Che Cosa Sono gli Indicatori di Compromissione?

Spesso gli indicatori di compromissione vengono considerati come “briciole digitali”. Sono la prova che è in corso un attacco informatico. Inoltre, gli indicatori di compromissione offrono approfondimenti sugli strumenti utilizzati durante un cyberattacco, sugli autori di quell’attacco e molte altre informazioni. 

Informazioni sugli indicatori di compromissione

I team di sicurezza utilizzano gli indicatori di compromissione per cercare attività pericolose o minacce. Questi indicatori possono essere inclusi nel monitoraggio della cybersecurity della tua azienda. Possono aiutarti a bloccare un attacco informatico in corso. Inoltre, li puoi utilizzare come parte della tua strategia di rilevamento e blocco di ransomware, malware e altre minacce informatiche, prima che causino la violazione dei dati.

Come funzionano gli indicatori di compromissione?

Quando un cybercriminale attacca la tua azienda, lascia un’impronta digitale. In seguito a un attacco informatico, il tuo team di sicurezza potrebbe ad esempio notare tracce di attività cybercriminale nei tuoi sistemi e nei file di log. Ora il tuo team può raccogliere dati forensi digitali da questi file e sistemi. Muniti di queste informazioni, i tuoi tecnici informatici possono stabilire se è in corso oppure se si è verificato un attacco informatico o una violazione dei dati.

Puoi affidare l’incarico di cercare indicatori di compromissione nell’intera infrastruttura IT al tuo team di sicurezza, oppure puoi rivolgerti a un Managed Security Services Provider (MSSP), che sia in grado di individuarli per conto tuo. Per entrambi gli scenari sono disponibili tecnologie e strumenti avanzati per effettuare la scansione e l’analisi del traffico di rete e di altre origini, alla ricerca di indicatori di compromissione. Se vengono identificate attività sospette, possono essere isolate nel modo più adeguato.

Tipi di indicatori di compromissione

Rete

Gli indicatori di compromissione della rete includono pattern di traffico insoliti, connessioni a indirizzi IP o domini pericolosi, oppure altri segni di attività sospetta all’interno della rete. Per rilevare questi indicatori di compromissione, è possibile utilizzare sistemi IDS (rilevamento delle intrusioni) e SIEM (gestione delle informazioni e degli eventi di sicurezza), nonché altri strumenti di monitoraggio della rete.

Basati sugli host

Questi tipi di indicatori includono attività insolite dei file, modifiche delle impostazioni di configurazione del sistema e altri eventi sospetti su un computer o in un sistema. Per rilevare gli indicatori di compromissione basati sugli host, la tua azienda può utilizzare Endpoint Detection and Response (EDR), Extended Detection and Response (XDR), o altre soluzioni di protezione endpoint.

Basati sui file

Gli indicatori di compromissione basati sui file suggeriscono la presenza di file di sistema pericolosi o di malware. Alcuni esempi di indicatori di compromissione basati sui file includono hash, nomi e percorsi dei file sospetti. Di solito, per rilevare gli indicatori di compromissione basati sui file vengono utilizzati strumenti di EDR e sandboxing.

Basati sui comportamenti

Gli indicatori di compromissione basati sui comportamenti (ad es. vari tentativi di accesso non riusciti, oppure orari di accesso insoliti) segnalano la presenza di attività utente sospette in un sistema o su una rete. Per identificare gli indicatori di compromissione basati sui comportamenti, possono essere utilizzati strumenti come l’analisi dei comportamenti di utenti ed entità (UEBA).

