Quali sono i comportamenti che indicano la presenza di un'attività dannosa?

Tempistiche degli eventi insolite, sequenze di azioni anomale o aumento del movimento dei dati sono solo alcuni indicatori della presenza di attività dannose in un ambiente. Ecco alcuni esempi specifici di comportamenti anomali che potrebbero portare all'identificazione di un attacco in corso.

• Un collegamento in un file dall'aspetto affidabile viene caricato nella memoria, quindi carica in remoto uno script per individuare i dati riservati che vengono rinviati all'hacker.
  
  
• Il codice dannoso viene immesso nelle applicazioni già installate, come Microsoft Word, Flash, Adobe PDF Reader, un browser Web o JavaScript, per individuare le vulnerabilità ed eseguire quindi il codice dannoso.
  
  
• Gli strumenti di sistema nativi, come la Strumentazione gestione Windows (WMI) e i linguaggi di script Microsoft PowerShell che in genere vengono considerati altamente affidabili, sono presi di mira per eseguire gli script da remoto.

Industry Pulse: l'analisi comportamentale è diventata indispensabile

All'inizio del 2016, il SANS Institute ha evidenziato l'importanza dell'analisi comportamentale in un white paper dal titolo "Using Analytics to Predict Future Attacks and Breaches". Nella conclusione, l'autore precisa: "Sfruttare piattaforme con funzionalità di analisi dei dati più avanzate per acquisire un numero sempre maggiore di dati diversi, concentrarsi su una maggiore visibilità delle minacce di rete e automatizzare le azioni di rilevamento e risposta può aiutare i team addetti alla sicurezza, ora e in futuro, a evolversi per superare queste sfide".

Ebbene, il futuro ormai è arrivato e, nel 2018, l'analisi del comportamento è essenzialmente un requisito indispensabile per la sicurezza avanzata degli endpoint. Difatti, nel report Magic Quadrant di Gartner per la piattaforma di gestione degli endpoint, l'apprendimento automatico e il monitoraggio del comportamento sono evidenziati come punti di forza di visionari e leader. Il report sottolinea inoltre che "i vendor più visionari e leader nel 2018 e nel 2019 sono quelli che utilizzano i dati raccolti attraverso le proprie capacità [di rilevamento e risposta degli endpoint] per fornire indicazioni e consigli pratici personalizzati ai loro clienti".

Il 17% delle violazioni del 2017 è stato causato da errore umano (e non un deliberato intento doloso).

La soluzione: il cloud

Per sfruttare appieno l'analisi comportamentale, le aziende devono sfruttare il cloud e il suo immenso potere computazionale, la sua scalabilità illimitata e la sua facilità di gestione. Il cloud offre un approccio proattivo che combina i Big Data a funzionalità di analisi avanzate per superare in modo intelligente gli attacchi emergenti più minacciosi.

Ad esempio, il cloud supporta le funzionalità di analisi di streaming, in cui l'attività degli endpoint normale e anomala può essere monitorata e confrontata con qualsiasi dato storico non filtrato degli endpoint. Analizzando questi flussi di eventi e confrontandoli con quelli considerati normali, il cloud crea un sistema di monitoraggio delle minacce globale che non solo rileva gli attacchi, ma prevede quelli che non erano mai stati osservati prima.

Questo potente approccio non può essere adottato con le soluzioni AV tradizionali, che sono basate su firma, ma è possibile con un software antivirus di nuova generazione (NGAV).

NGAV nel cloud offre una comunicazione bidirezionale con gli endpoint, in modo che tutti i dati non filtrati degli endpoint possano essere monitorati e trasformati in analisi predittive che proteggono in modo proattivo le aziende da attacchi sofisticati.

Inoltre, il cloud offre i vantaggi in termini di infrastruttura che la maggior parte delle aziende stanno già sperimentando con altri software di classe enterprise: operation semplificate e meno costose, deployment più rapido e tecnologia innovativa all'avanguardia.