Cosa si può imparare dai casi di studio del Playbook 2021 di aziende vittime di attacchi informatici? In una serie di articoli, gli esperti Sophos viaggiano indietro nel tempo e affrontano vari aspetti specifici della sicurezza IT per ricavare consigli che possono essere implementati da tutti.
Come dettagliato nel Sophos Active Adversary Playbook 2021, agli aggressori piace utilizzare gli strumenti utilizzati dagli amministratori IT e dai professionisti della sicurezza per rendere più difficile il rilevamento di azioni sospette. Molti di questi strumenti sono riconosciuti dai prodotti di sicurezza come "Applicazioni potenzialmente indesiderate" o PUA (o RiskWare o RiskTool) in breve, ma sono essenziali per i team IT da utilizzare quotidianamente. Per far fronte a questo, gli amministratori devono porsi due domande chiave relative alla politica IT dell'azienda: tutti gli utenti devono essere in grado di utilizzare queste utilità e queste utilità devono essere in grado di funzionare su ogni dispositivo?
Cosa sono le PUA?
Le PUA sono strumenti di amministrazione in bundle con un sistema operativo (ad esempio PowerShell) e forniscono modi per automatizzare e gestire i dispositivi su una rete. Inoltre, esistono altri strumenti di terze parti comunemente utilizzati per estendere funzionalità come scansione delle porte, acquisizione di pacchetti, scripting, monitoraggio, strumenti di sicurezza, compressione e archiviazione, crittografia, debug, test di penetrazione, gestione della rete e accesso remoto. La maggior parte di queste applicazioni viene eseguita con accesso di sistema o root.
Perché l'elenco di esclusione dell'IT è problematico
Se gli strumenti di amministrazione sono installati e utilizzati internamente dal tuo team IT, queste applicazioni sono strumenti utili. Tuttavia, se questo viene fatto da altri utenti, sono considerati PUA e sono spesso contrassegnati come tali da affidabili soluzioni di sicurezza per dispositivi finali. Per consentire loro l'uso gratuito di questi strumenti, molti amministratori aggiungono semplicemente gli strumenti che utilizzano a un elenco globale di esclusioni o consenti nella loro configurazione di sicurezza degli endpoint. Sfortunatamente, questo metodo consente anche a persone non autorizzate di installare e utilizzare gli strumenti, spesso senza alcun monitoraggio, avviso o notifica.
In che modo i criminali informatici utilizzano le PUA?
Le politiche di sicurezza che consentono le PUA dovrebbero quindi essere configurate con cura. Perché un tale biglietto gratuito vale il suo peso in oro per i criminali informatici e non vi è alcuna comprensione dell'uso, dell'intenzione e del contesto dello strumento.
Una volta che uno strumento è stato escluso, un malintenzionato può comunque tentare di installarlo e utilizzarlo, anche se non è già installato su un determinato dispositivo. Tuttavia, la tecnica di attacco nota come "vivere dei frutti della terra" richiede che gli aggressori utilizzino le funzioni e gli strumenti esistenti per evitare il rilevamento il più a lungo possibile. Consentono agli attori di eseguire il rilevamento, l'accesso alle credenziali, l'escalation dei privilegi, l'evasione della difesa, la persistenza, il movimento di rete da lato a lato, la raccolta e l'esfiltrazione senza sventolare una sola bandiera rossa.
Consentire PUA in azienda solo in modalità controllata
Il primo passo è verificare le attuali eccezioni globali in azienda:
- Sono necessari?
- Viene fornita una ragione per l'esclusione – o è stata “sempre lì”? I responsabili dovrebbero indagare sul motivo per cui la soluzione di sicurezza ha rilevato la PUA in primo luogo: potrebbe già essere utilizzata in modo dannoso?
- Le esclusioni devono davvero applicarsi a TUTTI i server e i dispositivi finali?
- Lo strumento di amministrazione è ancora necessario o può essere relegato a una funzionalità integrata?
- Hai bisogno di più di uno strumento per ottenere lo stesso risultato?
Sulla base di numerosi case study, Sophos consiglia di autorizzare le PUA solo su base molto controllata: applicazione specifica, macchine specifiche, tempi precisi e utenti selezionati. Ciò può essere ottenuto tramite una polizza con l'esclusione richiesta, che può anche essere rimossa di nuovo se necessario. Qualsiasi utilizzo rilevato di PUA non previsto dovrebbe essere indagato, in quanto potrebbe indicare che un criminale informatico ha già ottenuto l'accesso ai sistemi.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.