{"id":25807,"date":"2021-10-20T15:19:10","date_gmt":"2021-10-20T13:19:10","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=25807"},"modified":"2021-10-20T15:19:10","modified_gmt":"2021-10-20T13:19:10","slug":"ask-the-analyst","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/ask-the-analyst\/25807\/","title":{"rendered":"Come fare una domanda a un esperto di sicurezza"},"content":{"rendered":"

Spesso, i dipendenti dei centri operativi di sicurezza e dei dipartimenti di sicurezza delle informazioni si rivolgono agli specialisti di Kaspersky, per un aiuto da parte di esperti. Abbiamo analizzato i motivi pi\u00f9 comuni di tali richieste e creato un servizio specializzato che permette ai clienti di porre direttamente una domanda a un esperto, nel settore di cui hanno bisogno.<\/p>\n

Perch\u00e9 potreste aver bisogno dell\u2019aiuto di un esperto<\/h2>\n

La minaccia dei cyberattacchi \u00e8 in continua crescita dato che i criminali informatici trovano sempre pi\u00f9 modi per raggiungere i loro obiettivi, scoprendo nuove vulnerabilit\u00e0 hardware e software nelle applicazioni, nei server, nei gateway VPN e nei sistemi operativi e trasformandole immediatamente in armi. Ogni giorno, emergono centinaia di migliaia di nuovi campioni di malware e, un\u2019ampia variet\u00e0 di organizzazioni, tra cui grandi aziende e persino agenzie governative, cadono preda di attacchi ransomware. Inoltre, si scoprono regolarmente nuove minacce sofisticate e campagne APT.<\/p>\n

In questo contesto, la threat intelligence<\/a> (TI) gioca un ruolo vitale.
\nLa costruzione di un sistema di protezione adeguato \u00e8 possibile solo con informazioni tempestive sui tool e le tattiche dei cybercriminali. Nel caso in cui si produca un incidente, \u00e8 necessario condurre un\u2019indagine efficace, individuare gli intrusi nella rete, mandarli via e determinare il vettore di attacco primario per evitare che si ripeta l\u2019accaduto.<\/p>\n

L\u2019applicazione del TI in una organizzazione richiede la presenza di uno specialista interno qualificato che possa utilizzare i dati dei fornitori di TI. Questo esperto diventa, cos\u00ec, la risorsa pi\u00f9 preziosa in qualsiasi indagine sulle minacce. Ciononostante \u00e8 costoso assumere, formare e mantenere gli analisti di cybersecurity, e non tutte le aziende possono permettersi di mantenere un team di esperti.<\/p>\n

Domande pi\u00f9 frequenti<\/h2>\n

Diversi dipartimenti di Kaspersky aiutano i clienti ad affrontare gli incidenti informatici. Ad esempio, abbiamo il Global Research & Analysis Team (GReAT), il Global Emergency Response Team (GERT) e il Kaspersky Threat Research Team. Siamo riusciti a riunire pi\u00f9 di 250 analisti ed esperti a livello mondiale. I team ricevono regolarmente molte richieste dei clienti riguardanti le minacce informatiche e, dopo aver analizzato le richieste recenti, abbiamo identificato le seguenti categorie.<\/p>\n

Analisi di malware o software sospetti<\/h2>\n

Uno scenario che incontriamo abbastanza frequentemente riguarda il trigger della logica di rilevamento nella sicurezza degli endpoint o nelle regole di threat hunting<\/a>. Il servizio di sicurezza o il SOC dell\u2019azienda indaga sulla minaccia, trova un oggetto dannoso o sospetto. Tuttavia, non ha le risorse per condurre uno studio dettagliato, perci\u00f2 l\u2019azienda chiede ai nostri esperti di determinare la funzionalit\u00e0 dell\u2019oggetto rilevato, quanto sia pericoloso e come assicurarsi che l\u2019incidente venga risolto dopo la sua rimozione.<\/p>\n

I nostri esperti rispondono immediatamente, se sono in grado di identificare ci\u00f2 che ha inviato il cliente (abbiamo una gigantesca base di risorse dei tool tipici usati dai cybercriminali e pi\u00f9 di un miliardo di campioni unici di malware). Altrimenti, se devono indagare, come nei casi complessi, potrebbe richiedere un po\u2019 di tempo.<\/p>\n

