IL PODCAST DI OGGI È PER CHI GUIDA I DIPARTIMENTI IT DELLE AZIENDE, DI QUALUNQUE DIMENSIONE.
LO ABBIAMO REALIZZATO IN COLLABORAZIONE CON F-SECURE E, OVVIAMENTE, PARLA DI SICUREZZA. 

Più nello specifico, parla di un livello di sicurezza più alto rispetto alla media attuale, e del quale ogni organizzazione non può più fare a meno. Quel livello è stabilito dall’EDR, acronimo di Endpoint Detection & Response, e questa piccola storia ne illustra bene l’importanza.

Hacker, sempre in azione

Marco ha 23 anni ed è appena stato assunto in una grande azienda dell’agroalimentare a Bologna. Lavora al marketing, dove ha fatto 6 mesi di stage. Ci sa fare, e così dai piani alti è arrivato l’ordine: che resti con noi. Marco – si capisce – è piuttosto felice, anche perché così può godersi un nuovo telefono e un nuovo pc aziendale, più potente di quello che usava da stagista.

Dopo meno di una settimana, però, Marco fa una cosa strana: carica dati su un server sconosciuto su internet. Ma come, dicono in azienda, questo l’abbiamo tenuto perché era bravo e ora fa ‘ste cose? In realtà Marco c’entra ben poco, e la sua bravura non è in discussione: il punto è che il suo computer è stato compromesso, ed è quindi fuori controllo.

Qui entra in gioco l’EDR, che in pochi minuti rileva il comportamento anomalo, isola automaticamente il pc dal resto della rete e avvisa il team IT perché proceda con le dovute indagini. Il team, opportunamente aiutato dall’EDR, stabilisce subito che si tratta effettivamente di un attacco, ne ricerca l’origine e arriva a scoprire che tutto nasce da un allegato email malevolo. 

Definita la questione, il team IT interviene: corregge il problema sul computer compromesso, aggiorna le impostazioni della soluzione antispam per evitare che i dipendenti ricevano di nuovo lo stesso allegato, modifica le regole del firewall in modo da bloccare le connessioni al dominio interessato e informa gli utenti del rischio a cui è esposta l’organizzazione. Nel caso di Marco – e questo è importante da sottolineare – non è stato trovato un malware tradizionale e non c’era nulla che la piattaforma di protezione degli endpoint dovesse prevenire.

Senza l’EDR, insomma, l’azienda avrebbe lottato contro un nemico invisibile, che è molto più scaltro e veloce di quanto fosse un tempo.

Hacker, ecco come agiscono

Ma per capire in che modo l’EDR riesca a proteggere l’organizzazione dalle minacce mirate e avanzate, dobbiamo esaminare il consueto modus operandi degli hacker. Le tattiche più diffuse sono le seguenti:

1. Sfruttamento di una vulnerabilità: i punti deboli della sicurezza nei sistemi esposti al pubblico sono un’attraente via di attacco. Dato Ponemom: il 57% delle violazioni deriva da vulnerabilità note che avrebbero potuto essere corrette. Dato CVE Details: ogni anno emergono più di 16.000 nuove vulnerabilità. Gli attaccanti scansionano la rete pubblica alla ricerca di una qualsiasi di queste vulnerabilità comuni, trovando migliaia di dispositivi privi delle patch necessarie. 

2. Spear Phishing: si tratta di comunicazioni ingannevoli pensate per spingere a condividere informazioni sensibili o per aprire un file eseguibile. Questi attacchi sono estremamente comuni ed efficaci: secondo Verizon rappresentano il 32% delle violazioni.

3. Watering Hole: gli attaccanti individuano i siti Web abitualmente utilizzati dai dipendenti, e vi inseriscono un codice malevolo nella base JavaScript o HTML che porta gli utenti verso un altro sito compromesso in cui è in agguato un malware. 

4. Man-in-the-Middle: l’attaccante intercetta le comunicazioni e le inoltra solo dopo averle esaminate o addirittura modificate, dando l’impressione che l’interlocutore sia un soggetto attendibile. Di solito ciò accade in prossimità tramite reti Wi-Fi non crittografate, o da remoto tramite malware. 

5. Buying Access: gli attaccanti risparmiano tempo e fatica semplicemente acquistando l’accesso a un’azienda già compromessa. La tua azienda è stata violata in passato? Se è così, l’accesso ai tuoi sistemi potrebbe essere in vendita per pochi spiccioli.

Hacker nascosto, come scovarlo?

Queste tattiche sono solo una parte di quel che accade nel “lato oscuro della rete”. Ma quel che conta è che nel momento in cui un hacker supera il perimetro della sicurezza aziendale ed entra nei sistemi IT, riesce a nascondersi: per fare un solo esempio, può modificare un account ed ereditarne i privilegi. I sistemi statici di difesa, basati sulla sola prevenzione, non sono in grado di scovare l’intruso; l’EDR, invece, sì, perché qualsiasi comportamento insolito viene rilevato, isolato, esaminato e trattato come merita.

EDR, molto più che un “trova-hacker”

Uno dei punti di forza dell’EDR sono gli strumenti di analisi avanzata, supportati dal machine learning: ciò permette la raccolta di un numero enorme di comportamenti. Si tratta di dati estremamente preziosi, rilevati da sensori leggeri: se però sono troppi, diventano impossibili da gestire per gli analisti umani. Milioni o miliardi di informazioni, tra le quali si annidano solo alcune minacce reali: insomma, l’ago nel pagliaio.

Ma anziché segnalare una miriade di falsi positivi, l’EDR evidenzia solo i risultati rilevanti, in modo rapido e preciso. Nel caso di un particolare cliente, la soluzione elaborata da F-Secure ha rilevato un totale di 2 miliardi di eventi correlati agli endpoint in un mese e ha individuato i 15 incidenti – solo 15 – che rappresentavano minacce effettive. 

Il monitoraggio avanzato, 24 ore al giorno e 7 giorni su 7, è essenziale per la vita delle aziende. A oggi, quasi due terzi delle imprese nel mondo ha subito una violazione, e il 56% di queste viene rilevato a distanza di mesi. Quanto alle PMI, nel 2018 circa il 58% ha subito una violazione, con conseguenze gravissime: secondo le stime della National Cyber Security Alliance, il 60% delle di esse è costretto a chiudere i battenti nei sei mesi successivi a un incidente.

Ecco perché la velocità di analisi e di risposta dell’EDR è decisiva per la salute di un’impresa. Per scoprire come funziona tecnicamente, puoi scaricare il materiale al link indicato all’inizio di questo post.