Read Aloud the Text Content

This audio was created by Woord's Text to Speech service by content creators from all around the world.

Text Content or SSML code:

Proteggersi dal malware In che modo ti difendi dalla presenza costante di attacco zero-day nonché dalle minacce avanzate persistenti (APT, Advanced Persistent Threat) che rubano dati per lunghi periodi di tempo? Una soluzione consiste nell'utilizzo, a livello aziendale, di una soluzione per il rilevamento del malware avanzato in grado di agire in tempo reale. Gli amministratori di rete devono monitorare costantemente la rete alla ricerca di indizi di malware o di comportamenti che rivelino la presenza di un'APT. Cisco ha messo a punto AMP Threat Grid che analizza milioni di file e li associa a centinaia di milioni di altri artefatti malware analizzati, fornendo una visione globale degli attacchi, delle campagne e della distribuzione del malware. AMP è un software client/server implementato negli endpoint host, come i server standalone o in altri dispositivi di sicurezza di rete. La figura mostra i vantaggi dell'AMP Threat Grid. Best-practice per la sicurezza Molte associazioni nazionali e professionali hanno pubblicato elenchi di best-practice per la sicurezza. Di seguito viene riportato l'elenco di alcune di esse: Eseguire la valutazione dei rischi – conoscere il valore di ciò che si sta proteggendo aiuta a giustificare le spese in materia di sicurezza. Creare una policy di sicurezza – creare una policy che definisca chiaramente regole aziendali, mansioni e aspettative. Misure per la sicurezza fisica – limitare l'accesso agli armadi di rete, ai luoghi dove si trovano i server nonché ai dispositivi antincendio. Misure di sicurezza nei confronti delle risorse umane – è necessario condurre ricerche adeguate sul dipendenti e prevedere un controllo del background di ciascuno.. Eseguire e testare i backup – eseguire backup periodici e verificare che essi consentano il recupero dei dati. Mantenere patch e aggiornamenti per la sicurezza – aggiornare periodicamente sistemi operativi e programmi a bordo di server, client e dispositivo di rete. Attuare il controllo degli accessi – configurare ruoli e livelli di privilegi diversificati in base agli utenti e utilizzare sistemi di autenticazione forte. Verificare periodicamente la capacità di reazione agli incidenti – costituire un team per la reazione agli incidenti ed eseguire test sulla risposta in caso di emergenza nel caso di diversi scenari. Implementare uno strumento per il monitoraggio, l'analisi e la gestione della rete - scegliere una soluzione per il monitoraggio di sicurezza che si integri con altre tecnologie. Implementare dispositivi per la sicurezza di rete – usare router, firewall e altre appliance di sicurezza di nuova generazione. Implementare una soluzione completa per la sicurezza degli endpoint – usare software antimalware e antivirus a livello aziendale. Educare gli utenti – educare utenti e dipendenti ad adottare procedure di sicurezza. Crittografare i dati – crittografare tutti i dati aziendali sensibili, comprese le e-mail. Alcune delle linee guida più utili si trovano in repository organizzativi quali il NIST (National Institute of Standards and Technology) e il CSRC (Computer Security Resource Center), come mostrato nella figura. Una delle organizzazioni più conosciute e rispettate nell'ambito della formazione in materia di cybersecurity è l'istituto SANS. Vai qui per ulteriori informazioni sul SANS e sulle opportunità di formazione e certificazione che offre. Botnet I botnet sono gruppi di bot, collegati attraverso Internet, controllati da persone o gruppi malintenzionati. In genere, i computer bot vengono infettati quando gli utenti visitano siti Web, aprono allegati alle e-mail o, anche, file multimediali infetti. I botnet possono essere costituiti da decine, o anche centinaia, di migliaia di bot. Questi bot possono essere attivati per distribuire malware, lanciare attacchi DDoS, diffondere e-mail di spam o eseguire attacchi brute-force per la violazione delle password. I botnet sono generalmente controllati per mezzo di un server di comando e controllo. I criminali informatici spesso affittano i botnet a terzi per scopi illegittimi, ricevendo in cambio un canone. La figura mostra in che modo sia possibile usare i filtri del traffico botnet per comunicare alle community di tutto il mondo che si occupano di sicurezza l'ubicazione dei botnet stessi. La kill chain nella cyberdifesa Nell'ambito della cybersecurity, la kill chain descrive le fasi di un attacco ai sistemi informatici. Sviluppata da Lockheed Martin come infrastruttura di sicurezza per il rilevamento e la reazione agli incidenti, la kill chain informatica è costituita dalle fasi seguenti: Fase 1. Ricognizione - gli hacker raccolgono informazioni sull'obiettivo. Fase 2. Adescamento - gli hacker creano un payload