S3 Ep114: Prevenire le minacce informatiche: fermale prima che siano loro a fermare te! [Audio + testo]

Fare clic e trascinare sulle onde sonore sottostanti per passare a qualsiasi punto. Puoi anche ascolta direttamente su Soundcloud.

[CODICE MORSE]

[VOCE DEL ROBOT: SOS sicurezza Sophos]

---

PAOLO DUCKLIN.  Ciao a tutti.

Benvenuti alla settimana Sophos Security SOS.

L'argomento di oggi è: Prevenzione delle minacce informatiche: fermale prima che siano loro a fermare te!

E il nostro ospite di oggi non è altro che Mr. Fraser Howard, direttore della ricerca presso i SophosLabs.

Ora, quelli di voi che hanno ascoltato SOS Week prima sapranno che mi piace descrivere Fraser come uno "specialista in tutto", perché la sua conoscenza non è solo ampia, è anche incredibilmente profonda.

Segna ogni cella del foglio di calcolo, si potrebbe dire.

Quindi, Fraser, bentornato alla SOS Week.

Volevo iniziare concentrandomi su qualcosa che va sotto il nome di LOLBIN, che credo sia l'abbreviazione di "binario vivente fuori terra", che è un gergo per indicare un software che esiste già e che i cuochi adorano usare.

---

FRASER Howard.  Esattamente quello.

---

ANATRA.  E il grosso problema al momento sembra essere che il LOLBIN più probabile, o il programma preinstallato più probabile su cui i criminali ceneranno fuori, per mancanza di una frase migliore, non è altro che PowerShell, che è integrato in Windows .

È disponibile su ogni versione di Windows non appena lo installi.

Ed è il mezzo di gestione in questi giorni per Windows stesso.

Allora come fai a vivere senza?

---

FRASER.  Esattamente, proprio come hai descritto, dal punto di vista degli aggressori, i LOLBIN sono geniali.

O portano il proprio coltello al combattimento, e il loro coltello potrebbe sembrare molto diverso da tutto il resto che c'è nel sistema...

…oppure usano un coltello che sembra essere presente nel sistema in primo luogo.

E questo è vantaggioso per l'attaccante, per ovvie ragioni.

Qualsiasi software di sicurezza non vedrà un'applicazione nuova di zecca, lucida e sconosciuta che viene improvvisamente eseguita e utilizzata in parte dell'attacco.

Ma strumenti come PowerShell sono già lì: è allora che iniziano i giochi in termini di tentativi di capire: "È qualcosa di buono o è qualcosa di brutto?"

Vorrei che ci fosse una risposta a una riga su come rileviamo PowerShell dannoso rispetto a quello benigno, ma in realtà è una situazione piuttosto complessa.

Cosa sta facendo esattamente il processo PowerShell?

A un'estremità dello spettro, potresti utilizzare la tecnologia come, ad esempio, il controllo delle applicazioni.

E come amministratore, puoi scegliere: "PowerShell, non dovresti essere autorizzato a eseguire nel mio ambiente".

È una specie di panacea, se vuoi, e impedirebbe l'abuso di PowerShell, ma interromperebbe anche molte attività legittime, inclusa la gestione di base della maggior parte delle macchine Windows oggi.

---

ANATRA.  Ok allora controllo delle applicazioni è il nome di Sophos per la capacità di rilevare, e facoltativamente di bloccare, software che non è malware, ma che un amministratore ben informato potrebbe non voler supportare nel proprio ambiente?

---

FRASER.  Esattamente.

E non si tratta solo degli amministratori e della loro scelta di "Quale applicazione dovrebbe essere consentita ai miei utenti?"

Riguarda le basi.

Se pensi alla sicurezza, qual è una delle cose che abbiamo detto alla gente negli ultimi 5 o 10 anni?

"Toppa!"

Se sei un amministratore e consenti a chiunque di utilizzare qualsiasi applicazione desideri per il proprio browser, sono forse da 5 a 10 browser diversi che devi patchare.

In realtà, per gli amministratori, tecnologie come il controllo delle applicazioni consentono loro di restringere la superficie delle minacce.

