• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Speciale Cloud
  • Industry 4.0
  • Sanità Digitale
  • Redazione
  • Contattaci
Top Trade
    Facebook Twitter Vimeo LinkedIn RSS
    Trending
    • Il Gruppo Lutech è il primo NetApp Cloud Preferred Partner italiano
    • HP: Z-Workstation by HP per professionisti creativi
    • HoReCa: Tilby racconta la digitalizzazione del settore a EuroCIS 2022
    • Sergio Grassi nominato Head of Sales & Marketing di V-Valley in Italia
    • Qualys spinge sul Partner Program
    • Sennheiser nel listino di Maverick AV Solutions
    • Nuove funzionalità premium per Logitech Sync
    • Microsoft Cloud for Sustainability disponibile dal 1 giugno
    Facebook Twitter Vimeo LinkedIn RSS
    Top Trade
    • Tecnologie
    • Strategie
    • Infrastrutture
    • Sicurezza
    • Tendenze
    Top Trade
    Sei qui:Home»Portale Bitmat»Portale News»Furtivi e metodici: crescono gli attacchi Low and Slow
    Portale News

    Furtivi e metodici: crescono gli attacchi Low and Slow

    Di Redazione Top Trade17/12/2018Lettura 6 Min
    Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email

    Di Dave Palmer, Director of Technology di Darktrace

    La velocità con cui le minacce più avanzate oggi colpiscono i loro obiettivi può essere devastante; bastano pochi minuti, il tempo necessario a un analista della sicurezza per allontanarsi e prendere un caffè, che un ransomware si può abbattere su migliaia di computer prima che una persona o gli strumenti tradizionali abbiano la possibilità di rispondere. Mentre queste minacce “grandi e veloci” conquistano le prime pagine dei giornali, sul fronte opposto vi sono gli attacchi lenti e costanti che possono essere altrettanto pericolosi.

    L’ultima escalation della corsa agli armamenti da parte dei cyber criminali li vede prediligere sempre più questa via, più furtività e metodica che veloce e caotica.

    Le aziende si sono adoperate per implementare nuove tecnologie di sicurezza e rilevamento, ma allo stesso modo gli autori di malware hanno scelto di impegnarsi a trovare modi nuovi per eluderle. E proprio in questo contesto nascono i nuovi attacchi “low & slow”, che sono in grado di aggirare gli strumenti di sicurezza tradizionali perché ogni singola azione, di per sé è troppo piccola per essere rilevata, va a confluire nella minaccia più grande.

    Questi attacchi sono progettati per funzionare per un periodo di tempo più lungo e, minimizzando l’impatto sui trasferimenti dei dati o sui livelli di connettività, si mascherano all’interno del normale traffico.

    Per gli attaccanti preparati e dotati di risorse adeguate, come gli Stati nazionali in cerca di proprietà intellettuali o documenti politici sensibili, un’esposizione sottile e prolungata dei sistemi che stanno colpendo rappresenta un vantaggio significativo. Quando si tratta di minacce più sofisticate, infatti, la via della lentezza e della costanza può dimostrarsi la strada vincente.

    Rilevare gli attacchi “low and slow” è possibile solo con tecniche avanzate di apprendimento automatico. Per fare questo è fondamentale conoscere il contesto definendo in modo preciso e unico i “modelli comportamentali’ di ogni utente, dispositivo e rete in modo congiunto.

    Per capire come l’IA è in grado di individuare le attività di ricognizione, sottrazione di dati e di command-and-control che sfruttano le tecniche “low and slow” abbiamo esaminato tre casi reali incontrati da Darktrace in alcune delle oltre 7.000 implementazioni dell’Enterprise Immune System.

    Ricognizione Low and Slow
    Nella rete di una società europea di servizi finanziari, Darktrace ha scoperto un server che eseguiva scansioni delle porte di vari computer interni. Questo tipo di scansione di rete viene eseguita regolarmente per scopi di test legittimi da parte di dispositivi di amministrazione, ma è anche una tattica sfruttata dagli hacker per identificare vulnerabilità e punti che possono essere compromessi come fase iniziale di un attacco.

    In un periodo continuativo di sette giorni, il server ha eseguito circa 214.000 connessioni non riuscite verso 276 diversi dispositivi, ma prendendo di mira solo un numero limitato di porte al giorno. L’attacco è stato sequenziale, ma lento nel tempo. Misurato su base giornaliera, infatti, il livello di disturbo era abbastanza basso da eludere tutte le difese basate su regole.

    Apprendendo in modo autonomo, a partire da una visione dell’intero business digitale nel tempo, l’IA può rilevare anche la minima deviazione dal comportamento “normale” del singolo dispositivo, utente o rete; per questo Darktrace ha riconosciuto il modello di scansione di rete più lungo e ha avvisato immediatamente il cliente.

