Tenere il passo

con uno scenario

di sicurezza
informatica
in continua
evoluzione
Tenere il passo con uno scenario di sicurezza informatica in continua evoluzione

Indice

Minacce emergenti 4

Tecniche di phishing avanzate 6

Aumento degli exploit remoti 7

Difensori assediati 8

Una nuova era di protezione dalle minacce 10

Più strumenti per una difesa approfondita 11

2
Tenere il passo con uno scenario di sicurezza informatica in continua evoluzione

Introduzione
I CISO devono gestire Il ruolo dei CISO non è mai stato facile, ma sembra complicarsi
soprattutto un ogni giorno di più. Le loro mansioni sono abbastanza complete:
panorama di sicurezza Proteggere le risorse digitali dell'azienda
informatica sempre
più complesso. Promuovere pratiche di sicurezza valide in tutta l'azienda

Comprendere le esigenze e i rischi delle singole business unit

Interagire regolarmente con i dirigenti e il consiglio di

amministrazione per aiutarli a gestire i rischi in modo strategico

I CISO devono gestire soprattutto un panorama di sicurezza

informatica sempre più complesso. Sono andati i tempi in cui
si proteggevano le risorse con un perimetro rafforzato. I dati
risiedono nel cloud, negli endpoint e in tutta la supply chain
e la superficie di attacco è molto più ampia.

E oggi i CISO si trovano ad affrontare le nuove realtà del lavoro

generate da una pandemia globale. Improvvisamente a intere
forze lavoro è stato chiesto di lavorare da casa. Questa situazione
ha alzato notevolmente la posta in gioco in termini di protezione
dei dispositivi endpoint, dei dati e dell'infrastruttura di rete.

È quindi fondamentale che i CISO si tengano aggiornati sulle

minacce emergenti e, soprattutto, su come stiano evolvendo le
strategie di protezione dalle minacce così da mantenere al sicuro
le aziende.
3
Tenere il passo con uno scenario di sicurezza informatica
in continua evoluzione
Minacce
emergenti
Molti criminali online
sono attratti da una
nuova generazione
di tecniche di attacco
"prive di malware".
Proprio come la distanza più breve tra due punti è una linea
retta, i criminali informatici fanno il minimo indispensabile
per compromettere i sistemi ed esfiltrare i dati. Quindi non
sorprende che molti utenti malintenzionati online siano attratti
da una nuova generazione di tecniche di attacco "prive di
malware". Perché scrivere malware quando puoi penetrare in
un sistema con un codice eseguito dalla memoria o credenziali
compromesse?
"Sono stato coinvolto in più di una violazione in cui il
malintenzionato ha adottato approcci privi di malware, ad
esempio ha indovinato la password su un desktop remoto, per
ottenere l'accesso all'ambiente", ha affermato Chris Clements,
vicepresidente dell'architettura di soluzioni presso Cerberus
Sentinel, una società di consulenza in sicurezza informatica.
"Gli utenti malintenzionati hanno quindi utilizzato le funzioni di
sistema integrate per elevare i propri privilegi e avere il controllo
completo su tutti i sistemi e i dati della rete".
4
Tenere il passo con uno scenario di sicurezza informatica in continua evoluzione

"Questi attacchi possono

essere devastanti", ha
aggiunto Clements, "perché
gli utenti malintenzionati
simulano le stesse attività
degli amministratori IT
legittimi che l'antivirus non
è in grado di bloccare".