Esempi di indicatori di compromissione

  • Un picco o un rallentamento nel traffico di rete, oppure altre attività insolite nel traffico di rete in uscita
  • Escalation dei privilegi di accesso di un utente per un account specifico, uso di un account per accedere ad altri account che offrono all’utente maggiori privilegi, oppure anomalie negli account di utenti con più privilegi
  • Accessi ad account dall’estero, invece del paese in cui è situata la tua azienda
  • Vari tentativi di accesso non riusciti per un singolo account
  • Diverse richieste di accesso a un singolo file
  • Utilizzo di una porta di rete che prima non era in uso
  • Modifiche non autorizzate al registro o ai file di sistema
  • Richieste DNS (Domain Name System) improvvise e senza alcun preavviso

Ciclo di vita degli indicatori di compromissione

1. Individuazione

La tua azienda può individuare indicatori di compromissione nei seguenti modi:

  • Analizzando i log di sistema.
  • Osservando il traffico di rete.
  • Svolgendo scansioni di sicurezza.
  • Ricevendo avvisi di sicurezza da dispositivi e software.

2. Valutazione

Esistono vari strumenti e tecnologie che puoi utilizzare per ottenere maggiori informazioni su una minaccia tra cui:

  • Analisi del traffico di rete
  • Analisi del malware
  • Analisi del sistema
  • Intelligence sulle minacce

3. Condivisione

Quando vengono individuati indicatori di compromissione, puoi condividerli con i tuoi dipendenti, con le forze dell’ordine e con altre aziende che operano nel tuo settore. Potrai così:

  • Trovare nuove strategie per proteggerti da queste minacce.
  • Identificare le tendenze e i pattern degli attacchi informatici.
  • Accelerare l’incident response e le attività di correzione.

4. Implementazione

A questo punto puoi implementare controlli di sicurezza per migliorare il tuo profilo di cybersecurity. Questo ti aiuterà ad applicare più livelli di controllo, così potrai ottimizzare la tua protezione informatica.

5. Rilevamento e risposta

Esistono vari strumenti e tecniche disponibili per individuare gli indicatori di compromissione. Quando ne viene identificato uno, puoi:

  • Isolare il sistema o la rete interessata, per impedire la diffusione della minaccia.
  • Bloccare il traffico di rete sospetto, mettere in quarantena i sistemi infettati o intraprendere altre misure per neutralizzare la minaccia.
  • Segnalare l’incidente alle parti interessate e condividere le azioni intraprese per risolverlo.

6. Termine del ciclo di vita (EoL)

Un indicatore di compromissione raggiunge il termine del ciclo di vita (EoL) quando viene mitigato correttamente. Un indicatore di compromissione può smettere di essere pertinente per via di questi fattori:

  • Cambiamenti nelle tecnologie: un indicatore di compromissione può diventare obsoleto perché alcune tecnologie non vengono più utilizzate.
  • Un panorama delle minacce in continua evoluzione: a causa della natura mutevole del panorama delle minacce informatiche, gli attacchi possono cambiare rapidamente.
  • Potenziamento della sicurezza: un indicatore di compromissione diventa superfluo o non necessario dopo che hai investito in strumenti o tecnologie all’avanguardia.      

Che cos’è un indicatore di attacco?

Il termine “indicatore di attacco” si riferisce alle prove che segnalano che un cybercriminale intende attaccare la tua organizzazione. Per comprendere il funzionamento di un indicatore di attacco, vediamo un esempio.

Negli attacchi di phishing, i cybercriminali cercano di indurre una vittima a cliccare su un link o ad aprire un documento che ne infetta il dispositivo. Devono trovare potenziali vittime ed escogitare un modo per attirarne l’attenzione. Inoltre, devono svolgere diversi passaggi per convincere le vittime a scaricare software dannoso.

Gli indicatori di attacco evidenziano i passaggi che verranno seguiti dai cybercriminali per lanciare gli attacchi. Tenendo d’occhio questi tipi di attività, la tua azienda può risolvere facilmente eventuali lacune di sicurezza. Il vantaggio più importante è che puoi bloccare gli attacchi informatici sul nascere, o anche prima che si verifichino.

Esempi di indicatori di attacco

  • Comunicazione tra server pubblici che di solito non interagiscono reciprocamente
  • Comunicazione tra host interni e destinatari situati al di fuori del paese nel quale opera la tua azienda
  • Connessioni con porte non standard
  • Malware che riemerge pochi minuti dopo la sua rimozione da un dispositivo infettato
  • Accessi utente da più aree geografiche

La differenza tra gli indicatori di compromissione e gli indicatori di attacco

Gli indicatori di compromissione costituiscono la prova che è in corso oppure si è verificato un attacco informatico. Gli indicatori di compromissione possono essere rilevati non appena un cybercriminale attacca la tua azienda. Questi indicatori possono aiutare ad analizzare l’impatto di un attacco. 

