Sophos punta su innovazione e AI per mettere ko il cybercrime

Insieme a Walter Narisoni, Sales Engineer Director For South Emea di Sophos, abbiamo commentato i dati più importanti emersi dal “The Bite from Inside: The Sophos Active Adversary Report”, uno sguardo approfondito sui comportamenti e sulle tecniche che i cybercriminali hanno utilizzato nella prima metà del 2024.

Lo scenario della sicurezza informatica sta infatti diventando sempre più complesso, motivo per cui oggi le aziende si devono impegnare, anche in virtù di una serie di normative sviluppate a livello europeo e internazionale, a investire nella giusta tecnologia per mettere al sicuro i propri asset strategici.

“Gli attacchi stanno diventando sempre più numerosi, aggressivi e sofisticati grazie al fatto che gli attaccanti stanno utilizzando metodologie sempre più capaci di bypassare le protezioni – esordisce Narisoni -. Sempre più spesso oggi gli autori degli attacchi sfruttano applicazioni e tool legittimi presenti nei sistemi Windows – una tecnica nota come “living off the land” – per esaminare i sistemi stessi e mantenere una presenza persistente al loro interno.

Sophos ha notato un incremento del 53% nell’uso di file binari “Living off the Land” (o LOLbins) rispetto al 2023; un dato che dal 2021 è aumentato dell’83%.

Questa tecnica svela quello che è l’obiettivo dell’attaccante cioè non farsi scoprire: se il cyberattacker utilizza uno strumento lecito del sistema operativo è più facile che l’amministratore non se ne accorga e quindi è possibile per lui portare avanti l’attacco senza che l’amministratore possa bloccarlo in alcun modo.

Secondo l’Active Adversary Report i binari più utilizzati sono il binario Remote Desktop Protocol, il Command Prompt, quindi il CMDXE e PowerShell: una suite di oggetti che permettono di accedere alle macchine e di riuscire a mandare da remoto dei comandi che possano essere utilizzati per l’attacco”.

Quali sono le altre tendenze che emergono dal Report?

“Un’altra tendenza molto forte è l’utilizzo sempre più diffuso da parte degli attaccanti di credenziali compromesse, cioè credenziali buone per entrare all’interno delle aziende in semplicità. Altro dato emerso è che il tempo dell’intervallo tra l’inizio dell’attacco e il suo rilevamento (dwell time) è rimasto costante negli ultimi anni e si aggira intorno agli otto giorni. Visto il relativo poco tempo a disposizione, gli attaccanti hanno capito che devono essere veloci nel portare avanti il proprio attacco perché non hanno tempo illimitato.

Altro elemento da sottolineare è che tendenzialmente un attaccante quando entra nella rete di un’azienda mira sempre ad arrivare velocemente all’Active Directory, perché da lì è possibile entrare in possesso di tutti i privilegi che servono per riuscire ad attaccare con più efficacia l’organizzazione. Sophos ha notato che le versioni più colpite di Active Directory sono quelle vecchie dal momento che non sono aggiornate, aprendo più facilmente il fianco ad attacchi”.

Cosa dobbiamo aspettarci invece per il futuro?

“In realtà Sophos si aspetta dei dati in linea con quelli della prima parte del 2024. La logica dei cybercriminali è quella di fare il minimo sforzo per raggiungere il massimo risultato e se una cosa funziona continueranno ad utilizzarla.

 Nonostante questo scenario fosco le imprese ancora oggi si dimostrano sostanzialmente ingenue ed, in particolare, tralasciano alcuni fattori importati, a partire dall’autenticazione multifattore, fondamentale per evitare il furto di credenziali. Uno dei problemi più importanti è senza dubbio quello di evitare di esporre servizi come l’RDP((Remote Desktop Protocol)  o comunque fare in modo che l’RDP sia protetto”.

Accennavamo prima al dwell time, il tempo intercorso tra il momento in cui l’attacco viene effettuato e quello invece in cui in azienda ci si rende conto effettivamente che questo attacco è in atto. Quali sono i campanelli d’allarme a cui un’azienda dovrebbe prestare attenzione?

“I segnali a cui dovrebbero prestare attenzione le aziende sono numerosi. Nel suo Active Adversary Report, Sophos ha evidenziato le differenze sostanziali tra le aziende che utilizzano servizi di MDR (Managed Detection & Response) rispetto a quelle che non li utilizzano. I dati rivelano che per chi non utilizza un servizio MDR il dwell time è di 8 giorni, mentre per chi utilizza l’MDR un eventuale attacco viene rilevato in un solo giorno in media.

Tra i segnali che dovrebbero destare un minimo di attenzione troviamo un aumento improvviso del traffico di rete o accessi non autorizzati o in orari strani a determinate risorse; comportamenti anomali di oggetti IoT; rallentamenti improvvisi di server o crash inspiegabili e così via. 

Spesso ci sono quindi molti indicatori ma i team It non hanno le risorse per seguire e verificare le centinaia di alert che ricevono, spesso anche per un numero eccessivo di strumenti che non è possibile gestire in maniera corretta. L’analisi dei log non è semplice”.

Poi vedremo come la vostra tecnologia va a supportare i reparti It in questa missione. Parliamo prima di legislazione: quello che è stato fatto fino ad adesso e che si sta facendo può effettivamente rappresentare per le aziende un motivo in più per investire in sicurezza? Il dover essere compliant spingerà le aziende a fare maggiore attenzione?

