Un CISO legge in prima pagina il nome della propria azienda.
Non si tratta di una notizia positiva, quanto piuttosto di uno di quei temutissimi casi di fuga di dati pubblicati su Pastebin che hanno interessato numerose entità. Singapore è una di queste: 1,5 milioni di cartelle cliniche dei cittadini, comprese quelle del Primo Ministro Lee Hsien Loong, sono state sottratte da hacker nel 2018.
Non è detto che i sistemi dell’azienda siano stati effettivamente attaccati da hacker o da un gruppo di criminali informatici appoggiato da uno stato nazione. Magari l’articolo del giornale parla di dipendente che ha fatto una stupidata, quello che nel gergo delle comunicazioni ufficiali viene definito “un dipendente malintenzionato che ha agito illegalmente e ha tradito la fiducia del proprio datore di lavoro”. Ad esempio, il diabolico amministratore IT terzista che si è impossessato del dominio del cliente, ha chiesto un riscatto di 10.000 dollari e ha quindi reindirizzato il sito a un altro dominio con immagini di adolescenti a sfondo esplicito quando la società si è rifiutata di pagare.
La trama di queste storie varia, ma tutte trattano dell’incubo della sicurezza informatica che le società vivono quando finiscono sui titoli (negativi) dei giornali e, come spesso accade, sono oggetto di indagini da parte della polizia. I protagonisti, i fatti e le modalità attirano l’attenzione dei giornalisti e della giustizia inquirente, mentre per il centro operativo di sicurezza dell’azienda (SOC) è più importante conoscere come sono avvenuti gli attacchi, chi ne è il responsabile e come risolvere il problema se le sue conseguenze non sono ancora state mitigate. Sono storie che, troppo spesso, non vengono raccontate perché sono difficili da distinguere tra una miriade di dati che includono attività di sistema sospette e ordinarie, dati che frequentemente si rivelano essere innocue anomalie di sistema e che portano a indagini inutili da parte dei team.
Eventi complessi di questo tipo spesso hanno origine negli endpoint del sistema aziendale. Ad esempio, un dipendente potrebbe trovare un dispositivo USB nel parcheggio e collegarlo alla rete aziendale per sapere cosa contiene. Un altro dipendente, invece, potrebbe aprire un PDF infetto allegato a un’e-mail.
Per ottenere visibilità è logico guardare agli endpoint, dove si verifica un numero così elevato di attacchi. In un sondaggio del 2018 condotto dal SANS Institute, il 42% degli intervistati ha riferito di aver subito almeno un exploit degli endpoint che ha portato a esposizione e/o estrazione di dati o a interruzioni dell’attività. Inoltre, la crittografia non è di intralcio negli endpoint. Qui sono disponibili attività di rete e di processo ed è anche possibile monitorare i dispositivi esterni. Ad esempio, è possibile sapere chi ha collegato un dispositivo USB, quando e dove lo ha fatto.
Troppi data point, non abbastanza risposte
È vero, il monitoraggio degli endpoint che abbiamo a disposizione è in grado di fornire delle risposte. Possiamo contare su una visibilità degli attacchi decisamente superiore rispetto a quella offerta in passato dalle piattaforme per la protezione degli endpoint (EPP), che tenevano conto delle firme dei virus ma ignoravano i malware basati sulla memoria, il movimento laterale, i malware privi di file o gli attacchi zero-day.
Ma il problema è che, sebbene le piattaforme EPP siano in grado di proteggere gli endpoint, non offrono alle organizzazioni la visibilità delle minacce. Gli strumenti di rilevamento e risposta degli endpoint (EDR) di prima generazione erano nati dalla necessità di ottenere la visibilità che le EPP non erano in grado di offrire. D’altro canto, la generazione attuale degli strumenti EDR, che chiameremo EDR passivi, fornisce dati ma nessun contesto. In pratica, abbiamo a disposizione i pezzi del puzzle, ma ci manca un quadro complessivo che ci permetta di incastrarli.
Se osservate un esempio di monitoraggio passivo integrato degli endpoint, potreste vedere che i registri degli eventi di Windows hanno rilevato il dispositivo USB compromesso che ha portato al lancio di PowerShell da una tastiera virtuale, che l’attacco può aver utilizzato tecniche avanzate come la cancellazione dei registri, che ha installato una backdoor per ottenere persistenza, che ha quindi sottratto credenziali e le ha usate per eseguire l’accesso, che ad un certo punto non è riuscito ad effettuare il login, ha perciò eseguito l’escalation dei privilegi, cancellato i registri, ha aggiunto un nuovo utente locale, lo ha incluso nel gruppo di amministratori e così via. Insomma, analizzare in modo logico questi dati è un’impresa ardua.
Nella demo del prodotto sembrava tutto più semplice, ma nell’uso quotidiano? Chi è in grado di utilizzare questi dati? Forse solo un ristretto gruppo di analisti della sicurezza con una notevole esperienza alle spalle. Purtroppo se ne trovano pochi. Inoltre, hanno anche bisogno di dormire. Ciò significa che quando viene sferrato un attacco notturno, il tempo di permanenza della minaccia sarà maggiore, perché per risolverla sarà necessario attendere che gli analisti arrivino al lavoro e vengano a capo della situazione.
