Centro Assistenza ACSIA

La tecnologia e la logica operativa di ACSIA XDR Plus

Maide UYGUR
Maide UYGUR
  • Aggiornato

“If they can’t find you, they can’t attack you”

 

“A thousand battles, a thousand victories. The supreme art of war is to subdue the enemy without fighting. Victorious warriors win first and then go to war, while defeated warriors go to war first and then seek to win. Invincibility lies in the defence; the possibility of victory in the attack.”

- Sun Tzu

 

Introduzione

Esistono molteplici tipologie di attacchi informatici che variano a seconda della tipologia di dati alla quale si vuole accedere illegalmente e all’obiettivo dell’attacco. Di seguito è riportato l’elenco di alcuni degli exploit informatici più comuni:

  • Compromissione di un sistema per rubare dati mirati (dati dei clienti, brevetti industriali - file HR, ecc)
  • Compromissione di un sistema per modificare dati o contenuti
  • Compromissione di un sistema per impiantare malware
  • Compromissione di un sistema per crittografare i dati e richiedere il pagamento di un riscatto
  • Compromissione di un sistema da utilizzarlo come proxy per attaccare altre aziende
  • Compromissione di un sistema per utilizzare le sue risorse di calcolo come Bitcoin miner
  • Compromissione di un sistema in sleep mode, per poi attivarsi in un secondo momento

Per identificare e correggere le conseguenze di un attacco informatico sofisticato spesso ci vogliono mesi, o addirittura anni, esponendo così le aziende a gravi danni reputazionali, violazioni di normative, potenziali azioni legali e perdita di valore per gli azionisti, compromettendo la stessa “business continuity”.

 

In che modo i criminali informatici pianificano i loro attacchi?

Negli ultimi anni il settore della sicurezza informatica non è riuscito a proporre soluzioni in grado di proteggere le aziende da attacchi informatici sempre più sofisticati.

Esistono due metodi generalmente utilizzati dai criminali informatici per attaccare i sistemi IT:

  • Attacchi informatici eseguiti manualmente da un individuo
  • Attacchi informatici che utilizzano software automatizzati come BotNet

 

Alcune caratteristiche dell'attacco informatico manuale

Gli attacchi informatici eseguiti manualmente, richiedono un grande dispendio di tempo ed energie. Spesso sono eseguiti da hacker dilettanti - per esercitarsi - oppure da criminali informatici professionisti ed esperti che utilizzano l'intera gamma di strumenti e tecnologie per eludere ogni sistema di sicurezza. Questi criminali possono essere fortemente motivati da specifici obiettivi e rappresentare una minaccia molto seria per coloro che non hanno un approccio di difesa multidimensionale.

Un tipico attacco manuale inizia con la raccolta delle informazioni, la ricognizione, la cosiddetta fase pre-attacco (vedi Mitre Att&ck framework ad esempio). È una fase in cui l'attore malevolo cerca di familiarizzare il più possibile con l'infrastruttura presa di mira, profilando i punti deboli prima di passare alla fase di attacco. L'esercizio di raccolta delle informazioni è totalmente innocua, infatti i dati provengono da quello che è pubblicamente disponibile sul server Web e sui dispositivi di rete perimetrali. Molte aziende rendono questo tipo di informazioni pubblicamente disponibili perché fondamentali per condurre attività commerciali legittime (una tipica organizzazione di marketing digitale richiederebbe dati simili per la generazione di lead, ad esempio) quindi, prese singolarmente, queste informazioni non sono un attacco reale, ma rappresentano è un passaggio essenziale per stabilire la migliore strategia di attacco.

Una volta raccolte tutte le informazioni pubbliche, l'utente malevolo dispone delle informazioni sufficienti per conoscere il sistema preso di mira, e può passare alla fase successiva che consiste nella valutazione della vulnerabilità. Per fare ciò un utente malintenzionato utilizza strumenti come gli scanner di vulnerabilità, alcuni dei quali possono essere molto aggressivi e rumorosi se utilizzati da individui inesperti, ma se l'attaccante è esperto, possono essere abbastanza silenziosi e senza causare interruzioni al normale lavoro dei sistemi target.

Una volta identificate le vulnerabilità, si giunge alla fase successiva, quella dello sfruttamento in cui l'attaccante tenta di installare il malware. La fase di attivazione del malware è molto intrusiva e quando un hacker esperto è arrivato a questo punto, ci sono molte probabilità che l’attacco abbia successo e che la società venga compromessa.

 

Alcune caratteristiche dell'attacco informatico BotNet

Gli attacchi informatici automatizzati che utilizzano le botnet vengono eseguiti più o meno allo stesso modo degli attacchi manuali, tranne per il fatto che l'intero processo è automatizzato e può essere lanciato istantaneamente. Questo tipo di attacco potrebbe non avere lo stesso intento motivazionale di un criminale informatico esperto che prende di mira manualmente un'organizzazione, ma rappresenta un pericolo reale per tutte le organizzazioni con un business basato su sistemi informatizzati. Le BotNet sono sofisticate e intelligenti, spesso dotate di funzionalità ML/AI per aggirare i sistemi di difesa informatica.

 

Cosa hanno in comune gli attacchi informatici manuali e botnet?

È altamente improbabile che un criminale informatico non compia la fase di raccolta dei dati preliminare, fondamentale per la riuscita di un attacco (sarebbe l'equivalente di guidare un'auto con gli occhi bendati). È di fondamentale importanza per i criminali informatici eseguire un processo di raccolta delle informazioni, prima di stabilire la propria strategia e attaccare le risorse digitali di un’azienda.

 

La logica di azione di ACSIA XDR Plus

ACSIA XDR Plus incorpora un servizio di Threat Intelligence che vieta agli utenti l’accesso a fonti dannose di exploit (indirizzi IP, URL, fonti di malware, ecc.); così come la tecnologia di controllo e correlazione degli eventi in fase di raccolta dati (Pre-Attack) che identifica e impedisce alla fonte richiedente di procedere nel suo intento malevolo. Questa fase di raccolta di informazioni è necessaria affinché un utente malintenzionato possa pianificare e sfruttare con successo le vulnerabilità. ACSIA XDR Plus è progettato per acquisire tutte le query utilizzate durante l'esercizio di raccolta di informazioni prima di applicare la correlazione intelligente e creare modelli che consentono ad ACSIA XDR Plus di prevedere e prevenire i passaggi successivi che il criminale informatico eseguirà. A differenza di altri prodotti sul mercato, ACSIA XDR Plus implementa anche la funzionalità “Reattiva” di difesa avanzata che è in grado di rilevare gli “exploit” eseguiti in tempo reale a completamento delle tecnologie Predictive e Pre-attack qualora fossero state aggirate (un esempio, potrebbe essere una password compromessa utilizzata per ottenere l'accesso... ecc.).

Tali “exploit” tenteranno di accedere a dati che sarebbero anomali per l’utilizzo tipico degli utenti il cui comportamento è noto ad ACSIA XDR Plus, oppure tenteranno di iniettare o modificare dati attraverso l'uso di strumenti dannosi, entrambi rigorosamente monitorati e rilevati da ACSIA XDR PLUS. Monitoriamo anche l'attività del kernel per l'analisi forense per rilevare e prevenire attacchi di compromissione ancora non noti “zero day threat attack”.