Con sempre più dispositivi remoti connessi alla rete aziendale, bisogna comprendere l’importanza della endpoint security per spezzare la cyber kill chain. Ma cosa vogliono dire questi termini? Come si prefigurano negli scenari odierni? Vediamolo insieme in questo nuovo articolo.
Endpoint security: cosa si intende?
La sicurezza degli endpoint, o appunto endpoint security, è la pratica di proteggere i punti di ingresso dei dispositivi. Computer, laptop e dispositivi mobili vengono infatti minacciati da hacker e campagne malevole. I piani di endpoint security proteggono i dispositivi su rete o nel cloud dalle minacce alla sicurezza informatica. Questa branca della cyber security si è evoluta insieme all’evoluzione delle crescenti minacce.
Aziende di tutte le dimensioni sono a rischio: e le minacce possono giungere da ogni parte. Stati, attivisti informatici, criminalità organizzata o minacce interne accidentali. La sicurezza degli endpoint è spesso vista come la prima linea della sicurezza informatica.
Poiché il volume e la complessità delle minacce informatiche sono aumentate, è aumentata anche la necessità di soluzioni di sicurezza più avanzate. I sistemi di protezione degli endpoint odierni sono progettati per rilevare, analizzare, bloccare e contenere rapidamente gli attacchi in corso. Per fare ciò, devono collaborare tra loro e con altre tecnologie. Solo così gli amministratori possono captare le minacce avanzate e accelerare i tempi di risposta.
Cos’è la Cyber Kill Chain?
Il termine “catena di uccisione”, kill chain, è stato originariamente utilizzato come concetto militare. Si intendeva la strutturazione di un attacco in fasi. Dall’identificazione delle debolezze di un avversario, fino allo sfruttamento di esse. Consisteva quindi nell’identificazione del bersaglio, decisione, attacco e, infine, distruzione di esso.
Nel 2011, Lockheed Martin ha presentato il concetto di “Cyber Kill Chain” per spiegare i vari passaggi relativi a un attacco digitale. Allo stesso modo in cui la tradizionale kill chain descrive i passaggi di un attacco fisico, la cyber kill chain descrive il modus operandi di un tipico attacco informatico.
Come si struttura la Cyber Kill Chain?
Vediamo ora insieme le fasi principali della Cyber Kill Chain.
Ricognizione esterna: apprendere i punti deboli della vittima e scegliere quali metodi di attacco funzioneranno con il massimo grado di successo.
Armarsi: lo sfruttamento di applicazioni web, malware prefatti o personalizzati, phishing. Insomma, scegliere la propria arma in base all’obiettivo.
Consegna: il metodo e i mezzi di lancio dell’attacco possono includere molti tipi di meccanismi di consegna digitale.
Sfruttamento: dopo la consegna del virus, esso comprometterà l’asset, guadagnando così un punto d’appoggio nell’ambiente. Il modo in cui questo avviene varia in base al tipo di attacco digitale scelto.
Installazione: il passaggio successivo consiste nell’installazione di malware come un trojan o un client bot che continuerà a essere eseguito ogni volta che il dispositivo interessato si riavvia o si accende.
Comando e controllo: questa fase consiste semplicemente nella creazione di un meccanismo di comunicazione, che gli esperti di sicurezza chiamano canale di comando e controllo (C2). Questo viene usato per controllare i dispositivi della vittima ed estrarre i dati. Alcune minacce moderne utilizzano persino social media, come i post di Twitter o Facebook, per prendere controllo.
Azioni sugli obiettivi: questa fase finale esegue gli obiettivi finali; le azioni dannose che potrebbero essere l’acquisizione di hash delle password, l’installazione di ransomware, la registrazione delle chiavi, lo spionaggio con la webcam, la raccolta di file e dati in tuo possesso e molto altro.
Endpoint Security: come può mitigare i rischi
La endpoint security può evitare la cyber kill chain. I criminali informatici cercano il punto di accesso più debole per attaccare una rete aziendale. Ciò avviene spesso tramite gli endpoint, inclusi laptop, tablet e telefoni o altri dispositivi IoT e wireless.
Con il massiccio passaggio allo smart working dovuto al Covid-19, le tattiche di sicurezza della rete aziendale tradizionali non bastano. Ciò significa che bisogna rafforzare le difese sugli endpoint.
La endpoint security è in grado di rilevare prevenire molte fasi della cyber kill chain. Ciò avviene tramite il rilevamento di malware, tecnologie anti-exploit, il monitoraggio di traffico sospetto, e così via.
