{"id":17038,"date":"2019-03-15T14:26:53","date_gmt":"2019-03-15T12:26:53","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=17038"},"modified":"2022-05-05T12:25:48","modified_gmt":"2022-05-05T10:25:48","slug":"adaptive-anomaly-control-kesb","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/adaptive-anomaly-control-kesb\/17038\/","title":{"rendered":"Proteggere le workstation senza minare l’operativit\u00e0"},"content":{"rendered":"

In che modo i cybercriminali attaccano le workstation? Di solito sfruttano le vulnerabilit\u00e0 dei programmi pi\u00f9 utilizzati o le funzionalit\u00e0 potenzialmente pericolose dei software legittimi. Naturalmente ci sono altri modi ma i pi\u00f9 comuni sono quelli appena menzionati, per questo la cosa pi\u00f9 logica da fare sarebbe restringere l\u2019uso di questi software. Come farlo senza subire conseguenze nei processi aziendali? Bloccare i software senza un criterio pu\u00f2 provocare danni importanti al business, meglio tenere in considerazione le differenze tra le posizioni e i ruoli dei vari dipendenti. Il nostro approccio \u00e8 stato quello di ridurre la superficie d\u2019attacco<\/a> mediante il controllo adattivo delle anomalie e grazie alle tecniche di apprendimento automatico.<\/p>\n

Da vari anni ormai, MS Office ha la sfortunata fama di possedere il maggior numero di vulnerabilit\u00e0 sfruttate; tuttavia, non vuol dire che non sia un buon software, perch\u00e9 ci sono vulnerabilit\u00e0 ovunque. I cybercriminali si concentrano maggiormente su Office rispetto agli altri concorrenti soprattutto perch\u00e9 si tratta del software pi\u00f9 diffuso e utilizzato e, anche se la vostra azienda \u00e8 disposta a spendere nella formazione dei dipendenti per l\u2019uso di software alternativi, nel momento in cui un altro prodotto raggiunge la popolarit\u00e0, prender\u00e0 il posto di Office tra i software con maggiori vulnerabilit\u00e0 sfruttate.<\/p>\n

Alcuni prodotti offrono funzionalit\u00e0 chiaramente pericolose; ad esempio, le macro dello stesso Office possono essere utilizzate per eseguire un codice dannoso. Tuttavia, un divieto totale non \u00e8 pratico: gli analisti finanziari e i contabili hanno bisogno di questi tool per le loro operazioni quotidiane.<\/p>\n

A questo punto, bisogna solo vigilare attentamente questi programmi e intervenire solo quando viene individuata un\u2019attivit\u00e0 anomala. Ma c\u2019\u00e8 un problema.<\/p>\n

Cosa rientra nella categoria anomalo<\/em>?<\/h3>\n

L\u2019essenza dell\u2019attivit\u00e0 cybercriminale \u00e8 di sembrare attivit\u00e0 legittima agli occhi dei sistemi di sicurezza.\u00a0 In che modo un sistema di cybersecurity determina se un messaggio inviato a un dipendente contiene un documento importante con una macro o un Trojan? Il mittente ha inviato un file .js per lavoro o si tratta di un virus?<\/p>\n

Almeno in teoria, sarebbe possibile analizzare manualmente il lavoro di ogni dipendente, capire quali sono i tool che usa e quelli di cui non ha bisogno e, in base a queste informazioni, creare un modello di possibili minacce per poi bloccare \u201cchirurgicamente\u201d le funzionalit\u00e0 di alcuni programmi.<\/p>\n

Ma ci sono molti fattori a complicare questo piano. Innanzitutto, pi\u00f9 \u00e8 grande l\u2019azienda, pi\u00f9 risulta difficile costruire un modello specifico per ogni dipendente. In secondo luogo, anche quando si tratta di aziende pi\u00f9 piccole, la configurazione manuale richiede che gli amministratori dedichino molto tempo e sforzi. Infine, questo processo andrebbe ripetuto ogni qual volta vengano apportati dei cambiamenti ai tool o all\u2019infrastruttura. Per preservare la salute mentale degli amministratori di sistema e dei tecnici di sicurezza IT, l\u2019unica opzione fattibile \u00e8 quella di automatizzare il processo di configurazione delle restrizioni.<\/p>\n

