Secondo l’ultimo Threat Landscape Report di Fortinet, i criminali informatici non solo utilizzano metodologie d’attacco sempre nuove e diversificate (anche nel caso di attacchi più datati), ma stanno anche cambiando le strategie per oscurare la loro presenza ed eludere il rilevamento.

Di conseguenza, le imprese devono trovare una modalità per conciliare la propria strategia di sicurezza integrata con la necessità di rimanere al passo con le forme di attacco emergenti. Questo modus operandi consente loro di stabilire le priorità nell’attuazione di difese specifiche e di rafforzare le principali pratiche di cybersecurity.

L’evoluzione del ransomware

Il ransomware rappresenta l’esempio perfetto dell’evoluzione di una minaccia: proprio quando sembrava che stesse per essere sostituito dal cryptomining, è ritornato in auge e  si è preso una rivincita.

Proprio di recente è emerso un ransomware chiamato Sodinokibi (aka Sodin) che sfrutta una vulnerabilità critica scoperta di recente che permette l’esecuzione di codice arbitrario da remoto. L’impatto di questo exploit potrebbe essere devastante perché consente che un sistema possa essere infettato senza che la vittima abbia fatto qualcosa per innescare il virus.

Le nuove strategie Anti-Analysis

Un altro tema critico di cui i team di sicurezza devono occuparsi è quella legato al crescente numero di tecniche sviluppate dai cybercriminali per non farsi scoprire. Nell’ultimo trimestre sono state introdotte diverse nuove strategie di evasione e per eludere il rilevamento.

Per fare un esempio, AndroMut è un downloader che è salito alla ribalta di recente. È noto per il download di malware come FlawedAmmyy RAT. Tuttavia, il motivo per cui ha raggiunto la notorietà è legato al fatto che include non solo il rilevamento sandbox, che sta diventando piuttosto comune, ma anche uno strumento simulatore della verifica.  

Monitorare i trend non è sufficiente

Ultimamente gli attacchi ransomware ad hoc sono sostituiti da exploit estremamente mirati che combinano il riconoscimento con la disabilitazione di strumenti e servizi per la sicurezza e tecniche d’evasione avanzate. I risultati possono essere devastanti. Dare priorità a questi attacchi, che appaiono nel radar dei Threat Report può non essere sufficiente per identificare e rispondere nel modo adeguato a minacce che sono pensate proprio per evitare di essere individuate. 

Mettere in sicurezza i network moderni

Per affrontare i rischi cui le aziende possono essere sottoposte e ridurne i possibili effetti, è fondamentale che chi si occupa di sicurezza monitori la threat intelligence da diverse fonti. In questo modo sarà possibile dare priorità ai rischi associati all’ambiente di rete in cui opera ogni singola realtà.

Tale approccio deve essere abbinato a una strategia per la sicurezza pensata per identificare e fermare, o perlomeno limitare l’impatto di un attacco proveniente da un punto inaspettato. Tutto ciò inizia con un approccio integrato che incorpori ogni elemento di sicurezza distribuito in qualsiasi punto della rete in un unico ‘security fabric’. Questa strategia deve poi essere potenziata con una segmentazione mirata, pratiche per la sicurezza coerenti e continue e un’automazione combinata con il machine learning. L’intelligenza artificiale ha un ruolo sempre più preponderante in quanto può prendere in carico compiti ripetitivi come il patching, nonché l’identificazione e la risposta alle minacce in velocità. Qualsiasi strategia di sicurezza che non includa tutti questi elementi essenziali non sarà in grado di raggiungere il grado di visibilità e controllo richiesto dalle reti odierne. Questo, a sua volta, esporrà inutilmente la rete alle azioni dei cybercriminali.