Dopo un attacco, frammenti di dati scollegati non sono di alcuna utilità per i CISO. Servono piuttosto indizi, come in Cluedo: è stato il Colonnello Mustard nello studio? O meglio, si è trattato di un consulente esterno con una chiavetta USB, di un gruppo criminale sponsorizzato da uno stato nazione? La mitigation della minaccia è stata già eseguita? In caso affermativo, per quanto tempo si è protratta la minaccia? Quali analisti del SOC stanno analizzando lo tsunami di dati provenienti dal sistema di rilevamento e risposta degli endpoint passivo?
Che cos’è l’AI comportamentale e come può essere di aiuto?
Cosa succede dopo un attacco? Spesso, la situazione è seriamente problematica e gli analisti della sicurezza devono passare al setaccio tutti gli avvisi e tutte le anomalie che il sistema EDR passivo ha generato. Queste indagini richiedono tempo e abilità: una merce rara, data la difficoltà di trovare, formare e trattenere personale che abbia le competenze per gestire le piattaforme di sicurezza e il know-how per separare gli exploit veri e propri dai bug casuali.
Altre volte, tuttavia, le aziende sono in grado di contestualizzare tutti i vari data point ottenendo un quadro riepilogativo della situazione. È quello che SentinelOne chiama ActiveEDR: un modello di AI comportamentale che non solo evita alle organizzazioni di fare affidamento esclusivamente su competenze analitiche di difficile reperimento, ma che consente loro di registrare e contestualizzare costantemente tutto ciò che accade su ogni dispositivo introdotto nella rete.
Il motore AI comportamentale di SentinelOne crea ciò che SentinelOne chiama “”” Storylines ““” (cronologie), ovvero una serie di tracce che consentono a un’organizzazione di risalire all’origine degli incidenti per scoprire chi è il responsabile di un indicatore di compromissione (IoC). Si tratta di un sistema EDR, ma non dell’EDR passivo che potreste già conoscere. Le soluzioni EDR di vecchia generazione rilevano un’attività isolata e la correlano ad altre, innescando un processo lungo, laborioso e comunque a posteriori per cercare di ottenere un quadro completo della situazione.
La tecnologia ActiveEDR di SentinelOne fa affidamento sulla macchina invece che sull’analista, tracciando e contestualizzando i dati su un dispositivo e identificando gli atti malevoli in tempo reale, automatizzando le risposte necessarie. Se e quando l’analista desidera essere coinvolto, ActiveEDR consente di svolgere facilmente l’attività di threat hunting grazie a ricerche complete a partire da un singolo IoC.
A differenza di altre soluzioni EDR, ActiveEDR non si basa sulla connettività cloud per effettuare un rilevamento, pertanto riduce in modo efficace il tempo di permanenza della minaccia. L’agente AI su ogni dispositivo non ha bisogno di connettività cloud per prendere una decisione. Analizza costantemente ciò che accade su ogni endpoint e, se rileva comportamenti malevoli, non solo è in grado di eseguire la mitigation di file e processi dannosi, ma può bloccare l’intera cronologia e persino eseguirla all’inverso in modo automatico.
Perché ActiveEDR è più efficace nel bloccare gli attacchi con e senza file?
Gli hacker moderni hanno trovato un modo per eliminare la dipendenza dai file e sono in grado di non lasciare alcuna traccia grazie all’utilizzo di malware privi di file in memoria, che consentono di eludere quasi tutte le soluzioni di sicurezza, tranne le più sofisticate. Ma poiché ActiveEDR tiene traccia di tutto, offre un modo per individuare gli hacker che potrebbero già disporre di credenziali nel vostro ambiente e che potrebbero sferrare attacchi quali LotL (Living off the Land) che, al posto di file e malware, utilizzano gli strumenti nativi e perfettamente legittimi di un sistema, mimetizzandosi così nella rete e tra i processi legittimi per compiere un exploit.
AI comportamentale: uno scenario reale
Ecco un esempio reale che mostra come funziona l’AI comportamentale. La polizia vi contatta per informarvi che le vostre credenziali sono su Pastebin. Desiderate sapere come ci sono finite, per cui eseguite una ricerca con il modulo Deep Visibility Threat Hunting. Il modulo è un’elaborazione delle cronologie di SentinelOne e consente agli utenti di eseguire ricerche per riferimenti, in questo caso a Pastebin.
Le cronologie consentono a ogni agente AI autonomo di un endpoint di creare un modello dell’infrastruttura del proprio endpoint e del proprio comportamento in tempo reale e di assegnare ad esso un ID cronologia, che identifica un gruppo di eventi correlati. Eseguendo una ricerca su “Pastebin” troverete un ID cronologia che vi mostrerà rapidamente tutti i processi, i file, i thread e gli eventi correlati, nonché altri dati corrispondenti a quella singola query. Deep Visibility restituisce dati completi e contestualizzati che consentono di comprendere rapidamente la causa alla radice di una minaccia, compreso il contesto, le relazioni e le attività.
