Gli active adversary sono diventati una delle minacce più gravi per le organizzazioni di qualsiasi dimensione. Sono infatti cybercriminali estremamente abili, che continuano a sviluppare ed evolvere le proprie strategie per eludere anche le difese più avanzate. Sferrano attacchi su larga scala e si servono di tecniche altamente sofisticate, progettate specificamente per eludere il rilevamento delle soluzioni di sicurezza preventive.
Siamo quindi estremamente lieti di annunciare l’aggiunta alle soluzioni Sophos Firewall, Sophos XDR e Sophos NDR di nuove funzionalità che permetteranno alle organizzazioni di difendersi da questi subdoli nemici.
Cosa Sono E Come Agiscono Gli Active Adversary?
Gli active adversary sono cybercriminali estremamente abili, spesso dotati di competenze elevate in ambito software e rete, che riescono a infiltrarsi nei sistemi di un’organizzazione e a sfuggire al rilevamento. Una volta entrati, adattano continuamente le loro tecniche con attività hands-on-keyboard e metodi basati sull’IA, per eludere i controlli di sicurezza preventivi e sferrare il loro attacco.
Le organizzazioni devono adottare controlli di sicurezza adattivi per individuare e rispondere ai metodi di infiltrazione più comunemente utilizzati da questi hacker:
Attacchi a fasi multiple
Attacchi che terminano in una posizione diversa da quella di partenza.
Gli active adversary eseguono attacchi che attraversano varie zone e domini dell’ambiente della vittima. La piena portata di questi attacchi non può essere determinata da un singolo prodotto che agisce in maniera isolata. Le organizzazioni devono avere visibilità sull’intero ecosistema.
Attacchi Living-Off-the-Land
Attacchi che sfruttano strumenti legittimi in modi dannosi.
Le soluzioni di sicurezza preventive non sono in grado di bloccare l’uso di prodotti informatici legittimi senza rischiare seri problemi di interruzione dei servizi. Gli hacker approfittano di questo problema utilizzando strumenti IT legittimi come RDP e PowerShell per passare inosservati.
Vulnerabilità sconosciute
Attacchi che sfruttano una vulnerabilità, un difetto o un errore nel software.
I cybercriminali attaccano le vulnerabilità zero-day e senza patch per eseguire gli attacchi. Il 65% degli attacchi ransomware inizia con un hacker che sfrutta una vulnerabilità sconosciuta o che accede ai sistemi con credenziali legittime.
Abuso di credenziali
Attacchi che iniziano con un accesso legittimo, anziché una violazione.
Gli active adversary approfittano delle credenziali compromesse di un utente legittimo per accedere e sferrare l’attacco. Gli strumenti di sicurezza preventivi non sono in grado di bloccare o rilevare queste attività fino a quando il comportamento sospetto o dannoso dell’“utente” non diventa palese.
Il nostro nuovo Report Sugli Active Adversary Per I Professionisti Della Sicurezza mette in luce i principali cambiamenti riscontrati nel comportamento degli active adversary negli ultimi 12 mesi, incluse le seguenti osservazioni:
- I cybercriminali stanno agendo con tempistiche più veloci. Il tempo di permanenza del ransomware è in netto calo: è infatti passato da 9 giorni nel 2022 a 5 giorni nel primo semestre del 2023.
- Spesso gli active adversary utilizzano strumenti informatici legittimi in maniera impropria. I LOLBin, “Living-Off-the-Land Binary”, e le tecniche utilizzate al momento dai criminali non variano significativamente tra attacchi rapidi (< 5 giorni di permanenza nei sistemi) e lenti (> 5 giorni di permanenza).
- Gli active adversary introdurranno innovazioni solo se devono, e solo nella misura in cui ciò possa aiutarli a raggiungere il loro obiettivo.
Il report sottolinea quanto è importante che le organizzazioni capiscano la modalità di azione degli active adversary e abbiano piena visibilità sul loro ecosistema di sicurezza, in modo che possano rilevare e rispondere ancora più rapidamente a un’intrusione.
Le novità
Abbiamo aggiunto alla piattaforma Sophos, in particolare a Sophos XDR, Sophos Firewall e Sophos NDR, delle opzioni straordinarie, che offrono alle organizzazioni funzionalità ancora più potenti di difesa contro gli active adversary:
Sophos Firewall – Ora con Risposta alle minacce attive
Disponibile adesso!
La nuova funzionalità Risposta alle minacce attive in Sophos Firewall v20 offre capacità di risposta immediata e automatica agli active adversary. Gli analisti che usano Sophos XDR e gli esperti del team MDR possono inviare dati di intelligence sulle minacce ai firewall direttamente da Sophos Central. Questo permette ai firewall di coordinare le difese all’istante, senza bisogno di un intervento manuale o di nuove regole per il firewall.
Sophos NDR – Ora disponibile per XDR
Disponibilità generale il 20 novembre 2023
Sophos Network Detection and Response (NDR) rileva gli active adversary che si spostano lateralmente tra i dispositivi della rete aziendale. Precedentemente disponibile solo come add-on di Sophos MDR, ora Sophos NDR può essere utilizzato anche con Sophos XDR, per assistere le organizzazioni che gestiscono autonomamente le proprie attività di rilevamento e risposta.
Sophos XDR – Ora con maggiore compatibilità con soluzioni di terze parti e un’esperienza utente ottimizzata
Disponibilità generale il 20 novembre 2023
Abbiamo esteso in maniera significativa la scelta di strumenti e prodotti di terze parti che i clienti possono integrare a Sophos XDR. Le categorie includono soluzioni per endpoint, firewall, cloud, gestione delle identità, rete, e-mail e produttività. Sophos XDR accorpa i dati di sicurezza e offre ai clienti un’unica console da gestire, con flussi ottimizzati che alleggeriscono il carico di lavoro delle indagini.
Prodotti Isolati vs Prodotti E Servizi Connessi Che Agiscono In Sincronia
I cybercriminali adattano continuamente le loro tecniche e questo significa che per difendere i sistemi da questi nuovi approcci occorre introdurre altri prodotti indipendenti. Tuttavia, di solito le tecnologie eterogenee non comunicano bene tra di loro. Sophos offre una piattaforma unificata che include un’ampia selezione di prodotti e servizi di cybersecurity progettati per interagire in perfetta sincronia e in maniera fluida. Inoltre, grazie alla compatibilità con tecnologie di terze parti, l’ecosistema interconnesso di Sophos è in grado di eseguire azioni automatizzate e di mettere in correlazione i dati. Questo permette alle organizzazioni di rilevare le minacce, svolgere indagini e rispondere agli active adversary in maniera più rapida e su tutte le principali superfici di attacco.
Eleva La Protezione Dei Tuoi Clienti Contro Gli Active Adversary
Per scoprire di più e per esplorare come le soluzioni Sophos possono aiutare i tuoi clienti a difendersi meglio dagli active adversary, dai un’occhiata al materiale promozionale aggiornato per Sophos XDR, Sophos NDR e Sophos Firewall, sul Sophos Partner Portal.