---

ANATRA.  Ma PowerShell... alcune persone dicono: "Oh, basta bloccare PowerShell. Blocca tutto .PS1 File. Lavoro fatto."

---

FRASER.  Non è così semplice!

---

ANATRA.  Un amministratore di sistema potrebbe gestire senza PowerShell in una moderna rete Windows?

---

FRASER.  [PAUSA] No.

[RISATA]

Voglio dire, ci sono opzioni di politica che potrebbero scegliere per consentire l'esecuzione solo di determinati script firmati, ad esempio.

Ma c'è tutta una serie di suggerimenti e tecniche che gli aggressori conoscono e che cercano di aggirare anche questi meccanismi.

Alcuni dei motori di scripting meno recenti... l'esempio migliore è Windows Scripting Host: la maggior parte delle persone non sa che esiste.

Non è lo sportello unico per l'amministratore che è PowerShell, ma WSCRIPT ed CSCRIPT...

... quei binari, ancora una volta, sono su ogni singola finestra di Windows.

Sono molto più facili da bloccare a titolo definitivo e vengono abusati, sempre da malware.

---

ANATRA.  Quindi Windows Scripting Host include cose come JavaScript (non in esecuzione nel browser, al di fuori del browser) e il buon vecchio Visual Basic Script?

---

FRASER.  Ce n'è tutta una serie di loro.

---

ANATRA.  Ora, lo script Visual Basic è stato interrotto da Microsoft, vero?

Ma è ancora supportato e ancora ampiamente utilizzato?

---

FRASER.  È molto popolare tra i Cattivi, sì.

E non sono solo i motori di scripting.

Non ricordo esattamente quanti binari ci sono su alcuni dei principali elenchi LOLBIN che sono là fuori.

Con la giusta combinazione di switch, all'improvviso, un binario che potresti utilizzare per gestire, ad esempio, i certificati in locale...

…in realtà può essere utilizzato per scaricare qualsiasi contenuto da un server remoto e salvarlo su disco in locale.

---

ANATRA.  È questo CERTUTIL.EXE?

---

FRASER.  Sì, CERTUTIL, per esempio.

---

ANATRA.  Perché può anche essere usato per fare cose come calcolare gli hash dei file.

---

FRASER.  Potrebbe essere utilizzato per scaricare, ad esempio, contenuto eseguibile con codifica base64, salvarlo localmente e decodificarlo.

E poi quel contenuto potrebbe essere eseguito, ad esempio come un modo per superare potenzialmente i tuoi gateway web.

---

ANATRA.  E questo peggiora ancora con PowerShell, vero?

Perché puoi prendere una stringa con codifica base64 e inserirla in PowerShell come script di input, e la decodificherà silenziosamente per te.

E puoi persino inserire un'opzione della riga di comando, non puoi dire: "Ehi, se l'utente ha detto 'non consentire l'esecuzione degli script dalla riga di comando', ignoralo - desidero ignorarlo"?

---

FRASER.  Hai nominato .PS1 File.

Questo è un file di script fisico che potrebbe esistere su disco.

In realtà, PowerShell è abbastanza abile nel fare le cose senza file, quindi solo la riga di comando stessa può contenere l'intero comando PowerShell.

---

ANATRA.  Ora, la mia comprensione è che la maggior parte del cosiddetto "malware senza file" coinvolge i file, probabilmente un bel po' di file nel suo funzionamento...

…ma ci sarà un punto chiave in cui qualcosa che potresti rilevare *esiste solo nella memoria*.

Pertanto, il software di sicurezza in grado di monitorare solo l'accesso al disco perderà l'occasione.

Come gestisci quel tipo di situazione, in cui i truffatori hanno tutte queste cose semi-sospette, e poi hanno mascherato la parte veramente pericolosa con questo trucco privo di file e solo memoria?

Come lo affronti?

---

FRASER.  Uno dei modi in cui lo gestiamo, in particolare per quanto riguarda PowerShell, è che Microsoft fornisce un'interfaccia che ci dà visibilità sul comportamento di PowerShell.

Quindi AMSI è un'interfaccia che i fornitori, i fornitori di sicurezza, possono utilizzare per dare una sbirciatina al malware.

