{"id":14761,"date":"2021-08-18T07:00:00","date_gmt":"2021-08-18T05:00:00","guid":{"rendered":"https:\/\/www.cyberfero.com\/?p=14761"},"modified":"2021-08-13T16:21:56","modified_gmt":"2021-08-13T14:21:56","slug":"uso-di-un-socaas-aziende-parte-2","status":"publish","type":"post","link":"https:\/\/www.cyberfero.com\/it\/uso-di-un-socaas-aziende-parte-2\/","title":{"rendered":"Casi d’uso di un SOCaaS per le aziende parte 2"},"content":{"rendered":"\n

<\/path><\/svg><\/span><\/span>Estimated reading time: <\/span>5<\/span> minuti<\/span><\/p>\n\n\n\n

Nell\u2019articolo precedente<\/a> abbiamo visto i pi\u00f9 comuni casi d\u2019uso di un SOCaaS<\/a>, spiegando in che modo pu\u00f2 essere utile per le aziende avvalersi di questo strumento per prevenire attacchi informatici e spiegando inoltre quali sono i Threat Models<\/em> pi\u00f9 comuni<\/strong>.<\/p>\n\n\n\n

In questo articolo, invece, vedremo pi\u00f9 da vicino alcuni dei pi\u00f9 comuni indicatori di compromissione<\/em> (IOC<\/a>). Prima vedremo brevemente i modelli di minaccia malware che l\u2019uso di un SOCaaS pu\u00f2 prevenire e bloccare. Per come funziona, un SOCaaS pu\u00f2 essere molto duttile e analizzare molti dati contemporaneamente, fornendo cos\u00ec risultati approfonditi e precisi.<\/p>\n\n\n\n

\"uso<\/a><\/figure>\n\n\n\n

Malware Threat Models<\/h2>\n\n\n\n

\u00c8 importante saper distinguere e classificare le diverse tipologie di malware per capire in che modo possono infettare sistemi e dispositivi, il livello di minaccia che rappresentano e come proteggersi da essi. Noi di SOD consigliamo di adottare l\u2019uso di un SOCaaS in modo da poter classificare l\u2019intera gamma di malware o di oggetti potenzialmente indesiderati. I malware vengono catalogati in base all\u2019attivit\u00e0 che svolgono sui sistemi infetti.<\/p>\n\n\n\n

Rilevamento malware Wannacry<\/strong><\/h3>\n\n\n\n

Grazie a questo modello di minaccia \u00e8 possibile rilevare il comportamento del noto malware Wannacry<\/a>.
Il malware Wannacry \u00e8 un ransomware<\/a> che attacca il sistema crittografando file di particolare importanza per un\u2019organizzazione in modo da renderli illeggibili.<\/strong> <\/p>\n\n\n\n

Il rilevamento tempestivo di un ransomware \u00e8 probabilmente l’azione pi\u00f9 efficace che si possa svolgere per difendersi. Esistono anche servizi che riescono a bloccare l’azione del malware e ripristinare gli eventuali file gi\u00e0 cifrati con quelli di un backup, per esempio Acronis Cyber Protect Cloud<\/a>.<\/p>\n\n\n\n

Anomalia del network seguita da infiltrazioni di dati<\/strong><\/h3>\n\n\n\n

Identifica i tentativi di aggregazione dei dati di rete che hanno avuto successo, seguiti da segni di infiltrazione dei dati. Qui di seguito vediamo alcune delle anomalie e di come l’uso di un SOCaaS possa individuare indizi importanti per contrastare le minacce.<\/p>\n\n\n\n

Durante una scansione della rete<\/strong> \u00e8 possibile notare enumerazioni di account e privilegi AD, conteggio dei servizi LDAP fuori dalla rete aziendale e un numero sospetto di richieste di ticket al protocollo Kerberos<\/a>. Inoltre, altri indicatori possono essere un picco nel traffico LDAP e l’enumerazione dei servizi SMB.<\/p>\n\n\n\n

Per quello che riguarda le anomalie dell\u2019unit\u00e0 di rete<\/strong>, l’uso di un SOCaaS \u00e8 in grado di controllare gli accessi allo sharepoint in modo da individuare un numero insolito di accessi ad elementi condivisi. Questo anche in relazione agli utenti e al loro livello di accesso.<\/p>\n\n\n\n

Sotto l’aspetto di Data Aggregation<\/strong> e di infiltrazione di dati, sono monitorati le quantit\u00e0 di byte scaricati dalle porte dei server e tramite protocolli FTP, cos\u00ec come una quantit\u00e0 inconsueta di byte trasmessi verso l’esterno.<\/p>\n\n\n\n

Rilevamento Petrwrap\/Goldeneye\/Amalware<\/strong><\/h3>\n\n\n\n

Questo modello di minaccia ha lo scopo di rilevare il malware Petrwrap<\/a>.<\/strong> L’uso di un SOCaaS pu\u00f2 rilevare attivit\u00e0 di network scanning tramite il monitoring del numero di attivit\u00e0 SMBv1, cos\u00ec come le anomalie in queste attivit\u00e0. Anche il tentativo di raggiungere un host mai raggiunto prima potrebbe essere un indicatore.<\/p>\n\n\n\n

