Se me lo dicevi prima

A cura di Tiberio Molino, Senior Sales Engineer di Trend Micro Italia

Forse una delle meno conosciute, Se me lo dicevi prima è una canzone dell’indimenticabile Enzo Jannacci – gran milanista – dove racconta la brutta abitudine di scansare le richieste di aiuto, con la scusa di averlo saputo troppo tardi. Vero, non vero, chissà.

Sapere le cose prima e agire per tempo è però un imperativo nella sicurezza in generale e – nello specifico – per combattere il cybercrime, rapido a sfruttare le falle di sicurezza o di configurazione, anche quelle meno evidenti.

RSS, feeding, alert sono tutte valide fonti di avvisi disponibili in abbondanza sul web, ci vuole comunque un certo impegno (le risorse), la costanza (il tempo) e le conoscenze (la professionalità) per armonizzare e tradurre nel pratico questo flusso continuo di informazioni, sapendo distinguere quelle veramente importanti per l’ambiente nel quale si opera da altre più generiche.

Saper intercettare nei segnali definiti a bassa intensità  le caratteristiche di campagne di attacco a livello locale o globale è fondamentale per acquisire la consapevolezza di quanto sta accadendo.

Esempi di segnali a bassa intensità sono nomi di file tipicamente di Sistema Operativo trovati al di fuori delle cartelle di sistema, creazione o modifica ricorrente dei parametri di task schedulati, richieste di sapere il nome host e così via.

Mentre questo approccio preventivo è piuttosto consolidato, la proattività nelle segnalazioni prende nuove vie che possiamo trovare in  Trend Micro Vision One – la piattaforma di servizi per semplificare le attività di protezione e la difesa delle organizzazioni – attraversola app Identity and Risk Insight, che tiene in considerazione utenti, dispositivi, indirizzi IP e applicazioni usati dall’organizzazione.

Figura 1- Identity and Risk Insights

Per esempio, è possibile segnalare sulla base delle informazoni ricavate da Active Directory se un utente ha dei comportamenti anomali, così come dai metadati delle mail ricevute e inviate oppure dal traffico e dal  netflow dei dati di rete.

È interessante notare la divisione tra app sanzionate – quelle legittime a conoscenza dell’ITe app non sanzionate – quelle per esempio usate impropriamente in smart working da casa e conosciute anche come “shadow IT” –  accedute magari senza interfacce di Identity Management o procedure di single sign-on.

Figura 2- App Security Posture

L’abuso delle applicazioni non sanzionate non è di facile percezione – e certo lo smart working non aiuta – però è un indicatore importante sia del  grado di rischio complessivo a cui si espone l’organizzazione sia del rischio specifico di alcuni sistemi o account, che va sotto il nome di Immediate Risk.

Come per tutte le attività di un SOC, la capacità di dare priorità alle situazioni fa la differenza per intervenire tempestivamente, l’indice Immediate Risk segnala entità che mantengono un livello di rischio superiore a una certa soglia nel tempo e che sono quindi potenzialmente compromesse.  Individuate queste entità, dopo le indagini del caso si possono considerare una serie di azioni di mitigazione, da svolgere direttamente dalla console Trend Micro Vison One XDR.

In sintesi, Trend Micro Vision One XDR offre un servizio di analisi sofisticato ma semplice da usare che indirizza con rapidità la ricerca di entità a rischio prima che sia troppo tardi, perché non capiti più di finire sotto attacco e dire “Eh, se me lo dicevano prima…”.

Ulteriori informazioni sono disponibili a questo link.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.