---

ANATRA.  L'AMSI è... Interfaccia di scansione antimalware?

---

FRASER.  Esattamente.

Ci offre una finestra sul comportamento di PowerShell in qualsiasi momento.

Quindi, poiché potrebbe fare le cose senza file ... qualsiasi punto di intercettazione tradizionale che cerca file su disco, non entrerà in gioco.

Ma il comportamento di PowerShell stesso genererà attività, se lo desideri, all'interno dell'interfaccia AMSI, che ci dà la possibilità di riconoscere e bloccare determinati tipi di attività dannose di PowerShell.

L'altra cosa è che, sebbene "fileless" sia visto come una sorta di panacea per i cattivi...

…in realtà, una delle cose che la maggior parte degli aggressori cerca a un certo punto è ciò che chiamiamo persistenza.

OK, hanno del codice in esecuzione sulla macchina... ma cosa succede se quella macchina viene riavviata?

E così il loro malware senza file in genere cercherà di aggiungere un certo livello di persistenza.

Quindi, la maggior parte degli attacchi fileless che abbiamo visto in realtà interagiscono, in genere con il registro di Windows: usano il registro come un modo per ottenere la persistenza.

In genere, inseriscono una sorta di BLOB [binary large object] di dati nel registro e modificano alcune chiavi di registro in modo tale che quando quella macchina viene riavviata, quel BLOB viene decodificato e il comportamento dannoso continua di nuovo.

I prodotti di oggi riguardano un'intera gamma di tecnologie, da quelle semplici a quelle straordinariamente complesse.

---

ANATRA.  Ciò aiuta anche a spiegare perché le persone prendono file che sono una sorta di precursori di malware, ma non apertamente dannosi, e li caricano su un servizio online come, ad esempio, Virus Total...

…e dire: “Ehi, nessuno lo rileva. Tutti i prodotti di sicurezza sono inutili.”

Ma ciò non significa che quel file possa prendere vita e iniziare a fare cose brutte senza essere fermato...

---

FRASER.  Questo è un ottimo punto.

Penso che sia qualcosa che l'industria della sicurezza ha provato... ma il fatto che ne parliamo ancora - probabilmente non siamo riusciti a far capire questo punto:

Cos'è la protezione?

Cosa intendiamo in realtà?

Cosa significa in genere proteggere qualcuno da una minaccia?

La maggior parte delle persone tende a pensarla in questo modo... OK, hanno una minaccia; vogliono un file che sia “la minaccia”; e vogliono vedere se quel file viene rilevato.

Ma quel particolare attacco... supponiamo che sia un bot.

Potrebbero esserci 10,000 di quei file *ogni singolo giorno*, poiché i cattivi girano la mano e sfornano molte repliche diverse che sono essenzialmente tutte la stessa cosa di base.

E quindi il fatto che 1, o 10 o 100 di quei file vengano rilevati...

... in realtà non ti dice molto su quanto bene un prodotto potrebbe proteggere da quella minaccia.

---

ANATRA.  "Bot" significa robot software?.

In sostanza, è qualcosa che si trova regolarmente sul tuo computer, chiamando a casa o interrogando un server casuale?

---

FRASER.  Esattamente.

---

ANATRA.  Quel server può cambiare di giorno in giorno... e il bot scaricherà spesso un elenco di istruzioni, come "Ecco un elenco di indirizzi email da spam".

Successivamente, potrebbe essere "Ecco un elenco di estensioni di file che voglio che tu cripti", o potrebbe essere "Attiva il keylogger"?

---

FRASER.  Esattamente.

---

ANATRA.  Oppure "Fai subito uno screenshot, sono nell'app della banca".

È essenzialmente una backdoor attiva...

---

FRASER.  *È* una backdoor, sì.

E abbiamo parlato di backdoor 20 anni fa... Ricordo di aver fatto presentazioni ai clienti 20 anni fa, parlando di backdoor.

---

ANATRA.  "Back Orifice", se ricordi...

---

FRASER.  Si si!

Stavamo cercando di convincere i clienti che, in realtà, molte delle backdoor là fuori erano più importanti del malware di alto profilo del giorno.

