Anche gli attacchi informatici hanno un loro ciclo di vita che è stato anche schematizzato in fasi nel modello proposto come Cyber Kill Chain. All’interno di questo ciclo di vita, è determinante il tempo trascorso tra il rilevamento e l’interruzione o almeno il contenimento di un attacco.
La funzione di interrompere un attacco informatico è di per sé auto esplicativa e, in termini generali, intende quelle contromisure che limitano o bloccano le possibilità di un hacker malevolo, nel tentativo di ridurre le conseguenze negative di un attacco che, come minimo, generano: costi, perdita di produttività e danni di immagine/reputazione.
L’idea di anticipare al massimo l’interruzione di un attacco, intervenendo già nelle sue fasi iniziali, è l’obiettivo che si è posto Microsoft nella sua soluzione XDR (Extended Detection and Response) per la cyber security denominata Microsoft Defender 365.
La novità sta nel sostantivo “automatica”: interruzione automatica degli attacchi, ed era stata presentata alla conferenza annuale Ignite 2022, in cui Microsoft ha parlato per la prima volta di questa funzionalità di 365 Defender in grado di rilevare e interrompere automaticamente un attacco informatico mentre è ancora in corso o, ancora meglio, già nelle sue fasi iniziali.
L’ulteriore novità è di soli pochi giorni fa e riguarda ulteriori espansioni di questa potente e rivoluzionaria funzionalità.
Ma procediamo con ordine.
L’evoluzione della minaccia informatica ci insegna come combatterla
Indice degli argomenti
Le novità Microsoft sulla sicurezza informatica
Sono cinque le innovazioni presentate ad Ignite 2022 da Microsoft che hanno arricchito il Security Portfolio e sono tutte volte a migliorare le modalità con cui si possono affrontare le minacce alla sicurezza. Quella più interessante, in termini di “immediata” efficacia, è proprio la funzionalità di “automatic attack disruption” in Microsoft 365 Defender.
L’efficacia di questa innovazione è reperibile anche nello slogan usato da Microsoft: “interruzione automatica degli attacchi in Microsoft 365 Defender per aiutare a proteggere le organizzazioni alla velocità della macchina”.
Qual era il vuoto da colmare?
Microsoft ha intercettato l’evidente sofferenza che hanno tutti team dedicati alle operazioni di sicurezza (SOC), nel fronteggiare quotidianamente le minacce informatiche che sono sempre più frequenti e in continua evoluzione in termini di velocità e sofisticatezza, ed eseguite con toolkit e infrastrutture cloud molto potenti unitamente alle elevate abilità e competenze tecniche degli attori malevoli.
Microsoft ha osservato che, a questa velocità, molte organizzazioni non riescono nemmeno ad accorgersi di essere sotto attacco e quindi di essere state violate, fino al momento in cui è ormai troppo tardi. Traducendolo in pratica, possono passare anche meno di due ore dal momento in cui un utente, abboccando ad un collegamento di phishing, permetta ad un hacker malevolo di avere pieno accesso alla posta elettronica e anche di eseguire spostamenti laterali nell’infrastruttura informatica.
Ed ecco quindi la soluzione Microsoft a sostegno dei “difensori” che operano nei SOC, con la promessa di aiutarli a stare al passo con gli attacchi in corso opponendo “machine speed with machine speed”.
Componenti di Microsoft 365 Defender
Microsoft 365 Defender si compone di diverse tecnologie di sicurezza che operano in sinergia e in parallelo:
- Microsoft Defender per identità: questa funzionalità usa i segnali di Active Directory per identificare, rilevare e analizzare minacce avanzate, identità compromesse e azioni insider dannose dirette all’organizzazione.
- Exchange Online Protection: è il servizio di inoltro SMTP nativo basato sul cloud e filtro che consente di proteggere l’organizzazione da posta indesiderata e malware.
- Microsoft Defender per Office 365: ha lo scopo di proteggere l’organizzazione da minacce dannose veicolate da messaggi di posta elettronica, collegamenti (URL) e strumenti di collaborazione.
- Microsoft Defender per endpoint: è una piattaforma unificata per la protezione dei dispositivi, il rilevamento post-violazione, l’indagine automatizzata e la risposta consigliata.
- Microsoft Defender for Cloud Apps: è una soluzione SaaS completa che offre visibilità approfondita, controlli dati avanzati e protezione avanzata dalle minacce per le app cloud.
- Azure AD Identity Protection: è la componente che valuta i dati di rischio da miliardi di tentativi di accesso e usa questi dati per valutare il rischio di ogni accesso all’ambiente. Questi dati vengono usati da Azure AD per consentire o impedire l’accesso all’account, a seconda della configurazione dei criteri di accesso condizionale (richiede una licenza separata da Microsoft 365 Defender, ed è inclusa nel tipo di licenza Azure Active Directory Premium P2).
Il diagramma seguente illustra, ad alto livello, l’architettura delle principali integrazioni e componenti Microsoft 365 Defender.
Già con una o due di queste funzionalità si possono sperimentare vantaggi ed efficienza nella sicurezza informatica ma, per chi se lo può permettere, è obbligatorio sfruttarle tutte, per mettere a massimo profitto gli sforzi che Microsoft ha fatto con Microsoft 365 Defender.
La funzionalità di interruzione automatica degli attacchi
Automatizzare in 365 Defender le contromisure agli attacchi, correlando milioni di segnali provenienti da endpoint, identità, e-mail, app cloud e altro ancora, al verificarsi di incidenti, era quello che ci voleva. Senza questo ausilio, gli addetti SOC farebbero tanta fatica, con risultati anche scarsi, nel tentativo di analizzare e discernere in fretta molti singoli avvisi, prima di comprendere l’intera kill chain degli attacchi.