Controllo adattivo<\/h3>\n

Abbiamo implementato il processo di automatizzazione in questo modo: innanzitutto, i sistemi costruiti basandosi sui principi di apprendimento automatico hanno rastrellato i nostri database di minacce e hanno generato modelli standard di attivit\u00e0 potenzialmente dannosa. Abbiamo poi implementato punti di blocco di questi modelli su ogni workstation.<\/p>\n

In secondo luogo, abbiamo creato una modalit\u00e0 di adattamento automatico (Smart) per analizzare l\u2019attivit\u00e0 dell\u2019utente e determinare quali regole possono essere applicate e quali invece interferirebbero nelle normali operazioni. E funziona cos\u00ec: il sistema innanzitutto raccoglie dati statistici durante un determinato periodo di tempo in modalit\u00e0 di apprendimento (questi dati riguardano le regole di controllo), per poi creare un modello delle normali operazioni dell\u2019utente o del gruppo di utenti (scenario legittimo). Successivamente, la modalit\u00e0 di apprendimento viene disattivata e restano attive solo le regole di controllo che bloccano le azioni dannose.<\/p>\n

Nel caso in cui ci sono modifiche nel lavoro dell\u2019utente, il sistema pu\u00f2 essere riportato alla modalit\u00e0 di apprendimento per adattarsi al nuovo scenario. Inoltre, nel caso vadano aggiunte delle esclusioni, si pu\u00f2 perfezionare il modello creato.<\/p>\n

Non \u00e8 la panacea di tutti i mali ma riduce considerevolmente la superficie di possibili attacchi.<\/p>\n

La modalit\u00e0 di controllo adattivo delle anomalie (AAC \u2013 Adaptive Anomaly Control) fa parte della nostra soluzione aggiornata Kaspersky Endpoint Security for Business Advanced<\/a>, presentata di recente al grande pubblico. Cliccando sul banner qui sotto potrete scaricare una versione di prova di questa soluzione di sicurezza in cui \u00e8 stata implementata questa nuova tecnologia.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Per ridurre la superficie d\u2019attacco, si possono bloccare le funzionalit\u00e0 pi\u00f9 vulnerabili dei software. Il problema \u00e8: come far s\u00ec che ci\u00f2 non interferisca con l\u2019operativit\u00e0?<\/p>\n","protected":false},"author":2706,"featured_media":17039,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2956],"tags":[2264,3089,2806,584],"class_list":{"0":"post-17038","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-apprendimento-automatico","11":"tag-controllo-anomalie","12":"tag-endpoint","13":"tag-vulnerabilita"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/adaptive-anomaly-control-kesb\/17038\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/adaptive-anomaly-control-kesb\/15553\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/adaptive-anomaly-control-kesb\/13097\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/adaptive-anomaly-control-kesb\/17474\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/adaptive-anomaly-control-kesb\/15622\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/adaptive-anomaly-control-kesb\/14195\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/adaptive-anomaly-control-kesb\/18025\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/adaptive-anomaly-control-kesb\/22425\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/adaptive-anomaly-control-kesb\/5840\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/adaptive-anomaly-control-kesb\/25966\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/adaptive-anomaly-control-kesb\/11520\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/adaptive-anomaly-control-kesb\/11661\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/adaptive-anomaly-control-kesb\/10472\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/adaptive-anomaly-control-kesb\/18749\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/adaptive-anomaly-control-kesb\/22796\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/adaptive-anomaly-control-kesb\/18122\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/adaptive-anomaly-control-kesb\/22405\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/adaptive-anomaly-control-kesb\/22341\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/endpoint\/","name":"Endpoint"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/17038","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=17038"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/17038\/revisions"}],"predecessor-version":[{"id":21102,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/17038\/revisions\/21102"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/17039"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=17038"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=17038"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=17038"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}