Ciò da cui non vuoi essere infettato sono le backdoor, che consentono a qualche malintenzionato da qualche parte la capacità di controllare la tua macchina e fare cose cattive, come dare un'occhiata al tuo file system o modificare i dati sul tuo sistema.

Questa è una minaccia molto più spaventosa rispetto, ad esempio, a un worm autoreplicante che si diffonde da un computer all'altro.

Ciò potrebbe ottenere la stampa e potrebbe causare problemi in sé e per sé ...

... ma, in realtà, qualcuno che ha accesso al tuo sistema è probabilmente una minaccia molto più grande.

---

ANATRA.  E ripensando a Back Orifice in... com'era il 1999? 2000?

Che notoriamente ascoltava sulla porta 13337, vero?

---

FRASER.  Hai una buona memoria [RISATA]… sì, “elite”!

---

ANATRA.  E non appena le persone hanno iniziato ad accedere alle connessioni DSL a casa e ad avere un router domestico, Back Orifice era inutile perché le connessioni in entrata non funzionavano.

E così la gente ha pensato: "Oh, beh, le backdoor si basano su connessioni di rete in entrata: sono protetto dal mio ISP per impostazione predefinita, quindi non devo preoccuparmene".

Ma gli zombi di oggi, i bot di oggi, chiamano casa utilizzando una sorta di canale crittografato o segreto, e *scaricano* le istruzioni...

---

FRASER.  E poiché è su HTTPS, fondamentalmente nascondono quell'attività di rete tra il milione e uno di altri pacchetti web che escono ogni minuto sulla maggior parte delle connessioni domestiche.

---

ANATRA.  Quindi questo è un altro motivo per cui vuoi una difesa in profondità o una protezione a più livelli?

---

FRASER.  Sì.

---

ANATRA.  Ovviamente, nuovi file: vuoi esaminarli; non vuoi perdere malware che potresti aver rilevato.

Ma il file potrebbe essere innocente al momento e potrebbe rivelarsi canaglia dopo essere stato caricato; dopo che è stato manipolato nella memoria; dopo che è stato chiamato e scaricato roba...

---

FRASER.  E così, per tornare al punto originale: il modo in cui misuriamo i prodotti di sicurezza oggi è più complesso di quanto non sia mai stato.

---

ANATRA.  Perché alcune persone hanno ancora l'idea che, beh, se vuoi davvero testare un prodotto, ottieni solo un secchio gigante pieno di malware, tutto in file...

---

FRASER.  Comunemente chiamato “uno zoo”.

---

ANATRA.  ... e lo metti su un server in isolamento da qualche parte.

Quindi lo scannerizzi con uno scanner statico e scopri quanti ne rileva e questo ti dice come si comporta il prodotto.

L'approccio "Virus Total".

Ma questo: [A] tenderà a sottovalutare i prodotti buoni e [B] potrebbe sopravvalutare i prodotti cattivi.

---

FRASER.  O prodotti specializzati solo nel rilevamento di file, allo scopo principalmente di avere un bell'aspetto in quel tipo di test basati su zoo.

Ciò non si traduce in un prodotto nel mondo reale che fornirà effettivamente buoni livelli di protezione!

In realtà noi blocchiamo i file… certo che lo facciamo – il file è ancora una valuta molto importante, se volete, in termini di protezione.

Ma ci sono molte altre cose, ad esempio l'interfaccia AMSI che ci consente di bloccare l'attività dannosa di PowerShell e il comportamento stesso di un programma.

Quindi, all'interno del nostro prodotto, il motore comportamentale esamina il comportamento dei processi, della rete, del traffico, dell'attività del registro...

…e quell'immagine combinata ci consente di individuare comportamenti potenzialmente dannosi allo scopo di bloccare non necessariamente una famiglia specifica, o anche un particolare tipo di minaccia, ma solo *attività dannose*.

Se ci sono determinati tipi di comportamento che possiamo determinare sono semplicemente dannosi, spesso cercheremo di bloccarli.

Possiamo bloccare un certo tipo di comportamento dannoso oggi, e quindi una famiglia di minacce che non è ancora stata scritta: tra tre mesi potrebbe utilizzare lo stesso comportamento e lo rileveremo in modo proattivo.

