostra azienda eviterà che gli attacchi possano colpirvi e scatenare problemi economici e d’immagine.
Le analisi svolte dalla Cyber Threat Intelligence
Per quanto riguarda le diverse fasi delle analisi da noi proposte, queste sono svolte in maniera particolarmente accurata. Si pratica una serie di procedure grazie alle quali è possibile identificare quali sono le potenziali minacce che possono essere presenti nella rete.
Vediamo queste fasi per capire come procediamo per offrire un servizio completo ai nostri clienti.
L’analisi globale dei dati
Dopo aver ipotizzato il tipo di minaccia da evitare, quindi i dati necessari che devono essere analizzati, la squadra di tecnici preposti si occupa di svolgere una serie di procedure di raccolta delle informazioni. Grazie a questa possiamo capire se i dati necessari siano ben difesi oppure a rischio di breach. In sostanzia cerchiamo di ragionare come gli hacker prima che si preparino per l’attacco.
I dati sono sottoposti ad un’accurata analisi e soprattutto sono adeguatamente suddivisi. Tale procedura nasce per semplificare poi la fase di studio dei dati stessi, prevenendo quindi un accumulo di informazioni che potrebbero comportare confusione in fase di analisi.
I dati e la seconda analisi, tra informazioni fondamentali e secondarie
Terminata la fase di raccolta delle informazioni, si passa all’analisi iniziale delle stesse. Con questo passaggio fondamentale è possibile eliminare tutte le informazioni reputate superflue lasciando spazio a quelle che hanno maggior rilevanza in fase di studio.
A questo punto si svolge la fase di analisi sui dati, il cui scopo è quello di capire effettivamente quali possono essere le minacce concrete da evitare.
Durante la fase di studio si decide quali sono le diverse procedure da adottare sull’infrastruttura per evitare che gli attacchi vadano a buon fine. Tramite queste analisi possiamo quindi decidere con precisione come aumentare ulteriormente le difese dei dati aziendali.
La scelta delle misure di sicurezza da adottare
Infine, vi è la messa in pratica delle pratiche di sicurezza con un compito preciso: rendere operativi i risultati delle analisi.
Ecco come, grazie a questo insieme di procedure, il servizio di CTI da noi offerto si presenta come incredibilmente utile per evitare che possano esserci potenziali problemi. Ricordiamo che anche un solo attacco portato a termine, può avere un impatto significativo in termini economici.
Prevenzione di attacchi futuri
Grazie a questo insieme di analisi di CTI si possono, quindi, prevenire futuri attacchi. Il nostro team non solo si occupa di analizzare le potenziali e future minacce, ma anche quelle che potrebbero essere basate sulla situazione attuale dell’infrastruttura IT.
Vogliamo rimarcare, infatti, come le costanti minacce siano oggetto di un’evoluzione rapida e quanto sia importante essere sempre adeguatamente protetti e prevenuti. Con servizi come il SOCaaS e il CTI, monitoriamo in sicurezza la rete aziendale assicurandoci che resti protetta e sana.
CTI: L’importanza della massima sicurezza online
Vi invitiamo quindi a considerare queste situazioni di rischio per la sicurezza come meno remote di quanto si possa pensare. Queste stesse situazioni possono essere la causa di una serie di breach e data loss che possono compromettere l’azienda.
Grazie al nostro SOCaaS, e in particolare al CTI. è possibile evitare che i dati presenti della rete aziendale, possano essere intercettati con facilità.
Capire quali sono le minacce, avere un report dettagliato e soprattutto analizzare quali sono le contromisure che bisogna adottare è il nostro compito e grazie ai nostri sistemi all’avanguardia offriamo un servizio completo in grado di mettere in totale sicurezza l’infrastruttura.
I nostri servizi coprono molte situazioni di rischio per la sicurezza e offriamo in generale molte soluzioni professionali per aziende. Il SOCaaS, con sistema SIEM e UEBA, così come campagne di CTI e phishing, sono solo alcuni dei nostri servizi.
Mantenere sempre al top la sicurezza è il nostro compito, se volessi ulteriori informazioni, non esitare a conttattarci!