dannoso di tipo exploit da inviare all'obiettivo. Fase 3. Dirottamento - gli hacker inviano il payload dannoso di tipo exploit all'obiettivo per mezzo di e-mail o altri metodi. Fase 4. Exploit - l'exploit viene eseguito. Fase 5. Installazione - il malware e le backdoor vengono installate all'interno dell'obiettivo. Fase 6. Comando e controllo - il controllo remoto dell'obiettivo viene assunto per mezzo di un canale o di un server di comando e controllo. Fase 7. Azione - gli hacker eseguono azioni dannose quali il furto di informazioni oppure sferrano, dall'interno della rete, ulteriori attacchi nei confronti di altri dispositivi attuando nuovamente le fasi della kill chain. Per proteggersi dalle kill chain, le difese deputate alla sicurezza delle reti sono progettate in base alle fasi che le costituiscono. Di seguito vengono riportate domande relative alle difese aziendali che traggono spunto dalla modalità di funzionamento delle kill chain informatiche: • Quali sono i segnali di un attacco in corso in ciascuna fase della kill chain? • Quali strumenti di sicurezza sono necessari per rilevare i segnali di attacco in ciascuna delle fasi? • Vi sono lacune nella capacità dell'azienda di rilevare un attacco? Secondo Lockheed Martin, comprendere le fasi della kill chain ha consentito all'azienda di predisporre ostacoli a difesa della struttura, rallentare gli attacchi e, in ultima analisi, impedire la perdita dei dati. La figura mostra in che modo ciascuna fase della kill chain comporti un aumento dello sforzo e dei costi necessari per impedire e rimediare agli attacchi. Sicurezza basata sui comportamenti La sicurezza basata sui comportamenti è una forma di rilevamento delle minacce che non si affida a firme note, ma sfrutta il contesto informativo per rilevare eventuali anomalie di rete. Il rilevamento basato sui comportamenti comporta l'acquisizione e l'analisi del flusso di comunicazioni tra un utente di una rete locale e una destinazione, locale o remota. Queste comunicazioni, una volta acquisite e analizzate, rivelano contesti e modelli di comportamento che possono essere utilizzati per rilevare eventuali anomalie. Il rilevamento basato sui comportamenti può portare alla scoperta di un attacco, grazie allo scostamento da un comportamento normale. Honeypot - gli honeypot sono strumenti di rilevamento basati sui comportamenti che attirano gli hacker facendo leva sui loro schemi di comportamento dannoso. Quando gli hacker sono all'interno dell'honeypot, gli amministratori di rete possono acquisire, registrare e analizzare il loro comportamento. Questo consente agli amministratori di ampliare le proprie conoscenze e, quindi, mettere a punto meccanismi di difesa migliori. Cisco Cyber Threat Defense Solution Architecture (architettura delle soluzioni Cisco Cyber Threat Defense) - si tratta di un'architettura di sicurezza che impiega il rilevamento basato sui comportamenti e gli indicatori per fornire maggiore visibilità, contesto e controllo. In caso di attacco, l'obiettivo è conoscere "chi", "cosa", "dove", "quando" e "in che modo". Per realizzare tale obiettivo, questa architettura impiega numerose tecnologie per la sicurezza. NetFlow La tecnologia Cisco NetFlow viene impiegata per raccogliere informazioni sul flusso dei dati all'interno delle reti. Le informazioni fornite da NetFlow possono essere paragonate alla bolletta telefonica per il traffico di rete. Esse mostrano chi e quali dispositivi si trovano nella rete nonché quando e in che modo utenti e dispositivi hanno avuto accesso alla rete. NetFlow è un componente importante nel rilevamento e nell'analisi basati sui comportamenti. Gli switch, i router e i firewall di Cisco dotati di NetFlow possono fornire informazioni sui dati in ingresso, in uscita e in transito nella rete. Le informazioni vengono trasmesse ai collettori NetFlow che raccolgono, archiviano e analizzano i record. NetFlow è in grado di ricavare informazioni sull'uso a partire da numerose caratteristiche diverse relative al modo in cui i dati transitano nelle reti, come mostrato in figura. Grazie alla raccolta di informazioni sui flussi dei dati di rete, NetFlow è in grado di determinare comportamenti di riferimento basati su oltre 90 attributi diversi. CSIRT Molte grandi aziende dispongono di un gruppo CSIRT (Computer Security Incident Response Team) preposto alla ricezione, analisi e reazione agli incidenti in materia di sicurezza informatica, come mostrato nella Figura 1. L'obiettivo principale del CSIRT è garantire la conservazione dell’azienda, dei sistemi e dei dati tramite indagini esaustive delle violazioni di sicurezza. Per prevenire gli incidenti di sicurezza, il CSIRT Cisco effettua una valutazione proattiva delle minacce, pianifica la riduzione del rischio, analizza le tendenze mostrate dalle violazioni ed esamina l'architettura di sicurezza, come mostrato nella Figura 2.