Cisco Talos: come prevenire gli attacchi informatici e limitare i danni


2 Marzo 2023

Quando si tratta di attacchi informatici molto spesso ci fermiamo nei dettagli riguardanti com’è avvenuto l’attacco, i danni che ha fatto sul sistema colpito e come è stato fermato. Un elemento fondamentale da tenere sempre a mente quando si parla di sicurezza informatica è la possibilità della prevenzione. Cisco Talos, uno dei team più famosi a livello globale di intelligence che gestisce le minacce informatiche, nell’ultimo comunicato stampa ha rilasciato alcuni consigli essenziali per cercare di scoprire potenziali attacchi informatici ancor prima che possano raggiungere l’obiettivo finale. Per fare un esempio concreto, quando sentiamo nominare gli attacchi ransomware, non stiamo parlando di una strategia lampo che nel giro di poche ore viene attuata e portata a termine; prima dell’attacco, gli hacker hanno bisogno di tempo (lasso di tempo che varia a seconda dell’abilità dell’hacker e delle vulnerabilità del sistema) per eseguire diverse operazioni come: trovare la via d’accesso alla rete aziendale, analizzarla per trovare dove si trovano e come sono protetti i dati più sensibili, attuare l’ultimo step relativo ad estrapolare i dati e a distribuire il ransomware che proceda con la criptazione. Perciò, visto l’incremento di queste minacce, il team di Cisco Talos ha studiato alcuni consigli di strategia difensiva attiva per prevenire ed intervenire in tempo sulla minaccia in atto.

Cisco Talos
  • Esercitarsi
    • Lo svolgimento periodico di esercitazioni “a caccia” di minacce informatiche aumenta le possibilità di rilevamento. In questo modo sarà possibile conoscere quali sono i punti deboli della rete, ottenere maggiore visibilità su ciò che sta accadendo e scoprire dati potenzialmente strategici che non sono protetti in modo adeguato. Non esiste una formula magica, ma la ripetizione periodica di questi processi aiuta a migliorare l’ambiente IT e ad acquisire maggiore consapevolezza.
  • Monitorare le query DNS
    • Il monitoraggio delle query DNS (Domain Name System) fornisce una visione chiara di ciò che sta accadendo nella rete. L’analisi dei registri DNS e l’individuazione dei sistemi che hanno risolto i domini forniscono un buon punto di partenza. In aggiunta dovrebbe essere eseguita anche l’analisi dei domini dannosi già noti, in modo da offrire visibilità sull’efficacia della cyber difesa. Infine, se si è verificata una compromissione, i registri possono procurare una buona fonte di informazioni sulle azioni dei criminali informatici e sull’entità delle loro attività dannose sulla rete.
  • Creare avvisi ad alta priorità
    • Impostare degli alert ad alta priorità aiuterà i professionisti della sicurezza a concentrarsi sugli eventi critici. Questa tipologia di avvisi serve a segnalare tempestivamente comportamenti anomali come, ad esempio, il tentativo di stabilire una connessione non approvata alla rete, la modifica non autorizzata dei privilegi o della password di un account amministrativo. È consigliabile inoltre impostare avvisi di sicurezza su tutti i sistemi critici dell’azienda per rilevare tempestivamente le attività dannose.
  • Analizzare le cause di un attacco
    • La domanda più importante a cui bisogna cercare di rispondere è questa: cosa non ha funzionato nel nostro sistema di difesa? Un apparato di cybersecurity deve permettere di condurre un’analisi della causa di un attacco al fine di determinare le falle del nostro sistema e fornire informazioni preziose per migliorare le difese dell’azienda.
  • Migliorare la visibilità
    • Avere una buona visibilità su ciò che sta accadendo nell’ambiente IT è il primo passo per contrastare una minaccia informatica e per scoprire i punti deboli della rete. Spesso però le aziende non hanno i mezzi per implementare un sistema di rilevamento completo sull’intero ambiente IT. Tuttavia, ciò non significa che non debba essere eseguito alcun tipo di controllo. I file log, ad esempio, possono essere estremamente utili durante la fase di ripristino di una compromissione per scoprire quando e come si è verificato un attacco.
  • Utilizzare account su più livelli
    • È consigliabile implementare account di amministrazione che vengano utilizzati solo su sistemi specifici, e non per accedere a tutte le applicazioni dell’azienda, soprattutto se si tratta di account con privilegi elevati. Questi tipi di account possono avere gli stessi privilegi, ma dovrebbero essere suddivisi in base alle loro funzioni: in questo modo sarà possibile impostare avvisi ad alta priorità che si attivano quando viene rilevato un comportamento anomalo.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *