I nostri ricercatori sulle minacce di Lares incontrano un’ampia gamma di falle e vulnerabilità di sicurezza quando conduciamo le esercitazioni del Purple Team per conto dei nostri clienti. Nel corso del tempo, gli stessi errori non forzati sembrano presentarsi così spesso che avvisiamo i team di sicurezza affinché sviluppino pratiche standardizzate per difendersi da essi.
La Lares Adversarial Collaboration Unit assiste i clienti con impegni di collaborazione difensiva e valutazioni del Purple Team, che combinano tecniche offensive e difensive per rafforzare le protezioni di sicurezza. I Red Team emulano aggressori esterni o interni, mentre i Blue Team fungono da difensori della sicurezza interna. Le squadre viola assistono entrambe le parti allineando le tattiche difensive della squadra blu con le minacce tentate dalla squadra rossa.
Recentemente abbiamo pubblicato una nuova ricerca che evidenzia i primi 5 risultati della squadra viola che abbiamo riscontrato in centinaia di impegni dei clienti nell’anno passato. Gli errori più comunemente evitabili includevano la registrazione di eventi inadeguata o non necessaria; mancanza di conoscenza della sicurezza offensiva; rapporti di codipendenza nel Security Operations Center (SOC); una malsana dipendenza dagli strumenti; e buttare soldi buoni dopo cattivi.
Per difendere adeguatamente le proprie organizzazioni, i professionisti della sicurezza devono essere consapevoli delle ultime minacce e di come reagire. Inoltre, i difensori dovrebbero evitare di fare affidamento sugli strumenti e concentrarsi invece sullo sviluppo di abilità essenziali che non possono o non dovrebbero essere esternalizzate.
I 5 punti principali della ricerca Lares Purple Teams
Registrazione degli eventi inadeguata o non necessaria: gli eventi sono una parte fondamentale della posizione di sicurezza di qualsiasi organizzazione. Molte organizzazioni dovrebbero prestare maggiore attenzione agli eventi di registro critici o raccolgono troppi eventi non necessari che riempiono lo spazio di archiviazione e oscurano dati importanti. Nella loro disattenzione, possono trascurare importanti segni di attività dannose. Le organizzazioni dovrebbero selezionare attentamente gli eventi che raccolgono per evitare questi problemi e garantire che tutti i punti dati raccolti siano pertinenti alle loro esigenze di sicurezza. In tal modo, possono creare un efficace sistema di rilevamento e risposta e migliorare la loro posizione di sicurezza complessiva.
Mancanza di conoscenze sulla sicurezza offensiva: il monitoraggio dell’ambiente di un’organizzazione per potenziali minacce richiede più di solo una conoscenza di base delle tattiche, delle tecniche e delle procedure avversarie (TTP). È importante identificare quando e come questi TTP vengono utilizzati per intraprendere azioni appropriate per difendere l’organizzazione. Ad esempio, la supervisione della sicurezza può richiedere il monitoraggio delle comunicazioni interne per identificare potenziali indicatori di attività dannose. Avendo una profonda conoscenza dell’ambiente dell’organizzazione e dei TTP avversari, le persone incaricate del monitoraggio possono rilevare e rispondere in modo più efficace alle minacce.
Relazioni codipendenti nel SOC: molte operazioni di sicurezza gestite i centri (SOC) introducono nuovi problemi per le squadre difensive piuttosto che risolverli. Ciò accade spesso perché i SOC gestiti hanno problemi con ritardi di avviso eccessivi, sopprimono gli eventi critici e non possono introdurre la telemetria che conta.
I ritardi di avviso si verificano quando il SOC gestito non riesce a configurare correttamente gli strumenti e le tecnologie per rilevare e rispondere agli incidenti di sicurezza. Gli eventi che potrebbero essere utilizzati per contrastare gli attacchi sono ritardati o mai visti. Inoltre, i SOC gestiti spesso sopprimono gli eventi critici a causa della pressione dei dirigenti o dei clienti esterni. Infine, i SOC gestiti spesso non riescono a introdurre la telemetria che conta per l’incidente. Questo perché sono guidati da metriche che non riflettono necessariamente l’impatto nel mondo reale degli incidenti di sicurezza. Di conseguenza, molti SOC gestiti non riescono a fornire gli insight e i dati necessari per comprendere e affrontare le cause profonde delle minacce alla sicurezza.
Malsano affidamento sugli strumenti: un altro problema riguarda i difensori che diventano troppo dipendenti dalle soluzioni Endpoint Detection and Response (EDR) e Extended Detection and Response (XDR), aspettandosi che trovino tutti i malintenzionati. Questa mentalità può portare a falsi positivi e attribuzioni errate. EDR e XDR dovrebbero essere visti come parte di una soluzione di sicurezza più ampia, non l’unico punto di monitoraggio. Solo adottando un approccio più olistico alla sicurezza le organizzazioni possono stare al passo con il panorama delle minacce.
Lanciare soldi dopo averli messi male: è anche comune per le organizzazioni esternalizzare le proprie conoscenze quando è necessario arriva a misure difensive. Sebbene questa possa sembrare la soluzione più semplice, fa più male che bene impedendo ai dipendenti di apprendere le competenze essenziali di cui hanno bisogno per essere efficaci e costando all’azienda più denaro nel tempo. Invece di esternalizzare tutte le conoscenze sulla sicurezza, le aziende dovrebbero investire nei propri dipendenti e consentire loro di imparare e crescere. Le aziende dovrebbero anche implementare misure investigative e protettive che si associno direttamente a metodi e meccanismi contraddittori. Questo approccio consente ai dipendenti di acquisire le competenze di cui hanno bisogno per avere successo, risparmiando all’organizzazione più denaro nel lungo periodo.
Nell’odierno ambiente di sicurezza informatica in rapida evoluzione, è necessario molto di più della semplice comprensione delle tattiche di un avversario. I team di sicurezza devono essere consapevoli anche dei potenziali problemi che possono derivare dalle proprie misure difensive.
Credito immagine: Wayne Williams
Andrew Hay è Direttore operativo, Lares.