I consigli di Cisco Talos per gli attacchi informatici

Cisco Talos ha fornito alcuni suggerimenti per implementare una strategia di difesa attiva, non solo quindi per prevenire un attacco, ma anche per intervenire sfruttando il tempo che serve agli hacker per portare a buon fine un attacco.

Una nuova strategia di difesa che le aziende stanno prendendo in considerazione per difendersi dalla criminalità informatica, infatti,  è quella di usare l’intelligence sulle minacce informatiche e la telemetria per scoprire potenziali attacchi prima ancora che possano raggiungere i loro obiettivi.

Un attacco ransomware, per esempio, non avviene in modo rapido: gli hacker hanno bisogno di tempo per entrare nella rete aziendale, trovare i database e controllare in quali sono presenti informazioni di valore: soltanto dopo questi passaggi possono tentare di esfiltrare i dati e, infine, distribuire il ransomware all’interno della rete.

Ecco alcuni consigli:

Esercitarsi

Lo svolgimento periodico di esercitazioni “a caccia” di minacce informatiche aumenta le possibilità di rilevamento. In questo modo sarà possibile conoscere quali sono i punti deboli della rete, ottenere maggiore visibilità su ciò che sta accadendo e scoprire dati potenzialmente strategici che non sono protetti in modo adeguato. Non esiste una formula magica, ma la ripetizione periodica di questi processi aiuta a migliorare l’ambiente IT e ad acquisire maggiore consapevolezza.

Monitorare le query DNS

Il monitoraggio delle query DNS (Domain Name System) fornisce una visione chiara di ciò che sta accadendo nella rete. L’analisi dei registri DNS e l’individuazione dei sistemi che hanno risolto i domini forniscono un buon punto di partenza. In aggiunta dovrebbe essere eseguita anche l’analisi dei domini dannosi già noti, in modo da offrire visibilità sull’efficacia della cyber difesa. Infine, se si è verificata una compromissione, i registri possono procurare una buona fonte di informazioni sulle azioni dei criminali informatici e sull’entità delle loro attività dannose sulla rete.

Creare avvisi ad alta priorità

Impostare degli alert ad alta priorità aiuterà i professionisti della sicurezza a concentrarsi sugli eventi critici. Questa tipologia di avvisi serve a segnalare tempestivamente comportamenti anomali come, ad esempio, il tentativo di stabilire una connessione non approvata alla rete, la modifica non autorizzata dei privilegi o della password di un account amministrativo. È consigliabile inoltre impostare avvisi di sicurezza su tutti i sistemi critici dell’azienda per rilevare tempestivamente le attività dannose.

Analizzare le cause di un attacco

La domanda più importante a cui bisogna cercare di rispondere è questa: cosa non ha funzionato nel nostro sistema di difesa?

Un apparato di cybersecurity deve permettere di condurre un’analisi della causa di un attacco al fine di determinare le falle del nostro sistema e fornire informazioni preziose per migliorare le difese dell’azienda.

Migliorare la visibilità

Avere una buona visibilità su ciò che sta accadendo nell’ambiente IT è il primo passo per contrastare una minaccia informatica e per scoprire i punti deboli della rete. Spesso però le aziende non hanno i mezzi per implementare un sistema di rilevamento completo sull’intero ambiente IT. Tuttavia, ciò non significa che non debba essere eseguito alcun tipo di controllo. I file log, ad esempio, possono essere estremamente utili durante la fase di ripristino di una compromissione per scoprire quando e come si è verificato un attacco.

Utilizzare account su più livelli

È consigliabile implementare account di amministrazione che vengano utilizzati solo su sistemi specifici, e non per accedere a tutte le applicazioni dell’azienda, soprattutto se si tratta di account con privilegi elevati. Questi tipi di account possono avere gli stessi privilegi, ma dovrebbero essere suddivisi in base alle loro funzioni: in questo modo sarà possibile impostare avvisi ad alta priorità che si attivano quando viene rilevato un comportamento anomalo.

Contenuti correlati

• 
  I sistemi wireless utilizzati nelle applicazioni industriali

  Lo scopo di questo articolo è presentare un approccio alle implementazioni di sistemi wireless industriali descrivendone le implicazioni nei vari contesti industriali  Leggi l’articolo completo su EMB 88
• 
  I suggerimenti di Barracuda Networks per difendersi dagli allegati HTML malevoli

  Una recente ricerca degli esperti di Barracuda Networks evidenzia che, nel mese di marzo 2023, quasi la metà (45,7%) del totale degli allegati HTML esaminati era malevola, una quota più che doppia rispetto a quella registrata a...
• 
  Nozomi Networks: proteggere l’approvvigionamento idrico dagli attacchi informatici

  Emanuele Temi, Technical Sales Engineer, Nozomi Networks L’approvvigionamento idrico ha un’importanza cruciale e necessita della migliore protezione possibile contro gli attacchi informatici. L’acqua è – senza timore di esagerare – il nostro elisir di lunga vita. Dopo...
• 
  Aumentano gli attacchi alla sicurezza nel settore industriale

  Un recente report di ICS CERT di Kaspersky ha segnalato che, nel 2022, oltre il 40% dei sistemi OT è stato colpito da malware. In particolare, il periodo del 2022 con il più alto tasso di attacchi...
• 
  Le cinque funzionalità chiave delle soluzioni ITDR per le aziende

  di Darren Mar-Elia, VP of Products, Semperis La sicurezza incentrata sulle identità sarà sulla bocca di tutti nel 2023. Negli ultimi anni le aziende sono passate a modelli più flessibili per adattarsi alla così detta epoca della...
• 
  Un ebook sulle soluzioni di sicurezza embedded da Arrow Electronics

  Arrow Electronics ha pubblicato un eBook focalizzato sulla sicurezza e destinato agli sviluppatori dei prodotti embedded che cercano di minimizzare la vulnerabilità dei loro prodotti. Arrow ha compilato un elenco dei dieci elementi fondamentali per garantire un...
• 
  Il sistema di sicurezza di VIA Technologies per conducenti di carrelli elevatori

  Accanto ai vantaggi offerti dai carrelli elevatori occorre tenere conto anche dei pericoli che comportano. Le statistiche indicano che i carrelli elevatori sono il secondo macchinario industriale più pericoloso nel Regno Unito dopo le attrezzature agricole, e...
• 
  La sicurezza nel 2023 vista da Juniper Networks

  Juniper Networks ha analizzato i principali trend che caratterizzeranno la cybersecurity nel 2023. Dall’analisi emerge che anche quest’anno la cybersecurity continuerà a essere una priorità. Per quanto la tecnologia possa impattare su questo scenario, i decisori non...
• 
  Gli attacchi alla sicurezza nel 2022 rilevati dai Nozomi Networks Labs

  Un recente report sulla sicurezza OT/IoT di Nozomi Networks Labs  indica che, nel 2022, il panorama dell minacce è stato dominato da malware wiper, ma anche le attività delle botnet IoT e la guerra tra Russia e...
• 
  Kaspersky : cambia nel 2023 il panorama delle minacce ai sistemi di controllo industriale

  Le previsioni dei ricercatori del CERT ICS di Kaspersky  per il 2023 e i prossimi anni sugli sviluppi e i rischi dei sistemi di controllo industriale indicano che ci sarà un cambiamento sensibile nel panorama delle minacce....