Un altro modo in cui \u00e8 possibile individuare queste minacce con l’uso di un SOCaaS \u00e8 il controllo delle attivit\u00e0 con privilegi sospette.<\/strong> Per esempio si verifica che non ci sia un’escaletion di privilegi, un accesso insolito in una zona admin o anche la manomissione dei file di log.<\/p>\n\n\n\n

Indicatori di rischio in generale<\/h2>\n\n\n\n

Gli indicatori di rischio sono metriche utilizzate per mostrare che l’organizzazione \u00e8 soggetta o ha un’elevata probabilit\u00e0 di essere soggetta a un rischio. <\/p>\n\n\n\n

Questi indicatori vengono usati per classificare il tipo di comportamento o minaccia per una policy e possono essere utilizzati in pi\u00f9 policy per diverse funzionalit\u00e0 in base all’origine dei dati. Gli indicatori di rischio possono essere concatenati con i modelli di minaccia per identificare attacchi sofisticati su pi\u00f9 fonti di dati.<\/strong><\/p>\n\n\n\n

Si tratta, in sostanza, di indizi o campanelli di allarme che indicano eventi a cui gli operatori di sicurezza di un’azienda dovrebbero prestare particolare attenzione. L’uso di un SOCaaS pu\u00f2 aiutare a individuare questi indizi grazie all’analisi di grandi quantit\u00e0 di dati e log in tempi ridotti.<\/p>\n\n\n\n

Qui di seguito vediamo un elenco non esaustivo di alcuni degli indicatori di minaccia pi\u00f9 comuni che sono individuabili tramite l’uso di un SOCaaS. Li divideremo in diversi ambiti, per chiarezza.<\/p>\n\n\n\n

Accessi<\/h3>\n\n\n\n

Le anomalie che riguardano l’accesso o comunque l’account<\/strong> includono il rilevamento di accesso allo sherepoint amministrativo anomalo ma anche tempi di caricamento delle applicazioni anomali. Anche applicazioni che utilizzano una quantit\u00e0 inconsueta di memoria potrebbero essere indicatori di compromissione. <\/p>\n\n\n\n

Per quello che riguarda gli account, ovviamente, il blocco di un account risulta un campanello di allarme,<\/strong> cos\u00ec come un numero inconsueto di account creati o un numero spropositato di autenticazioni fallite. Infine, l’uso di un SOCaaS potrebbe indicare come IOC un numero sospetto di account in esecuzione contemporaneamente<\/strong>.<\/p>\n\n\n\n

\"Uso<\/a><\/figure>\n\n\n\n

Reti<\/h3>\n\n\n\n

I campanelli di allarme che riguardano le reti sono, ovviamente, quelli pi\u00f9 comuni. Essendo le reti come “le strade” di un’infrastruttura aziendale, \u00e8 normale che i comportamenti anomali in queste siano particolarmente rilevanti.<\/strong><\/p>\n\n\n\n

Come indicatori comuni ci sono i trasferimenti anomali di zone DNS o le richieste non riuscite fatte al firewall. Ma anche un numero anomalo di host in esecuzione o di connessioni ICMP. Tramite l’uso di un SOCaaS \u00e8 controllato anche il traffico in generale, in modo che ogni movimento sospetto di dati sia analizzato o comunque verificato. Un esempio di questo sono i movimenti di pacchetti verso porte critiche, i tentativi di connessione RDP, SSH o a un server DHCP. Questi eventi indicano spesso dei tentativi anomali di connessione a oggetti o a condivisioni di rete. <\/p>\n\n\n\n

Tramite l’uso di un SOCaaS \u00e8 molto semplice anche controllare il comportamento degli account che spesso mostrano di per s\u00e9 dei campanelli di allarme<\/strong>. Per esempio, un account che accede a un host per la prima volta, la creazione di un account o l’aggiunta di privilegi. <\/p>\n\n\n\n

Conclusioni<\/h2>\n\n\n\n

Affidarsi alla fortuna per catturare le minacce \u00e8 una follia<\/strong>, come ci ha dimostrato l’attacco SolarWinds<\/a>. <\/p>\n\n\n\n

Create la vostra fortuna<\/em> con la nostra soluzione SOCaaS<\/a>, assicurandovi di individuare le minacce prima che accadano incident e di essere abbastanza \u201cfortunati\u201d da contrastarle.<\/strong><\/p>\n\n\n\n

Contattaci per sapere come i nostri servizi possono rafforzare le difese della tua azienda, saremo lieti di rispondere a ogni domanda.<\/p>\n\n\n\n

\n
Contattaci<\/a><\/div>\n<\/div>\n\n\n\n

Useful links:<\/span><\/strong><\/p>\n\n\n\n