Report Intel Security: otto indicatori di attacchi informatici

Un report Intel Security descrive otto indicatori d’attacco e i fattori fondamentali per una prevenzione proattiva delle minacce

McAfee, parte di Intel Security, ha pubblicato un nuovo report “Quando i minuti sono fondamentali” che valuta le competenze di un’azienda nel rilevare ed evitare gli attacchi mirati, rivela gli otto principali indicatori d’attacco e prende in esame le best practice per reagire proattivamente agli incidenti. Il report illustra l’efficacia delle aziende che eseguono analisi in tempo reale su più variabili di attività d’attacco impercettibili e considerano tempo e intelligence sulle minacce per assegnare un punteggio ai rischi e prioritizzare la reazione agli eventi.

Intel Securityha commissionato un’indagine a Evalueserve da cui si evince che la maggioranza delle aziende non ha fiducia nelle proprie capacità di rilevare gli attacchi mirati in modo tempestivo. Anche le aziende meglio preparate si prendono il tempo di analizzare elevati volumi di eventi, sottolineando il senso di urgenza e sottolineando la focalizzazione su approcci creativi per rilevare in modo più tempestivo eventuali minacce e permettere un’intervento tempestivo.

Risultati dell’indagine:

• Il 74% degli intervistati ha indicato che gli attacchi mirati sono una preoccupazione importante per l’azienda
• Il 58% delle aziende ha analizzato 10 o più attacchi lo scorso anno
• Solo il 24% delle aziende ha fiducia nella loro capacità di rilevare un attacco in pochi minuti, e solo meno della metà afferma che sarebbero necessari giorni, settimane o anche mesi prima di notare un comportamento sospetto
• Il 78% di coloro in grado di rilevare gli attacchi in pochi minuti disponeva di un sistema SIEM proattivo in tempo reale
• La metà delle aziende coinvolte ha indicato di disporre di strumenti e tecnologie adeguate per reagire rapidamente agli eventi, ma spesso gli indicatori critici non vengono isolati dalla massa di segnalazioni generate, costringendo i team IT a vagliare tutti i dati relativi alle minacce.

“Semplificare il lavoro frenetico di filtrare un’enorme quantità di segnalazioni e indicatori con informazioni in tempo reale e analisi, permette di comprendere più a fondo gli eventi rilevanti e di agire per limitare e contrastare più rapidamente gli attacchi” afferma Ryan Allphin, Senior Vice President and General Manager, Security Management di Intel Security.

Il report di Intel Security ha rivelato le otto principali attività d’attacco più comuni che le aziende di successo tracciano per rilevare e contrastare gli attacchi mirati:

• Host interni che comunicano con destinazioni notoriamente pericolose o con una nazione straniera in cui un’azienda non è operativa.
• Host interni che comunicano con host esterni utilizzando porte non standard o discrepanze protocollo/porta, come l’invio di traffico command shell (SSH) invece che HTTP sulla porta 80, che è la porta web di default.
• Host accessibili pubblicamente o (DMZ) che comunicano con host interni. Ciò abilita il leapfrogging, consentendo l’esfiltrazione dei dati e l’accesso remoto alle risorse. Neutralizza il valore delle zone DMZ.
• Rilevamento del malware fuori orario. Le segnalazioni che si verificano al di fuori del classico orario di lavoro (di notte o nei fine settimana) potrebbero indicare un host compromesso.
• Scansioni di rete da parte di host interni che comunicano con molteplici host in un breve periodo di tempo potrebbero indicare un aggressore che si muove lateralmente all’interno della rete. Le protezioni di rete perimetrali, come firewall e IPS, sono raramente configurate per controllare il traffico sulla rete interna (ma potrebbero esserlo).
• Molteplici segnalazioni d’allarme da un unico host o eventi duplicati su molteplici computer nella stessa sottorete in un periodo di 24 ore, come errori di autenticazione ripetuti.
• Una volta bonificato, un sistema viene reinfettato dal malware entro cinque minuti; nuove infezioni ripetute segnalano la presenza di un rootkit o di una violazione persistente.
• Un account utente che cerca di collegarsi a molteplici risorse in pochi minuti da/a diverse regioni; un segnale che le credenziali dell’utente sono state sottratte o che un utente sta per causare un danno.

“Abbiamo notato una workstation che effettuava strane richieste di autenticazione al controller di dominio alle due del mattino. Poteva trattarsi di attività normale, ma anche un’indicazione di qualcosa di pericoloso”, ha affermato Lance Wright, Senior Manager, Information Security e Compliance di Volusion, un fornitore di soluzioni di commerce che ha contribuito al report. “Dopo l’incidente abbiamo impostato una regola per avvisarci se una workstation invia più di cinque richieste di autenticazione fuori dall’orario d’ufficio per consentirci di identificare l’attacco il prima possibile, prima che i dati possano essere compromessi”.

“Le tecnologie SIEM in tempo reale basate su intelligence minimizzano il tempo necessario per rilevare le minacce per prevenire in modo proattivo le violazioni sulla base della contestualizzazione degli indicatori durante l’analisi e impostare reazioni automatiche basate su policy”, ha aggiunto Allphin. “Con il potere di velocizzare la loro capacità di individuare, rispondere e imparare dagli eventi, le aziende possono modificare drasticamente la loro condizione di sicurezza trasformandosi da preda a cacciatore”.