Useful links:
Tempo di lettura stimato: 6 minuti
La Cyber Threat Hunting è una ricerca proattiva della sicurezza attraverso reti, endpoint e set di dati per dare la caccia alle attività dannose, sospette o rischiose che sono sfuggite al rilevamento da parte degli strumenti esistenti.
Definizione
C’è una distinzione tra il rilevamento delle minacce informatiche e la cyber threat hunting. Il rilevamento delle minacce è un approccio passivo al monitoraggio dei dati e dei sistemi per individuare potenziali problemi per la sicurezza. È comunque una necessità e può aiutare un threat hunter (il cacciatore di minacce). Invece, le tattiche proattive di threat hunting si sono evolute per utilizzare nuove informazioni sulle minacce su dati precedentemente raccolti per identificare e classificare i potenziali rischi prima dell’attacco.
Il personale di sicurezza non può permettersi di credere che il proprio sistema di sicurezza sia impenetrabile. Deve rimanere sempre vigile per la prossima minaccia o vulnerabilità. Piuttosto che sedersi e aspettare che le minacce colpiscano, la cyber threat hunting sviluppa ipotesi basate sulla conoscenza dei comportamenti degli attori delle minacce e sulla convalida di tali ipotesi attraverso ricerche attive nell’ambiente.
Con la threat hunting, un esperto non parte da un allarme o da indicatori di compromissione (IOC), ma da un ragionamento più profondo. In molti casi gli sforzi dello threat hunter creano e concretizzano l’allarme o l’IOC.
Questo presuppone aggressivamente che si sia verificata o si verificherà una violazione nell’azienda. Gli addetti alla sicurezza danno la caccia alle minacce nel loro ambiente piuttosto che affidarsi ad automatismi.
Pratica di threat hunting
Per le aziende che sono pronte ad assumere un approccio più proattivo alla sicurezza informatica, che tenta di fermare gli attacchi prima che diventino troppo profondi, aggiungere protocolli di threat hunting al loro programma di sicurezza è il passo logico successivo.
Dopo aver consolidato la sicurezza degli endpoint e le strategie di risposta agli incidenti per mitigare gli attacchi di malware noti ormai inevitabili, le aziende possono iniziare a passare all’offensiva. Questo significa scavare in profondità e trovare ciò che non è stato ancora rilevato. Proprio questo è lo scopo della cyber threat hunting.
Come detto in precedenza, lo threat hunting è una tattica aggressiva che parte dalla premessa del “presupposto della violazione”. Gli aggressori sono già all’interno della rete di un’organizzazione e stanno segretamente monitorando e muovendosi in essa.
Questo può sembrare inverosimile, ma in realtà, gli aggressori possono essere all’interno di una rete per giorni, settimane e persino mesi. Nel frattempo preparano ed eseguono attacchi come minacce persistenti avanzate, senza che nessuna difesa automatica rilevi la loro presenza. Lo cyber threat hunting ferma questi attacchi cercando indicatori occulti di compromissione (IOC) in modo che possano essere mitigati prima che gli attacchi raggiungano i loro obiettivi.
Gli elementi chiave di un threat hunting
L’obiettivo della caccia alle minacce è quello di monitorare le attività quotidiane e il traffico attraverso la rete e indagare sulle possibili anomalie per trovare qualsiasi attività dannosa ancora da scoprire che potrebbe portare a una violazione completa. Per raggiungere questo livello di rilevamento proattivo, la caccia alle minacce incorpora quattro componenti ugualmente importanti.
1. Metodologia
Per avere successo nella caccia alle minacce, le aziende devono impegnarsi in un approccio proattivo e a tempo pieno che sia continuo e in continua evoluzione. Invece, un’implementazione reattiva, ad hoc, “quando abbiamo tempo“, sarà autolesionista e porterà solo a risultati minimi.
2. Tecnologia
La maggior parte delle aziende dispone già di soluzioni di sicurezza endpoint complete con rilevamento automatico. Lo threat hunting funziona in aggiunta a queste e aggiunge tecnologie avanzate. Il fine è quello di trovare anomalie, modelli insoliti e altre tracce di aggressori che non dovrebbero essere nei sistemi e nei file.