Gli indicatori di attacco costituiscono invece la prova che potresti presto cadere vittima di un attacco informatico.  Gli indicatori di attacco possono essere rilevati prima di un attacco informatico o di una violazione dei dati. Se vengono gestiti correttamente, gli indicatori di attacco possono aiutarti a evitare le violazioni dei dati.

I vantaggi derivati dal monitorare la presenza di indicatori di compromissione

Monitorare la presenza di indicatori di compromissione ti aiuta a identificare e rispondere rapidamente agli incidenti di sicurezza. Se non si interviene, questi incidenti possono interferire con le attività della tua azienda e dei tuoi dipendenti, o compromettere i clienti. Inoltre, rischiano di causare danni alla reputazione del tuo brand e possono avere un impatto finanziario molto negativo. Rischiano anche di compromettere i dati di natura sensibile della tua azienda e di risultare in violazioni delle normative che porterebbero a pesanti sanzioni.

Le difficoltà incontrate nel monitorare la presenza di indicatori di compromissione

L’individuazione di indicatori di compromissione è un processo reattivo, non proattivo. Prima che sia presente un indicatore di compromissione, la tua azienda deve attendere che compaia una minaccia informatica nella tua infrastruttura IT. Se desideri adottare un approccio proattivo alla cybersecurity, la tua organizzazione può investire in prodotti e servizi di sicurezza e prevenzione più efficaci. Potrai così sfruttare gli indicatori di compromissione in aggiunta alla tua strategia di cybersecurity generale. 

Best practice per la gestione degli indicatori di compromissione

  • Applica controlli di gestione delle identità e degli accessi (IAM), per identificare facilmente e rapidamente chi può accedere ai tuoi dati, ai tuoi sistemi e alle tue reti.
  • Segmenta le tue reti: in questo modo, se un cybercriminale dovesse infiltrarsi in una delle tue reti, potrai ridurre il rischio che quel criminale riesca a comprometterle tutte.
  • Utilizza dati di intelligence sulle minacce per mantenere i tuoi sistemi aggiornati sulle nuove tendenze del panorama delle minacce informatiche, nonché per monitorare minacce attuali ed emergenti, e per individuare le strategie migliori per difenderti.
  • Usa Managed Detection and Response (MDR), EDR, XDR, piattaforme di intelligence sulle minacce, nonché altri strumenti e tecnologie di sicurezza per gestire gli indicatori di compromissione.
  • Automatizza l’analisi e la correlazione degli indicatori di compromissione, in modo da assegnare maggiore priorità agli avvisi più gravi e urgenti, e per rispondere immediatamente alle minacce più critiche.
  • Definisci un piano di incident response che ti permetta di utilizzare gli indicatori di compromissione per valutare la gravità di un incidente e avviare azioni di correzione nel modo più rapido ed efficiente possibile.
  • Collabora con un MSSP che sia in grado di analizzare il tuo profilo di sicurezza, identificare eventuali lacune e aiutarti a trovare il modo migliore per risolvere le vulnerabilità di sicurezza sia ora che in futuro.
  • Condividi gli indicatori di compromissione con partner che operano nel tuo stesso ambito, così potrai collaborare con altre aziende simili per affrontare insieme le minacce informatiche che colpiscono il tuo settore.
  • Valuta regolarmente gli indicatori di compromissione e crea una policy di conservazione dei dati basata sulle esigenze della tua azienda e sui requisiti normativi in vigore nel tuo settore.

Spiega ai tuoi dipendenti cosa sono gli indicatori di compromissione, come funzionano e come possono aiutare la tua organizzazione a difendersi dalle minacce informatiche.

 

Argomento di sicurezza correlato: Che cos’è un honeypot nella cybersecurity?