Sommario
Threats

Quali sono le minacce informatiche sconosciute?

Sommario

La maggior parte dei prodotti di sicurezza tradizionali sono costruiti per agire in base alle minacce conosciute. Nel momento in cui vedono qualcosa di noto come dannoso, lo bloccano. Per superare i prodotti di sicurezza che bloccano con successo le minacce note, gli aggressori sono costretti a creare qualcosa che non è mai stato visto prima, aumentando il costo dell'esecuzione di un attacco. Come lo fanno e cosa possiamo fare per prevenire le minacce note e sconosciute?

Vediamo alcuni scenari:

 

Minacce riciclate

Le minacce riciclate sono considerate il metodo di attacco più efficace dal punto di vista dei costi, motivo per cui gli aggressori spesso riciclano le minacce esistenti utilizzando tecniche già collaudate. Ciò che rende queste minacce riciclate "sconosciute" è la memoria limitata dei prodotti di sicurezza. Tutti i prodotti di sicurezza hanno una memoria limitata e i team addetti alla sicurezza scelgono le minacce più aggiornate contro cui proteggersi, sperando che blocchino la maggior parte degli attacchi in arrivo. Se una minaccia più vecchia, non tracciata dal prodotto di sicurezza, tenta di entrare nella rete, potrebbe eludere il prodotto di sicurezza perché non è classificata come qualcosa di già visto.

Per proteggersi da queste minacce riciclate "sconosciute", è fondamentale avere accesso a una memoria di intelligence sulle minacce, spesso collocata in un'infrastruttura cloud elastica in grado di scalare per affrontare il volume di dati sulle minacce. Nel caso in cui un prodotto di sicurezza non abbia identificato e memorizzato una particolare minaccia, l'accesso alla base di conoscenza più ampia dell'intelligence sulle minacce potrebbe aiutare a determinare se qualcosa è dannoso e consentire al prodotto di sicurezza di bloccarlo.

 

Codice esistente modificato

Questo metodo è un po' più costoso delle minacce di riciclaggio. Gli aggressori prendono una minaccia esistente e apportano lievi modifiche al codice, manualmente o automaticamente, mentre la minaccia transita attivamente nella rete. Ciò si traduce in un malware polimorfico o in un URL polimorfico. Come un virus, il malware si trasforma continuamente e automaticamente e cambia rapidamente. Se un prodotto di sicurezza identifica la minaccia originale come nota e crea una protezione per essa basata solo su una variante, qualsiasi piccola modifica al codice trasformerà quella minaccia in un'incognita.

Alcuni prodotti di sicurezza abbinano le minacce utilizzando la tecnologia hashing, che genera un numero del tutto unico basato su una stringa di testo in modo tale che diventa impossibile ottenere due hash identici. In questo contesto, il valore hash corrisponde solo a una variante della minaccia, quindi qualsiasi nuova variante della minaccia sarà considerata nuova e sconosciuta.

Per proteggere meglio da queste minacce, i prodotti di sicurezza devono utilizzare firme polimorfiche. Le firme polimorfiche vengono create in base al contenuto e ai modelli del traffico e dei file, piuttosto che in base a un hash, e possono identificare e proteggere da molteplici varianti di una minaccia nota. L'attenzione al comportamento, piuttosto che all'aspetto della codifica fissa, consente di rilevare i modelli nel malware modificato.

 

Minacce appena create

Gli aggressori più determinati e disposti a investire il denaro creeranno una minaccia completamente nuova con un codice puramente nuovo. Tutti gli aspetti del ciclo di vita di un attacco informatico devono essere nuovi perché un attacco possa davvero essere considerato una minaccia sconosciuta.

  • Focalizzarsi sul comportamento aziendale
    Per proteggersi da queste nuove minacce è necessario concentrarsi sul comportamento aziendale e sui flussi di dati unici. Queste informazioni possono poi essere implementate nelle migliori pratiche di cybersecurity. Ad esempio, sfruttare la segmentazione con ID utente e ID applicazione può aiutare a prevenire la diffusione di nuove minacce nell'organizzazione e a bloccare i download da siti web nuovi, sconosciuti e non classificati.
  • Utilizzare l'intelligence collettiva
    Nessuna organizzazione potrà mai sperimentare tutte le nuove minacce, ecco perché è così importante poter beneficiare dell'intelligence collettiva sulle minacce. Gli attacchi mirati con minacce sconosciute e mai viste prima possono diventare rapidamente noti con la condivisione globale delle informazioni. Quando una nuova minaccia viene analizzata e rilevata in un'organizzazione, le informazioni sulle minacce appena identificate possono essere distribuite in tutta la comunità, con mitigazioni distribuite in anticipo per limitare la diffusione e l'efficacia degli attacchi.

La trasformazione delle minacce sconosciute in minacce note e la prevenzione attiva contro di esse avvengono in un ambiente combinato. Per prima cosa, deve prevedere la fase e la posizione dell'attacco successivo. In secondo luogo, dovete essere in grado di sviluppare e fornire rapidamente la protezione al punto di applicazione, per poterla bloccare.

 

Automatizzare le protezioni

Quando una minaccia veramente nuova entra nella sua organizzazione, la prima linea di difesa consiste nel disporre di best practice di cybersecurity specifiche per l'organizzazione. Allo stesso tempo, dovrebbe inviare file e URL sconosciuti per l'analisi. L'efficacia dell'analisi sandbox dipende dal tempo necessario per fornire un verdetto accurato su una minaccia sconosciuta e per creare e implementare le protezioni in tutta l'organizzazione, nonché dal modo in cui l'ambiente sandbox gestisce le minacce evasive. La sua postura di sicurezza deve essere modificata abbastanza velocemente da bloccare la minaccia prima che abbia la possibilità di progredire - in altre parole, il prima possibile. E per garantire che questa minaccia non attraversi ulteriormente la rete, è necessario creare e implementare automaticamente delle prevenzioni in tutti i prodotti di sicurezza, più velocemente di quanto la minaccia possa diffondersi.

Un recente sondaggio SANS ha riportato che il 40 percento degli attacchi ha elementi precedentemente sconosciuti. La capacità di rilevare le minacce sconosciute e di prevenire gli attacchi riusciti definisce l'efficacia della sua distribuzione di sicurezza. Una vera piattaforma di sicurezza di nuova generazione è agile, e trasforma rapidamente le minacce sconosciute in protezione e prevenzione note a livello globale. Condividere automaticamente i nuovi dati sulle minacce, estendendo le nuove protezioni a tutta l'organizzazione per fermare la diffusione di un attacco.

Ricevi aggiornamenti sulle ultime novità, inviti per eventi e avvisi relativi alle minacce