L’individuazione di traffico in uscita dal network che risulta anomalo rispetto agli standard è di vitale importanza, in quanto tale traffico è visibile prima che qualsiasi danno possa venir fatto
Threat Tracker
Hai domande sulla piattaforma Joshua? Controlla le FAQ oppure contattaci. Il nostro team sarà lieto di risolvere ogni dubbio.
A naturale complemento dell’attività della soluzione di Cyber Footprint, la soluzione Threat Tracker garantisce il monitoraggio costante delle minacce globali, arricchite di informazioni e di Indicators of Compromise, mirato a consentire all’organizzazione il tracking del livello di rischio complessivo.
Infine la Knowledge Base consente di raccogliere, in un unico punto di visualizzazione, l’intera mappa informativa delle minacce, contenente dunque la lista dei Threat Actor, delle Tactic, delle Technique e delle Mitigation.
Analytics
All’interno del modulo Threat Tracker – Anlytics, vengono pubblicati gli Indicatori di Compromissione sotto forma di eventi arricchiti di numerosi tag che ne determinano gli attributi e li contestualizzano nel proprio ambito di applicazione.
Le sorgenti principali di tali indicatori sono le seguenti:
Ricerca
Feedback provenienti da una attività continua di ricerca approfondita da parte di analisti del settore
OSINT
Informazioni provenienti da fonti aperte verificate e certificate come attendibili
IOC
Feedback da parte di tecnologie automatizzate dedicate alla ricerca e alla validazione di IOC
Partnership
Informazioni provenienti da fonti selezionate con le quali esiste una partnership
Blacklist
Informazioni pubbliche relative a liste reputazionali di IP, Black List e output di sandbox
Per ciascuna macrocategoria di sorgente è previsto uno step di analisi di attendibilità e verifica prima della definitiva pubblicazione dell’evento, con lo scopo di ridurre sensibilmente la possibilità di mettere in produzione dati che potrebbero generare anomalie degli allarmi di sicurezza o addirittura il blocco dei sistemi.
Per ciascun evento pubblicato, i relativi tag frutto degli approfondimenti sull’Indicatore dei Compromissione, ne definiscono la tassonomia necessaria agli analisti, per meglio comprendere il fenomeno in oggetto, come riportato di seguito:
✓ Livello di condivisione dell’informazione relativa alla minaccia (Traffic Light protocol o TLP): White, Green, Amber, Red
✓ Vettore della minaccia: Drive-By Download, Watering Hole, Phishing, Malspam
✓ Tipologia della minaccia: APT, Malware, Trojan, RAT, Ransomware, Dropper, Exploit, Botnet
✓ Sorgente della Minaccia: OSINT, CLOSINT
✓ Settore della Minaccia: Finance, Energy, Government, Industry, Transport, Healt, Education, Telco, Media, etc.
✓ Piattaforme che vengono colpite dalla minaccia: Microsoft Windows, Apple OSX, GNU/Linux, Apple iOS, Android, POS, IOT, Appliance,ICS/SCADA
✓ Livello di Confidenza della Minaccia: High-Confidence, Moderate-Confidence, Low-Confidence
✓ Riferimenti Geografici dei target della minaccia: Europe, North America, Latin America, Africa, Asia Pacific, South–Est Asia, Middle–East, Oceania, Former Soviet Union
✓ Tipologia di attore: State–Sponsored, CyberCrime, Hacktivism
Fra gli altri, tale servizio consente di monitorare l’andamento e l’evoluzione delle seguenti minacce: malware C2, hash di malware, phishing, documenti malevoli e spear-phishing, regole yara per la detection di file malevoli, regole suricata/snort/bro per sonde di rete, domini ed URL malevoli, IPv4 malevoli, VPN e Proxy IPv4, Tor Exit Nodes IPv4.
In aggiunta, la soluzione proposta prevede la possibilità per l’utente di ricercare in modo veloce ed efficace le informazioni interessanti e maggiormente rilevanti in relazione ai propri obiettivi, grazie alla possibilità di inserire filtri e selezioni basati su molteplici criteri.
Il tracking degli elementi dannosi avviene in tempo reale e, al fine di individuare tempestivamente le minacce, garantisce il monitoraggio costante di alcuni indicatori di attacco:
La soluzione proposta monitora tempi di attività, sistemi a cui viene effettuato l’accesso, tipologia e volume di dati a cui si ha accesso. La possibilità di individuare anomalie di questo tipo risulta critica, in quanto consente di prevenire i danni sotto un duplice aspetto: da un lato monitora eventuali attacchi dall’interno del network, dall’altro può riuscire a prevenire il furto degli account stessi
Il sistema rileva automaticamente qualsiasi anomalia di accesso nel caso in cui questo avvenga in aree geografiche in cui l’azienda non ha business né risorse.
I tentativi di autenticazione falliti sono evidenza del fatto che qualcuno sta provando ad indovinare le credenziali di accesso, perciò il loro monitoraggio può risultare un efficace strumento di prevenzione.
L’ingresso non autorizzato lascia generalmente dei segni di effrazione sui database.
Risulta essenziale monitorare questo dato, in quanto i cyber criminal utilizzano frequentemente HTML con una capacità di 50 MB, laddove la normale capacità è di 200 KB.
Normalmente un utente visita la stessa pagina poche volte, mentre in caso di tentato attacco si verificano centinaia di richieste per la stessa pagina dallo stesso utente.
I tentativi di attacco lasciano delle tracce, che generalmente consistono in cambiamenti ai file di registro e di sistema. Per questo motivo è importante stabilire con chiarezza un template del registro, in modo tale da evidenziare immediatamente eventuali anomalie.