Ogni agente di un dispositivo può eseguire la pulizia manuale o automatica dopo un attacco, ripristinare la versione precedente del sistema, scollegarlo dalla rete o eseguire una shell remota nel sistema. Tutto questo può essere effettuato automaticamente con un semplice clic. Richiede pochi secondi, non è dipendente dal cloud e non è necessario caricare i dati per poterli leggere. Non c’è bisogno di ricorrere ad analisi sul cloud, perché tutto viene eseguito sull’agente.
Una maggiore automatizzazione risolve molteplici problemi: in primo luogo, consente di riconoscere i comportamenti dannosi e rileva facilmente gli attacchi basati su file senza bisogno di utilizzare firme. Inoltre, può prevenire e prevedere gli attacchi che non utilizzano file.
La protezione degli endpoint di SentinenlOne agisce nella fase di pre-esecuzione bloccando un attacco prima che venga eseguito, sia che si tratti di un documento Word o PDF contraffatto o di altro tipo. Il primo passo è analizzarlo per verificare se presenta anomalie. In caso affermativo, verrà messo in quarantena. Quindi, se il codice supera il primo test e inizia a funzionare, ActiveEDR, il meccanismo di threat hunting autonomo e automatizzato che include il rilevamento e la risposta nell’agente, esegue la ricerca di comportamenti anomali, come l’apertura di un documento Word che ha attivato PowerShell e ha stabilito la connessione a internet per sottrarre informazioni. Nella maggior parte dei casi, un comportamento di questo tipo è sospetto. ActiveEDR visualizzerà il comportamento mentre è in corso e terrà traccia di tutto ciò che accade nel sistema operativo in un insieme di storie con un principio e una fine, che si tratti di un secondo, di un mese o di un periodo più lungo. La tecnologia analizza costantemente il comportamento per rilevare eventuali anomalie.
Intervento umano con l’assistenza dell’AI comportamentale
Questo, tuttavia, non è sufficiente per rilevare tutte le minacce. È qui che entrano in gioco le caratteristiche di threat hunting di ActiveEDR, la funzionalità che migliora ulteriormente l’approccio di SentinelOne nei confronti degli attacchi con e senza file.
Immaginate di aver rilevato diverse comunicazioni tra un dispositivo e Pastebin. Cliccando sull’ID cronologia nella console di SentinelOne accederete alla storia completa dell’attacco, con il relativo contesto, e visualizzerete un grafico dettagliato dell’origine dell’attacco, nonché una rappresentazione ad albero dei processi che ha generato in ordine cronologico. Potrete vedere, ad esempio, che l’apertura di un documento di Microsoft Word ha attivato Windows PowerShell e che quella shell ha dato origine ad altri sette processi. La cronologia include anche argomenti della riga di comando completi, necessari ai ricercatori per comprendere appieno l’attacco. Fornisce il contesto completo dell’attacco, il tutto senza ricorrere a un intero team di risposta agli incidenti, ma utilizzando una singola query.
Avere un assistente AI a portata di mano, o meglio, che risiede su ogni dispositivo introdotto nella rete, consente di risparmiare una notevole quantità di tempo. Evita a un’organizzazione di doversi affidare esclusivamente alle persone per analizzare situazioni che a volte si rivelano innocue.
Dormite sonni tranquilli: abbiamo tutto sotto controllo
Desiderate ottenere risultati senza procedere per tentativi? Adesso potete.
È possibile impostare l’AI comportamentale in modo che esegua la mitigation in modo automatico, e questa è una funzionalità rivoluzionaria. La tecnologia è in grado di prendere una decisione in merito al dispositivo senza affidarsi al cloud o alle persone. Se impostato su Detect (Rilevazione), ActiveEDR offre avvisi contestualizzati. Se invece è impostato su Protect (Protezione), blocca minacce quali documenti Word dannosi. Non è necessario alcun intervento umano. Quando un utente prova ad aprire il file di Word, la minaccia viene rilevata, bloccata ed eliminata rapidamente. Con ActiveEDR impostato su Protect (Protezione), la cronologia dell’attacco mostra che quest’ultimo è stato bloccato prima che riuscisse a comunicare con l’esterno.
Dato che gli agenti dell’AI comportamentale si trovano in ogni dispositivo endpoint, il comportamento anomalo può essere bloccato immediatamente. In seguito, se decidete che il blocco non era necessario, vi basterà eseguire il ripristino della versione precedente. E, a differenza delle persone, l’AI comportamentale di SentinelOne, ActiveEDR, non ha bisogno di dormire e non termina il turno di lavoro alle 17:00.
La realtà della mitigation automatica con l’AI comportamentale: nessuna estrazione di dati, nessun titolo di giornale e nessuna chiamata della polizia.
Per ottenere maggiori informazioni sull’AI comportamentale di SentinelOne e per scoprire in che modo può aiutarvi a proteggere la vostra organizzazione, contattateci o richiedete una demo gratuita.