Microsoft ha verificato che un operatore SOC dispone di soli 20 minuti di tempo per contrastare e mitigare un attacco, dal momento in cui un attore malevolo è stato in grado di distribuire un ransomware in una rete. Non si fatica a credere quanto afferma Eyal Haik, Senior Product manager – Microsoft 365 Defender, nel dire che, su questi presupposti, è quasi impossibile rispondere manualmente ad un attacco.
Rispetto a quanto presentato in anteprima ad Ignite 2022, alcuni giorni fa Microsoft ha proposto una rilevante novità: la capacità di 365 Defender di interrompere automaticamente gli attacchi di tipo Business Email Compromise (BEC) e Human-Operated Ransomware (HumOR).
Il termine HumOR (Human-Operated Ransomware) contraddistingue un tipo di attacco ransomware molto sofisticato, essendo direttamente gestito dall’uomo per cui, invece di essere diffuso automaticamente, il ransomware Human-Operated viene impiantato ed eseguito su un sistema da una persona. L’aggressore ottenuto l’accesso all’infrastruttura IT, individua le risorse ad alto impatto aziendale in cui il payload ransomware avrebbe il maggiore effetto e lo distribuisce in quelle posizioni.
Questi attacchi, anche detti “hands-on-keyboard“, prendono di mira un’organizzazione piuttosto che un singolo dispositivo e vengono operati manualmente da criminali informatici sia su infrastrutture IT on-premise sia cloud di un’organizzazione, elevando i propri privilegi e distribuendo il ransomware ai dati critici.
Violazioni di questo genere possono essere tragiche per un’organizzazione, risultando molto difficili da rimediare. Infatti non solo è necessario correggere le impostazioni di sicurezza, eliminare il ransomware e ripristinare i dati compromessi, ma bisogna anche individuare ed espellere completamente l’attaccante dall’infrastruttura compromessa in modo da evitare ulteriori attacchi.
BEC (Business Email Compromise), invece, è un tipo di crimine informatico in cui un truffatore utilizza la posta elettronica per indurre qualcuno a inviare denaro o divulgare informazioni aziendali riservate. Sono ormai tanti i casi in cui gli attaccanti impersonificano un dirigente o un fornitore di un’azienda per indurre un dipendente a trasferire denaro o informazioni sensibili.
Le due suddette tecniche di compromissione, hanno ora in Microsoft 365 Defender delle funzionalità di interruzione automatica dei corrispondenti attacchi, che vengono eseguite in tre fasi:
- Rilevamento attività dannose: questa ricerca è basata sull’intelligenza artificiale abbinata a specifici segnali correlando gli insight tra endpoint, identità, e-mail e app SaaS per stabilire avvisi ad alta fedeltà.
- Classificazione degli scenari e identificazione degli asset controllati dall’aggressore: il secondo step corrisponde all’aggregazione e analisi automatica delle attività dannose, ad esempio: la manomissione del prodotto, l’eliminazione del backup, il furto di credenziali, il movimento laterale di massa eccetera. L’intento è contrassegnare le risorse responsabili dell’attività dannosa.
- Attivazione azioni di risposta automatica: l’interruzione automatica degli attacchi dimostrata da Microsoft, è basata su due azioni di risposta: disabilitazione utente (in Active Directory e in Azure AD) e contenimento dei dispositivi (Defender per endpoint impedisce di comunicare con la macchina compromessa).
Si potrebbe avere qualche esitazione a fidarsi di determinati automatismi, visti gli impatti che potrebbero esserci in un’organizzazione ed evitare che azioni automatiche influiscano negativamente sull’integrità di una rete, per cui Microsoft 365 Defender monitora automaticamente e si astiene dal contenere le risorse critiche per la rete e crea meccanismi fail-safe sul lato client nel ciclo di vita del contenimento.
Oltre a questo, qualsiasi azione automatica può essere facilmente annullata per garantire che il SOC mantenga il pieno controllo delle operazioni.
Risultati di un’azione di interruzione automatica degli attacchi
Vediamo ora 365 Defender cosa mette a disposizione dal momento in cui intraprende un’interruzione automatica di un attacco.
Sia durante che dopo il processo, sono disponibili informazioni dettagliate sul rischio e sullo stato di contenimento degli asset compromessi e vengono collezionate nella pagina “Evento imprevisto” riportante i dettagli completi dell’attacco e lo stato aggiornato degli asset coinvolti.
Tra le informazioni visualizzate:
- Gli eventi imprevisti interrotti includono un tag “Interruzione degli attacchi” e il tipo di minaccia specifico identificato (ad esempio, ransomware). Se configurate, si possono ottenere anche notifiche di posta elettronica degli eventi imprevisti e questi tag vengono visualizzati anche nei messaggi di posta elettronica.
- Notifica (banner giallo) evidenziata sotto il titolo dell’evento imprevisto che indica che l’evento imprevisto è stato interrotto.
- Gli utenti sospesi e i dispositivi contenuti vengono visualizzati con un’etichetta che indica il loro stato.
Per rilasciare un account utente o un dispositivo dal contenimento, basta fare clic sull’asset interessato e fare clic su “Rilascia dal contenimento” per un dispositivo o “Abilitare l’utente” per un account utente.
Nell’immagine seguente è rappresentata la pagina “Evento imprevisto” per un attacco di tipo BEC che mostra anche graficamente l’intera storia dell’attacco al fine di valutare l’impatto e lo stato dell’interruzione automatica.
Sul sito Learn Microsoft, sono disponibili le informazioni sulle configurazioni possibili per ottenere questi automatismi, corredate dalle necessarie informazioni sui requisiti delle licenze da possedere, sui requisiti di distribuzione e le autorizzazioni (ruoli admin).