5
Tenere il passo con uno scenario di sicurezza informatica
in continua evoluzione
Tecniche di
phishing avanzate
Il phishing rimane una
minaccia diffusa e i
perpetratori adottano
tattiche avanzate per
evitare le difese di rete
tradizionali.
Il phishing rimane una minaccia diffusa e i perpetratori adottano
tattiche avanzate per evitare le difese di rete tradizionali. Si
nascondono dietro l'offuscamento dei pacchetti, la crittografia,
i payload in più fasi e i DNS a flusso rapido, dove le botnet
nascondono i siti di phishing dietro una rete di host compromessi
che fungono da proxy.
Anche gli attacchi ransomware stanno evolvendo. Gli operatori
più sofisticati penetrano un obiettivo e cercano un partner in
grado di distribuire il ransomware in modo personalizzato.
Ad esempio, gli sviluppatori del ransomware LockerGoga, che
ha bisogno di diritti amministrativi per essere eseguito, sono
noti per avere analizzato le difese di un obiettivo in modo così
approfondito da non preoccuparsi di nascondere l'app dannosa
perché sanno che le difese non la rileveranno.
Gli utenti malintenzionati utilizzano anche strumenti già
installati in un sistema, ad esempio PowerShell, per estendere
l'attacco alla rete. Questi intrusi "vivono del sistema" che hanno
penetrato e usano strumenti e utilità pubblicamente disponibili
per raggiungere i propri fini. Tali attacchi sono difficili da rilevare
perché ai difensori sembrano attività di rete normali.
6
Tenere il passo con uno scenario di sicurezza informatica
in continua evoluzione
Aumento degli
exploit remoti
Secondo KnowBe4, un
fornitore di informazioni
sulla sicurezza, gli
attacchi e-mail correlati
al coronavirus sono
aumentati del 600% nel
trimestre conclusosi il
30 marzo 2020.
Sempre più dipendenti sono costretti a lavorare da casa a
causa dell'epidemia del COVID-19. E questi lavoratori remoti
rappresentano una vulnerabilità crescente per le aziende.
A causa dell'improvviso passaggio al lavoro remoto, i team
addetti alla sicurezza di molte aziende si sono trovati a dover
adeguare i criteri e le protezioni esistenti. Non sorprende quindi
che anche gli utenti malintenzionati sfruttino la pandemia
tramite l'ingegneria sociale. Secondo KnowBe4, un fornitore
di informazioni sulla sicurezza, gli attacchi e-mail correlati al
coronavirus sono aumentati del 600% nel trimestre conclusosi
il 30 marzo 2020.
"Gli utenti malintenzionati sono degli opportunisti che
sfrutteranno tutte le occasioni per approfittarsi del fragile
stato emotivo delle persone in situazioni di crisi come questa,
cercando di indurle a fare clic su un collegamento dannoso
o a scaricare un allegato contenente malware", afferma
Stu Sjouwerman, CEO di KnowBe4.
7
Tenere il passo con uno scenario di sicurezza informatica
in continua evoluzione

Difensori
assediati

In questo panorama In questo panorama delle minacce in continua espansione, i CISO

delle minacce in sono sotto pressione per modernizzare le operazioni di sicurezza
continua espansione, al fine di ridurre le inefficienze, aumentare la visibilità in tutta
l'azienda e diventare più proattivi nell'identificazione e nella
i CISO sono sotto
protezione dalle minacce.
pressione per
modernizzare le Tradizionalmente i team addetti alla sicurezza avevano il compito
operazioni di sicurezza di monitorare domini specifici, senza interazione o integrazione.
al fine di ridurre le Questi silos possono impedire ai difensori di vedere l'intero
inefficienze. contesto di un attacco finché non è troppo tardi. Gli utenti
malintenzionati di oggi si muovono così rapidamente che,
quando i team addetti alle operazioni di sicurezza riconoscono la
portata di un problema, i loro sistemi potrebbero essere già stati
compromessi.

A peggiorare la situazione è la crescente combinazione di prodotti

e servizi per la sicurezza. Solitamente questi prodotti utilizzano
portali, schemi di dati e metodologie differenti. Il monitoraggio
manuale dei dati in questi prodotti può ritardare i tempi di risposta
e persino tralasciare gli elementi di un attacco stesso.

8
Tenere il passo con uno scenario di sicurezza informatica in continua evoluzione

Un aumento dei prodotti per

la sicurezza e dei dati raccolti
e analizzati crea spesso un
sovraccarico di avvisi. Gli analisti
della sicurezza non riescono a
priorizzare il volume di avvisi
che ricevono per affrontare le
minacce più gravi. L'intelligence che
raccolgono non è fruibile. Senza gli
strumenti giusti per rispondere in
modo proattivo prima di o durante
una violazione e per bloccare le
minacce persistenti, i difensori
sono in netto svantaggio quando
affrontano gli avversari.