    Sottrazione dei dati Low and Slow
    Il secondo caso riguarda un’azienda manufatturiera dove abbiamo scoperto un desktop che stava effettuando oltre 2.000 connessioni a un host raro in un periodo di 7 giorni. Durante questo periodo sono stati trasferiti esternamente oltre 9,15 GB di dati ma ogni connessione singola ha trasmesso solo pochi MB – una quantità che, se considerata isolatamente, non avrebbe destato alcuna preoccupazione. Era, in particolare, la destinazione di queste connessioni a essere del tutto rara per la rete e manteneva tale caratteristica durante tutto il periodo di trasferimento. Ciò non solo ha permesso di contrassegnare l’attività come inizialmente sospetta, ma ha anche impedito che venisse assorbita nel traffico autorizzato.

    In combinazione con il volume accumulato di dati in uscita dalla rete, l’IA di Darktrace l’ha identificata come deviazione significativa nel comportamento del dispositivo, indicando un attacco in corso.

    Attacchi Command and Control Low and Slow
    Identificare i malware prima che compaiano sulle liste delle minacce note rappresenta un’abilità cruciale per contrastare minacce gravi e mai viste prima. Darktrace effettua tutto questo individuando i “beaconing pattern” e non facendo affidamento semplicemente alle firme. Il beaconing si verifica quando un programma dannoso tenta di stabilire un contatto con la sua infrastruttura online e, in modo simile a una scansione di rete, crea un incremento delle connessioni in uscita.

    In una rete aziendale, Darktrace ha individuato un dispositivo che effettuava connessioni a intervalli regolari a un’estensione browser dannosa. Il tasso medio di connessione era di 11 connessioni ogni 4 ore; anche in questo caso, un livello basso di attività che poteva facilmente confondersi con un traffico internet normale.

    Avendo identificato la regolarità di queste connessioni, l’intelligenza artificiale di Darktrace ha assegnato un punteggio di beaconing elevato, che indicava che molto probabilmente erano state avviate in modo automatico. Se includiamo il fatto che la destinazione era rara, diventa ancora più evidente che la causa era un programma malevolo in background, in esecuzione all’insaputa dell’utente.

    I casi che ho illustrato dimostrano come gli aggressori stiano sviluppando metodi sempre più sofisticati per agire senza essere scoperti e come i tradizionali strumenti di sicurezza che funzionano in modalità binaria, basandosi su dati storici non siano in grado di tenere il passo.

    La nuova era della cyber defence vedrà l’intelligenza artificiale rilevarsi fondamentale per la sua capacità di apprendere un “modello di vita” in continua evoluzione, scoprire gli attacchi in corso e rispondere autonomamente, neutralizzandoli prima che si trasformino in qualcosa di molto più grave.

    Gli attacchi di alto profilo e in rapida evoluzione come NotPetya e WannaCry hanno incoraggiato alcune organizzazioni a concentrarsi sulla prevenzione di determinati tipi di minacce, a spese degli altre, ma il mio consiglio per il futuro è quello di non trascurare le insidie “low and slow” e sfruttare la potenza dell’intelligenza artificiale per prevenire non solo gli attacchi più rapidi, ma anche i più lenti e furtivi.

     

    Apprendimento automatico Attacchi Low and Slow Darktrace Intelligenza artificiale
    Condividi: Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione Top Trade
    • Website
    • Facebook
    • Twitter

    TopTrade è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    Il Gruppo Lutech è il primo NetApp Cloud Preferred Partner italiano

    20/05/2022

    Sergio Grassi nominato Head of Sales & Marketing di V-Valley in Italia

    20/05/2022

    Qualys spinge sul Partner Program

    20/05/2022
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    BitMATv – I video di BitMAT
    La visione che merita di essere vista
    SMC: tutto pronto per il Liferay Bootcamp 2022
    Liferay: l’11 maggio torna l’appuntamento con il Liferay Bootcamp
    PFU: la scansione al centro della digitalizzazione
    La sicurezza informatica secondo Personal Data Gruppo Project
    Più letti

    Sanità, quando la tecnologia e la robotica sono a servizio della salute

    25/09/2015

    Blue Coat e Systematika in partnership, servizi e valore per il canale

    03/07/2011

    Sicurezza SonicWall per reti cablate, wireless e mobili

    03/10/2017

    20 anni per Tecnosteel

    07/02/2018

    MSP più sicuri con Barracuda

    01/02/2022
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione online ed offline rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook Twitter Vimeo LinkedIn RSS
    NAVIGAZIONE
    • Tecnologie
    • Strategie
    • Infrastrutture
    • Sicurezza
    • Tendenze
    Ultime

    Il Gruppo Lutech è il primo NetApp Cloud Preferred Partner italiano

    20/05/2022

    HP: Z-Workstation by HP per professionisti creativi

    20/05/2022

    HoReCa: Tilby racconta la digitalizzazione del settore a EuroCIS 2022

    20/05/2022

    Sergio Grassi nominato Head of Sales & Marketing di V-Valley in Italia

    20/05/2022
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2022 - BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 295 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Scrivi nel campo e premi Invio per cercare. Premi Esc per annullare