“Assolutamente sì: la NIS2, il Dora e le varie normative sono proprio state studiate per spingere le aziende a essere più attente al tema della sicurezza. Le normative che sono state messe in piedi e che stanno andando sotto enforcement come la NIS2 aiuteranno tanto perché obbligano le aziende a mettere in atto una serie di azioni tra cui anche l’obbligo di avere un piano di risposta agli incidenti, così come le costringeranno all’adozione di tutta una serie di tecnologie per la messa in sicurezza dei dati, soprattutto quelli sensibili.  

Va anche sottolineato che oggi si parla molto spesso di cyber criminali arrestati dalle autorità ma spesso smantellare le reti di cyber criminali non è affatto semplice perché le reti sono internazionali, risiedono in Paesi diversi, utilizzano strumenti non tracciabili, magari parte dell’attività è fatta su territori dove non si può perseguire il cyber criminale per i reati che sta compiendo e quindi tutta questa parte rende sicuramente complicato il tutto.

 In Europa si sta tentando di far lavorare insieme tutti i Paesi per creare un ente o organismo che possa lavorare al livello di comunità europea e la NIS2 ancora una volta ne è un esempio”.

Tornando a parlare dell’Active Adversary Report di Sophos: quali sono gli altri dati che è importante sottolineare?

“Senza dubbio un fatto che va evidenziato è che il ransomware continua a rimanere molto in auge e sta continuando ad essere al top delle classifiche: il 70% delle investigazioni che Sophos ha fatto hanno a che fare con attacchi di tipo ransomware. Altra cosa interessante è che nonostante a febbraio le autorità abbiano neutralizzato LockBit per una serie di arresti, in realtà oggi rimane ancora tra i ransomware più responsabili degli attacchi con circa il 21% delle infezioni registrate nella prima metà del 2024. Altra cosa interessante è che il 60% degli attacchi sono partiti su servizi remoti esposti, di cui nel 56% dei casi le cause sono state credenziali compromesse. 

Però nel momento in cui l’azienda utilizza un servizio che monitora l’infrastruttura come un MDR tendenzialmente le violazioni sono di ordine diverso. Per esempio, le violazioni che abbiamo visto gestite dal team MDR non arrivano ad evidenziare un’esecuzione di ransomware: l’attacco è avvenuto ma viene bloccato dal team MDR a livello di rete prima dell’esecuzione di qualsiasi processo malevolo, quindi non è più il ransomware ma la violazione della rete il primo motivo del rilevamento”.

All’interno di questo scenario qual è il ruolo di Sophos? Qual è il vostro approccio e come supportate le aziende?

“Il ruolo di Sophos è quello di fornire soluzioni di sicurezza adeguate al contesto in cui oggi viviamo. Sophos sta investendo molto sostanzialmente su tre aspetti. In primo luogo, sulla protezione, cioè su tecnologie all’avanguardia come firewall ed endpoint di ultima generazione per proteggere i clienti. Il nostro obiettivo è quello di intervenire a pochi secondi dall’attacco lasciando poco spazio all’attaccante per riuscire a fare danni.

Sophos mette a disposizione dei suoi clienti, inclusa nella licenza di endpoint protection, la funzionalità Adaptive Attack Protection, grazie alla quale l’antivirus si accorge se c’è qualcosa di anomalo, aumentando il suo livello di aggressività e iniziando a bloccare molto di più di quello che dovrebbe per tagliare le gambe ad un eventuale attaccante.

In secondo luogo, stiamo investendo molto sull’intelligenza artificiale (AI) perché questo tipo di tecnologia permette l’utilizzo di soluzioni complesse anche a persone non esperte. L’AI riesce a raccogliere tanti dati, li correla velocemente e dà informazioni semplici e quindi abbiamo deciso di inserirla nella nostra parte di XDR (Extended Detection & Response), cioè nella parte di rilevazione.

Quindi il primo strato di protezione che offre Sophos permette di bloccare tutto il possibile mentre a quello che scappa viene applicata l’intelligenza artificiale che aiuta a far capire all’It cosa sta effettivamente succedendo, facilitando di molto il suo compito e riducendo in maniera drastica i tempi.

Terzo elemento alla base della strategia di Sophos è infine quello dell’offerta di servizi di aiuto alle aziende per gestire la parte di Detection & Response perché come abbiamo visto la maggior parte delle imprese ha pochissime risorse e spesso anche con competenze limitate. Mettiamo quindi a disposizione delle aziende le nostre persone esperte e opportunamente formate aiutando i clienti a gestire la security. I nostri esperti hanno inoltre accesso a una quantità di dati a cui non può accedere il singolo cliente perché i clienti Sophos che utilizzano i nostri servizi sono 26mila”.

Invece per il 2025 che obiettivi si è posta Sophos?

“Sophos continua a investire sulle tecnologie per la protezione e già stiamo lavorando per disegnare ulteriori funzionalità di protezione per l’endpoint e stiamo continuando a lavorare sulla parte firewall per renderlo sicuro by design.

Abbiamo in programma il lancio di nuovi servizi come Manager Risk Interno (oggi questo servizio, già disponibile, è in grado di evidenziare vulnerabilità critiche solo sulla superficie esterna), in beta in questo momento, e continueremo ad investire in intelligenza artificiale perché è presente in ogni oggetto di sicurezza e ne semplifica la sua gestione.

Sophos è impegnata a sviluppare nuovi algoritmi e nuove tecnologie di intelligenza artificiale ma dall’altro lato lavora anche ad un copilota, quindi un qualcuno che possa aiutare l’IT manager velocemente a capire cosa sta succedendo per aumentare la velocità di reazione da parte dei reparti IT che oggi hanno sempre meno tempo”.