Ulteriori informazioni sugli indicatori di compromissione<\/h2>\n

La maggior parte delle aziende utilizza una variet\u00e0 di fonti per gli indicatori di compromissione (IoC). Il valore degli IoC risiede in gran parte nella disponibilit\u00e0 del contesto, cio\u00e8, nelle informazioni aggiuntive sull\u2019indicatore e il suo significato. Tale contesto, tuttavia, non \u00e8 sempre disponibile. Cos\u00ec, avendo rilevato un certo IoC, ad esempio, nel sistema SIEM, gli analisti del SOC potrebbero vedere la presenza di un trigger e rendersi conto che si potrebbe creare un incidente, ma che mancano le informazioni per indagare ulteriormente.<\/p>\n

In questi casi, possono inviarci una richiesta per fornire informazioni sull\u2019IoC rilevato, e in molti casi tali IoC si rivelano interessanti. Per esempio, una volta abbiamo ricevuto un indirizzo IP che \u00e8 stato trovato nel feed del traffico di un\u2019azienda (cio\u00e8, era riuscito ad accedere alla rete aziendale). Tra le cose presenti nell\u2019indirizzo c\u2019era un server di gestione del software chiamato Cobalt Strike, un potente strumento di amministrazione remota (una backdoor), che utilizzano tutti i tipi di criminali informatici. Il suo rilevamento significa quasi certamente che l\u2019azienda \u00e8 gi\u00e0 sotto attacco (reale o di formazione). I nostri esperti hanno fornito ulteriori informazioni sullo strumento e hanno raccomandato di avviare immediatamente l\u2019incident response (IR) per neutralizzare la minaccia e determinare la causa principale della compromissione.<\/p>\n

Richiesta di dati su tattiche, tecniche e procedure<\/h2>\n

Gli IoC non sono affatto tutto ci\u00f2 di cui ha bisogno un\u2019azienda per fermare un attacco o indagare su un incidente. Una volta che il gruppo di criminali informatici dietro l\u2019attacco \u00e8 stato determinato, gli analisti del SOC in genere richiedono dati sulle tattiche, tecniche e procedure (TTP) del gruppo; hanno bisogno di descrizioni dettagliate del modus operandi del gruppo per aiutare a determinare dove e come gli aggressori potrebbero essere penetrati nell\u2019infrastruttura, le informazioni sui metodi che i cybercriminali utilizzano di solito per radicarsi nella rete, cos\u00ec come su come esfiltrare i dati. Forniamo queste informazioni come parte del nostro servizio Threat Intelligence Reporting.<\/p>\n

I metodi dei criminali informatici, anche all\u2019interno dello stesso gruppo, possono essere molto diversi e non \u00e8 possibile descrivere tutti i dettagli possibili, anche in un report altamente dettagliato. Pertanto, i clienti TI che utilizzano i nostri report sulle minacce APT e crimeware a volte ci richiedono informazioni aggiuntive su un particolare aspetto di una tecnica di attacco in un contesto specifico di rilevanza per il cliente.<\/p>\n

Abbiamo fornito questo tipo di risposte, e molte altre, attraverso servizi speciali o nel quadro limitato del supporto tecnico. Tuttavia, osservando un aumento del numero di richieste e comprendendo il valore dell\u2019esperienza e della conoscenza delle nostre unit\u00e0 di ricerca, abbiamo deciso di lanciare un servizio dedicato chiamato Kaspersky Ask the Analyst, offrendo un accesso rapido ai nostri consigli di esperti attraverso un unico punto di riferimento.<\/p>\n

Kaspersky Ask the Analyst<\/h2>\n

Il nostro nuovo servizio permette ai rappresentanti dei clienti (principalmente analisti SOC e dipendenti infosec) di ottenere consigli dagli esperti di Kaspersky, riducendo cos\u00ec i loro costi di indagine. Comprendiamo l\u2019importanza della tempestivit\u00e0 delle informazioni sulle minacce; pertanto, abbiamo uno SLA in vigore per tutti i tipi di richieste. Con Kaspersky Ask the Analyst, gli specialisti di infosec possono:<\/p>\n