9
Tenere il passo con uno scenario di sicurezza informatica
in continua evoluzione

Una nuova era di

protezione dalle
minacce

La sicurezza basata La protezione dalle minacce sta evolvendo per affrontare

sull'identità è un queste sfide con metodi e tecnologie emergenti progettati
componente chiave per rafforzare le difese tradizionali.

di un framework di
sicurezza emergente
noto come Zero Trust.
Ad esempio, rispetto all'identità, i controlli di rete hanno un
ruolo di secondo piano come mezzo per proteggere sistemi
e dati. Quando il paradigma della difesa era incentrato sul
perimetro e l'architettura IT condivideva un intervallo di indirizzi
IP comune, i controlli di sicurezza erano orientati alla rete. Poiché
le piattaforme cloud e mobili hanno portato i dati al di fuori del
perimetro, anche le protezioni di sicurezza devono estendersi
all'esterno della rete. Di conseguenza le aziende stanno cercando
modi per riorganizzare le difese in base al contesto e all'identità.

Con il paradigma del perimetro, una volta che avevi eseguito

l'accesso a un sistema, eri considerato affidabile al 100%. Con
il paradigma dell'identità, l'accesso a un sistema è limitato a
ciò di cui l'utente ha bisogno per svolgere il proprio lavoro ed
eventuali comportamenti anomali attivano gli avvisi. La sicurezza
basata sull'identità è un componente chiave di un framework di
sicurezza emergente noto come Zero Trust. Questo modello si
basa sul presupposto che non ci si può fidare di nulla all'interno
o all'esterno dell'azienda. È necessario verificare tutto prima di
qualsiasi accesso.
10
Tenere il passo con uno scenario di sicurezza informatica
in continua evoluzione
Più strumenti
per una difesa
approfondita
I team addetti alla
sicurezza hanno ora la
possibilità di distribuire
funzionalità avanzate di
"ricerca" per eliminare
le violazioni sofisticate.
La moderna protezione dalle minacce richiede controlli di sicurezza
che eseguano continuamente la correlazione incrociata, analizzino
le variabili rilevanti quasi in tempo reale e decidano se concedere
o negare l'accesso a un'identità. Di conseguenza le aziende hanno
l'urgenza di adottare l'automazione, l'intelligenza artificiale e
l'apprendimento automatico negli stack di sicurezza.
L'intelligenza artificiale e l'apprendimento automatico svolgono
un ruolo critico nelle operazioni di sicurezza informatica perché
consentono di analizzare enormi quantità di dati per modelli di attività
sospette e segnali di minaccia che gli analisti umani non possono
vedere finché non è troppo tardi. Gli algoritmi di apprendimento
automatico possono trasformare i dati non elaborati provenienti da
più origini in incidenti che offrono ai difensori il tipo di visibilità di cui
hanno bisogno per comprendere l'intero contesto di un attacco
e creare una risposta mirata.
L'intelligenza artificiale, l'apprendimento automatico e l'automazione
aiutano inoltre le aziende a essere meno reattive e più proattive
nell'identificazione e nella risposta alle minacce. I team addetti alla
sicurezza hanno ora la possibilità di distribuire funzionalità avanzate
di "ricerca" per eliminare le violazioni sofisticate o comprendere
meglio come si comportano le risorse dell'azienda. Questo approccio
aumenta la capacità di un'azienda di difendersi da attacchi persistenti
e impedisce agli utenti malintenzionati di trovare un appoggio per
sfruttare dati e sistemi.
11
Tenere il passo con uno scenario di sicurezza informatica in continua evoluzione

Il lavoro dei CISO non sta diventando più facile. Tuttavia, con una
visione chiara del mutevole panorama di sicurezza informatica
e l'accesso a metodi di difesa in evoluzione, possono dormire sonni
più tranquilli.

Scopri di più su come l'intelligenza artificiale, l'automazione e l'integrazione

aiutano a proteggere utenti, endpoint, app cloud e dati.

© 2021 Microsoft Corporation. Tutti i diritti sono riservati. Il presente documento viene fornito "così com'è".
Le informazioni e le opinioni espresse in questo documento, inclusi gli URL e altri riferimenti a siti Web, possono
variare senza preavviso. Qualsiasi rischio correlato all'uso del documento è a carico dell'utente. Questo documento
non garantisce alcun diritto legale sulla proprietà intellettuale di nessun prodotto Microsoft. Il presente documento
può essere copiato e utilizzato esclusivamente per uso interno e a scopo di riferimento.