Esiste una sostanziale differenza di approccio metodologico e mentale che bisogna adottare nel caso in cui si approfondiscano tematiche in ambito Detection & Response, rispetto a quando si lavora sul disegno delle architetture di sicurezza, e quindi nel mondo della Prevention.

Il modello threat-centrico rappresenta la chiave di lettura più giusta per guidare i clienti, a diversi livelli di maturità, su come approcciare e migliorare nelle attività d’individuazione e blocco di attacchi verso infrastrutture ed applicazioni.

Detection & Response: cambia mentalità!

La Cyber Security è un settore dell’informatica in rapida espansione e possiede all’interno diverse anime che caratterizzano le diverse professionalità coinvolte. Negli ultimi anni, con la crescita del settore, si è assistito alla nascita di nuovi rami, molti dei quali, soprattutto recentemente, orientati a tematiche offensive.

 La Detection & Response  è un ramo tradizionale della Cyber Security che rappresenta ancora la maggior parte delle attività e degli investimenti effettuati dai clienti di settore. Le piattaforme di sicurezza adottate dai clienti sono sempre di più e sempre più complesse (vedi migrazioni ibride sul cloud). La percezione è quella di ambienti sempre più sicuri viste le moltitudini di tecnologie adottate. Il quotidiano ci insegna però che gli attacchi andati a buon fine (o quasi) sono numerosi anche quando le architetture vengono disegnate in modo sicuro. Ciò accade perché le configurazioni sbagliate, le vulnerabilità 0-day e soprattutto la componente umana restano vettori di attacco più o meno critici.

Il primo passo per poter approcciare correttamente la tematica della Detection & Response è quella di accettare che le tecnologie di sicurezza non sempre sono la panacea di tutti i mali, e soprattutto che gli attacchi avvengono, e possono avvenire, per diversi motivi che vanno dal fallimento della tecnologia di sicurezza fino alla componente umana (che resta fondamentale) passando per le varie CVE che periodicamente vengono comunicate.

Le professionalità nell’ambito della Detection & Response (che restano variegate) sanno che devono intervenire quando tutte le tecniche di prevenzione hanno fallito e sanno anche che è fondamentale avere una Detection efficace ed efficiente per poter permettere una Response tempestiva.

Ma perché le tecnologie di sicurezza falliscono? I motivi possono essere tantissimi ma  è importante sottolineare che una buona Detection non può prescindere dall’accettazione del fallimento di tali tecnologie e architetture di sicurezza.

Esempi di Miss Detection

WAF

Le tecnologie Web Application Firewall (WAF) esistono da anni e sono tecnologie da poter considerare mature e consolidate. Tuttavia, molte di esse si basano su firme e regole non infallibili. Basti pensare al fatto che è impossibile pensare di monitorare tutte le URL possibili.

Nei casi in cui il tool di sicurezza fallisce o non può intervenire, ha senso monitorare altre sorgenti (es. Log dei webserver) per intercettare attacchi andati a buon fine e intervenire per tempo.

Gap Tecnologici

Nelle tecnologie di Cyber Security esistono dei gap tecnologici di vario tipo:

  • Compatibilità tra le soluzioni di sicurezza e le tecnologie da difendere (es. OS non compatibili con l’antivirus/edr)
  • Rollout incompleto delle soluzioni dovuto all’eterogeneità degli asset tecnologici coinvolti
  • Bassa efficacia delle soluzioni rispetto a minacce specifiche (es. Antivirus classico a firma che non blocca comportamenti malevoli)

Generalmente è buona norma implementare dei monitoraggi di sicurezza in diversi fasi di un ipotetico attacco al fine di evitare di affidarsi ad un’unica tecnologia.

Obsolescenza

Non è sempre possibile mantenere aggiornato il proprio “parco macchine”. Di conseguenza, i diversi asset obsoleti possono sempre essere attaccati attraverso delle CVE note. Un monitoraggio attivo di specifici attacchi e minacce può sempre intervenire in ultima istanza a monitorare il rischio residuo (non azzerabile) e può portare all’attenzione degli analisti una serie di gap da colmare o non colmabili.

Uso improprio dei protocolli

In scenari avanzati di attacco ed in presenza di attaccanti esperti risulta sempre più difficile distinguere un comportamento malevolo da un comportamento lecito. Un protocollo lecito può essere utilizzato per eseguire attività malevole ed è possibile portare a termine attacchi senza che nessun tool di sicurezza intervenga.

Un classico esempio è l’utilizzo di specifici protocolli HTTP (es. Webdav) per l’esfiltrazione di dati senza che tecnologie atte al monitoraggio possano intervenire per motivi operativi o limiti tecnologici (es. DLP).

Efficienza ed efficacia del monitoraggio

Per ottimizzare la Detection & Response è fondamentale riuscire a focalizzare tempestivamente le forze di Response al fine di minimizzare gli impatti. In tal senso è molto importante monitorare:

  • L’Efficacia della Detection: capacità d’individuare tempestivamente una minaccia o un’attività malevole in corso
  • L’Efficienza della Detection: capacità di minimizzare la produzione di allarmi falsi positivi

E’ importante che gli allarmi di sicurezza siano poco rumorosi e precisi nell’individuazione di minacce. In tal senso, quello che bisogna chiedersi è quanto il proprio monitoraggio sia guidato dalle reali minacce che possono presentarsi, e quanto l’efficacia e l’efficienza della Detection siano massimizzate.

La massimizzazione dell’efficienza può essere ottenuta rivedendo i monitoraggi e re-ingegnerizzandoli, ove necessario, dando priorità alle regole di detection con minore efficienza

La massimizzazione dell’efficacia è invece legata all’approccio utilizzato per l’individuazione delle minacce.

L’approccio threat-centrico

L‘approccio threat-centrico consiste nel focalizzarsi sulle minacce e gli attacchi reali avendo come obbiettivo la massimizzazione dei parametri di detection e la mitigazione dei rischi residui più critici.

RAD accompagna i propri clienti nell’implementazione di un approccio threat centrico, al fine di colmare i gap di monitoraggio o migliorare il monitoraggio esistente.

Nella nostra esperienza, il miglioramento più significativo lo si riscontra con l’adozione del framework MITRE ATT&CK e l’analisi delle lesson learned degli incidenti passati.

In tal senso, RAD propone ai propri clienti una metodologia a fasi che permette in breve tempo di ottenere notevoli risultati:

  • Adozione del MITRE ATT&CK framework
    • Viene effettuata una valutazione delle regole di detection attive, implementando una mappatura con le tecniche del MITRE ATT&CK e delle procedure di alert management da introdurre nella security operation
  • GAP Analysis
    • Vengono analizzati i gap del monitoraggio secondo 3 diverse dimensioni: le tecniche non monitorate da nessuna regola, le tecniche parzialmente coperte su alcune tecnologie e scoperte su altre, le tecniche scoperte per cui non è necessario indirizzare alcun monitoraggio poiché non rappresentano alcuna minaccia
  • Remediation Roadmap
    • Vengono analizzati i gap evidenziati nella fase precedente e proposta una roadmap di interventi di remediation atta a colmarli, tra i quali: Quick Win per la copertura di determinate tecniche o tecnologie, attività di red teaming atte a confermare la bontà delle coperture/scoperture e integrazione di nuove tecnologie di sicurezza

Scopri come RAD può aiutare la tua azienda attraverso il suo competence center di Cyber Security Monitoring