Quindi questo è il Santo Graal di ciò che facciamo: protezione proattiva.

La possibilità per noi di scrivere qualcosa oggi che in futuro bloccherà con successo il comportamento dannoso.

---

ANATRA.  Suppongo che un buon esempio di ciò, per tornare a ciò che abbiamo menzionato prima, sia CERTUTIL.EXE – quell'utilità di convalida del certificato.

Potresti usarlo nei tuoi script, nei tuoi strumenti di amministrazione di sistema, ma ci sono alcuni comportamenti che non ti aspetteresti, sebbene quel programma possa essere fatto per fare quelle cose.

Si distinguerebbero.

---

FRASER.  Spiccherebbero, esattamente.

---

ANATRA.  Quindi non puoi dire "Il programma è cattivo", ma a un certo punto del suo comportamento puoi dire "Aha, ora è andato troppo oltre!"

---

FRASER.  E questo tocca un altro aspetto interessante del panorama odierno.

Storicamente, EVIL.EXE corre; potremmo rilevare il file; potremmo rilevare alcuni comportamenti dannosi; lo puliamo dal tuo sistema.

Hai parlato di LOLBIN... ovviamente, quando rileviamo che PowerShell fa qualcosa di dannoso, non lo rimuoviamo POWERSHELL.EXE da quel sistema.

---

ANATRA.  "Ooh, ho scoperto che Windows faceva qualcosa di brutto: cancella l'intero sistema!"

[RISATA]

---

FRASER.  Fondamentalmente blocchiamo quel processo; fermiamo quel processo facendo quello che stava per fare; e lo terminiamo.

Ma PowerShell esiste ancora sul sistema fisico.

In realtà, anche gli aggressori di oggi sono molto diversi dagli aggressori di ieri.

Gli attaccanti di oggi puntano tutto sull'obiettivo; avere uno scopo.

Il vecchio modello era più spray-and-pray, se vuoi.

Se qualcuno blocca l'attacco... sfortuna, si arrendono - non c'è presenza umana lì.

Se l'attacco funziona, i dati vengono rubati, una macchina viene compromessa, qualunque cosa accada, ma se l'attacco è stato bloccato, sul sistema non accade nient'altro.

Negli attacchi di oggi c'è in realtà molto più di un elemento umano.

Quindi, in genere, in molti attacchi che vediamo oggi - questo è caratterizzato da molti attacchi ransomware, in cui i truffatori cercano specificamente di prendere di mira determinate organizzazioni con le loro creazioni ransomware...

…quando qualcosa è bloccato, ci riprovano e continuano a riprovare.

Poiché stiamo bloccando cose e bloccando diversi tipi di comportamento dannoso, c'è qualcosa dietro le quinte; qualche *persona* dietro le quinte; qualche gruppo di minaccia dietro le quinte, riprovando.

---

ANATRA.  Quindi 10 o 15 anni fa, "Oh, abbiamo trovato questo nuovissimo malware Word precedentemente sconosciuto. Abbiamo cancellato il file, ripulito e scritto nel registro”.

E tutti entrano nella riunione, lo spuntano e si danno una pacca sulla spalla: “Fantastico! Lavoro fatto! Pronto per il prossimo mese.

---

FRASER.  Ora è molto diverso.

---

ANATRA.  Oggi, *non è stato l'attacco*.

---

FRASER.  No!

---

ANATRA.  Quello era solo un precursore, un "Mi chiedo che marca di rilevatori di fumo usano?" tipo di prova.

---

FRASER.  Esattamente.

---

ANATRA.  E non hanno intenzione di usare quel malware.

Stanno solo cercando di indovinare esattamente quale protezione hai?

Che cosa è acceso; quali directory sono incluse; quali directory sono escluse dalla scansione; che impostazioni ambientali hai?

---

FRASER.  E quello di cui parliamo oggi è avversari attivi.

Avversari attivi... ottengono molta stampa.

Questo è il concetto dell'intero framework MITRE ATT&CK: è essenzialmente una bibbia, un dizionario, se vuoi, di combinazioni di tattiche.