Il monitoraggio di tale parametro è indice del fatto che qualcuno sta accumulando i dati in un punto prima di sottrarli.
Ad esempio l’apertura simultanea di decine di pagine web in contemporanea.
Ad esempio la non disponibilità di alcune pagine web, crash inaspettato, lentezza di caricamento.
- Utilizzo di porte non regolari;
- Anomalie nelle query DNS;
- Inaspettato patching dei sistemi;
- Cambiamenti e anomalie nei profili dei device mobili controllati;
La soluzione abilita la piattaforma ai servizi di intelligence, basato sullo standard internazionale FIRST, che prevede la classificazione delle informazioni secondo il seguente schema:
Red
Informazione diretta alla sola organizzazione finale ricevente; risulta, pertanto, vietata la condivisione con entità esterne
Green
Informazione che può essere condivisa solo con la propria community e con entità esterne
Amber
Informazione diretta all’interlocutore specifico; può essere condivisa all’interno e con entità esterne connesse che ne hanno necessità
White
Informazione che può essere resa di pubblico dominio
Report
A completamento della suite di protezione fornita da Joshua, l’utilizzo del servizio permette di elaborare e distribuire specifici report sintetici su dinamiche ed eventi che accadono quotidianamente all’interno della rete su scala globale.
Riprendendo la forma e le caratteristiche tipiche dei flash di agenzia, tale reportistica OSINT permette di rimanere aggiornati in tempo reale. La reportistica di questo tipo è fondata su attività di vigilanza effettuata a livello nazionale, sono quindi report redatti nativamente in italiano da enti accreditati, raccolti da molteplici fonti quali l’Agenzia per l’Italia Digitale e l’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione.
I report possono essere aggiornati nel tempo, ottenendo così una cronologia della disponibilità delle informazioni.
Nei casi di minacce il cui livello di interesse pubblico è elevato, i report sono caratterizzati da una struttura consolidata e nel dettaglio contengono:
Genesi
Le informazioni iniziali che hanno reso necessario l’avvio di un approfondimento/analisi
Assessment
Sintesi delle evidenze emerse durante l’analisi di Intelligence; include aspetti executive ed agevola la lettura da parte di un manager
Technical details
Dati tecnici emersi dall’analisi; consente di comprendere la minaccia da un punto di vista verticale
Knowledge
La sezione Knowledge descrive e categorizza i comportamenti dei Threat Actor in base alle osservazioni effettuate a livello globale. Rappresenta un elenco strutturato di comportamenti enumerato in base ad attacchi reali effettuati da avversari noti, compilato in tattiche, tecniche. La base informativa è utile per una varietà di controlli, rappresentazioni e per creare meccanismi offensivi e difensivi per i blue team ed i red team.
La sezione Threat Actor enumera e descrive i principali gruppi di Hacker e Hacktivisti attivi sulla scena internazionale, conosciuti con i loro diversi alias. Per ogni avversario sono disponibili informazioni note di pubblico dominio, l’area geografica dove è principalmente attivo, i principali settori oggetto di attacco (governativo, energetico, finanziario…), e le vulnerabilità delle quali si avvale con maggior frequenza.
Benefici Attesi
Costituisce un valido strumento di supporto per il team di Cyber Security di qualsiasi organizzazione, in quanto lo mantiene aggiornato ed informato sui trend del momento e sulle minacce che si verificano in varie zone del mondo. Ciò, soprattutto in caso di minacce sistemiche e ad ampio spettro, consente di prevenire ulteriormente il verificarsi di attacchi all’organizzazione, nonché di innalzare la consapevolezza e la awareness del personale coinvolto su base continuativa.
Il monitoraggio degli indicatori di compromissione consente di attuare strategie preventive del cyber crime e di agire anche in maniera investigativa, con l’apertura di ticket specifici sugli argomenti di interesse dell’organizzazione. Costituisce perciò un servizio mirato e, di conseguenza, ancora più efficace se abbinato al servizio Cyber Risk Status.
L’enumerazione degli IOC sotto forma di eventi, l’arricchimento degli stessi con tag che ne definiscono il contesto e la loro rappresentazione grafica sottoforma di istogrammi e curve di trend, supportano e indirizzano tale attività di monitoraggio fornendo indicazioni efficaci e immediate.
L’analisi di attendibilità delle sorgenti e la verifica degli Indicatori di Compromissione, prima della definitiva pubblicazione dei relativi eventi, riducono al minimo l’utilizzo di dati in ambienti di produzione che potrebbero essere causa di anomalie degli allarmi di sicurezza.
Vantaggi Ed Elementi Chiave Di Successo
La soluzione, grazie alla sua fruibilità e versatilità, costituisce uno strumento di comunicazione efficace ed immediato, e si presta pertanto agli utilizzi più disparati. Essa può infatti essere utilizzata non solo per informare il team di Cyber Security, ma anche per tenere costantemente aggiornati tutti i dipendenti sul tema e prevenire così eventuali danni causati dall’utilizzo delle credenziali aziendali in contesti poco affidabili.
Consente inoltre l’analisi ed il monitoraggio degli indicatori di compromissione dell’organizzazione, sia sulle minacce conosciute che su quelle non ancora note. Tali informazioni garantiscono un valido supporto non solo alla definizione ex-ante di strategie di miglioramento della sicurezza aziendale, ma anche alla valutazione ex-post della loro implementazione, dei risultati raggiunti in tempo reale, nonché dei benefici complessivamente arrecati nel corso del tempo.