Le nuove piattaforme di protezione degli endpoint (EPP) cloud-native che sfruttano l’analisi dei big data possono catturare e analizzare grandi volumi di dati non filtrati sugli endpoint, mentre l’analisi comportamentale e l’intelligenza artificiale possono fornire un’ampia visibilità ad alta velocità sui comportamenti dannosi che all’inizio sembrano normali.
3. Personale altamente qualificato e dedicato
I threat hunter, o cacciatori di minacce alla sicurezza informatica, sono una razza a sé stante. Questi esperti sanno come utilizzare la tecnologia di sicurezza messa in campo dalle aziende. Inoltre, combinano anche l’aspirazione di passare all’offensiva con capacità intuitive di problem-solving per scoprire e mitigare le minacce nascoste.
4. Threat intelligence
Avere accesso all’intelligence globale basata su prove da parte di esperti di tutto il mondo (per esempio Mitre Att&ck) migliora e accelera ulteriormente la caccia alle minacce già esistenti. I cacciatori sono aiutati da informazioni come le classificazioni degli attacchi per l’identificazione di malware e gruppi di minacce, così come gli indicatori avanzati delle minacce.
Le abilità di un threat hunter
Il Threat Hunting Report di Crowd Research Partners conferma l’importanza di determinate capacità per il threat hunting. Quando è stato chiesto di classificare la capacità più importante, il sondaggio ha rilevato che:
Il 69% ha scelto l’intelligence delle minacce
Il 57% ha scelto l’analisi del comportamento
Il 56% ha scelto il rilevamento automatico
il 54% ha scelto l’apprendimento automatico e l’analisi automatizzata
Il profilo di un threat hunter
I cacciatori di minacce (threat hunter) cercano gli aggressori che riescono ad entrare attraverso vulnerabilità che un’azienda potrebbe non sapere nemmeno che esistono. Questi aggressori passano una quantità considerevole di tempo a pianificare ed eseguire la ricognizione, agendo solo quando sanno di poter penetrare con successo nella rete senza preavviso. Inoltre, inseriscono e costruiscono malware che non sono ancora stati riconosciuti oppure usano tecniche che non si basano affatto sui malware, per dotarsi di una base persistente da cui attaccare.
Cosa serve per superare in astuzia anche gli aggressori più intelligenti?
Un cyber threat hunter è implacabile e in grado di trovare anche la più piccola traccia di ciò che gli aggressori si sono lasciati dietro di sé. In generale, i cacciatori di minacce utilizzano le loro abilità per azzerare i piccoli cambiamenti che si verificano quando gli aggressori fanno le loro mosse all’interno di un sistema o di un file.
I migliori cacciatori di minacce si affidano al loro istinto per fiutare le mosse furtive dell’aggressore più pericoloso.
Sei un threat hunter? Contattaci!
SOD è alla ricerca di un analista SOC/ICT da aggiungere al team. Se pensi di essere la persona giusta, visita questa pagina per visualizzare l’annuncio di lavoro dettagliato.
Link utili:
Cyber Threat Intelligence (CTI) – maggiore efficacia per la sicurezza IT
Customers
Twitter FEED
Recent activity
-
SecureOnlineDesktop
Estimated reading time: 6 minutes L'impatto crescente delle minacce informatiche, su sistemi operativi privati op… https://t.co/FimxTS4o9G
-
SecureOnlineDesktop
Estimated reading time: 6 minutes The growing impact of cyber threats, on private or corporate operating systems… https://t.co/y6G6RYA9n1
-
SecureOnlineDesktop
Tempo di lettura stimato: 6 minuti Today we are talking about the CTI update of our services. Data security is… https://t.co/YAZkn7iFqa
-
SecureOnlineDesktop
Estimated reading time: 6 minutes Il tema della sicurezza delle informazioni è di grande attualità in questo peri… https://t.co/tfve5Kzr09
-
SecureOnlineDesktop
Estimated reading time: 6 minutes The issue of information security is very topical in this historical period ch… https://t.co/TP8gvdRcrF
Newsletter
{subscription_form_2}© 2024 Cyberfero s.r.l. All Rights Reserved. Sede Legale: via Statuto 3 - 42121 Reggio Emilia (RE) – PEC [email protected] Cod. fiscale e P.IVA 03058120357 – R.E.A. 356650 Informativa Privacy - Certificazioni ISO