Le tattiche sono le verticali; gli orizzontali sono le tecniche.

Penso che ci siano 14 tattiche ma non so quante tecniche… centinaia?

---

ANATRA.  Può essere un po' da capogiro, quella griglia MITRE!

---

FRASER.  È essenzialmente un dizionario dei diversi tipi di cose, i diversi tipi di tecnica, che potrebbero essere usati su un sistema nel bene o nel male, essenzialmente.

Ma è essenzialmente allineato agli aggressori e agli avversari attivi.

Se vuoi, è una tassonomia di ciò che potrebbe fare un avversario attivo quando si trova nel sistema.

---

ANATRA.  Giusto, perché ai vecchi tempi (io e te lo ricorderemo, perché entrambi passavamo il tempo a scrivere descrizioni complete di malware, il tipo di cose che erano necessarie 15 o 20 anni fa – stavi parlando di EVIL.EXE) ...

…perché all'epoca la maggior parte delle minacce erano virus, in altre parole si diffondevano da soli ed erano autosufficienti.

Una volta ce l'avevamo...

---

FRASER.  … potresti documentare, dalla A alla Z, esattamente cosa ha fatto sul sistema.

---

ANATRA.  Quindi un sacco di malware in quei giorni, se guardi a come si nascondevano; come sono entrati nella memoria; polimorfismo; tutta quella roba - molti di loro erano molto più complicati da analizzare quella roba oggi.

Ma una volta che sapevi come funzionava, sapevi come sarebbe potuta essere ogni generazione e potevi scrivere una descrizione completa.

---

FRASER.  Sì.

---

ANATRA.  Ora, non puoi farlo.

"Beh, questo malware scarica qualche altro malware."

Quale malware?

"Non lo so."

---

FRASER.  Ad esempio, considera un semplice caricatore: funziona; si connette periodicamente.

L'aggressore ha la capacità di attivare una sorta di BLOB codificato: ad esempio, supponiamo che sia una DLL, una libreria di collegamento dinamico, un modulo... essenzialmente, un codice eseguibile.

Quindi, "Cosa fa quella minaccia?"

Beh, dipende esattamente e interamente da ciò che l'attaccante invia lungo il filo.

---

ANATRA.  E questo potrebbe cambiare di giorno in giorno.

Potrebbe cambiare in base all'IP della fonte: “Sei in Germania? Sei in Svezia? Sei in Gran Bretagna?"

---

FRASER.  Oh, sì, lo vediamo abbastanza spesso.

---

ANATRA.  Potrebbe anche dire: "Ehi, ti sei già connesso, quindi ti daremo da mangiare NOTEPAD o qualche file innocente la prossima volta.

---

FRASER.  Sì.

Gli aggressori di solito dispongono di tecniche che usano per cercare di individuare quando siamo noi [cioè i SophosLabs] che tentano di eseguire la loro creazione.

Quindi non ci danno da mangiare quello che potrebbe essere l'ultimo carico utile.

Non vogliono che vediamo il carico utile, vogliono solo che le vittime vedano quel carico utile.

A volte le cose escono tranquillamente; a volte corrono e basta CALC, o NOTEPAD, o qualcosa di ovviamente sciocco; a volte potremmo ricevere un messaggio maleducato.

Ma in genere cercheranno di trattenere il carico utile finale e di riservarlo alle loro vittime.

---

ANATRA.  E questo significa anche...

… prima ho usato disinvoltamente la parola “polimorfismo”; questo era molto comune nei virus in passato, dove ogni volta che il virus si copiava in un nuovo file sostanzialmente permutava il suo codice, spesso in un modo molto complicato, persino riscrivendo il proprio algoritmo.

Ma potresti ottenere il motore che ha fatto il rimescolamento.

---

FRASER.  Sì.

---

ANATRA.  Ora, i truffatori lo tengono per sé.

---

FRASER.  È su un server da qualche altra parte.

---

ANATRA.  E stanno girando la maniglia sullo sfondo.

---

FRASER.  Sì.

---

ANATRA.  E hai anche menzionato i caricatori: le persone potrebbero aver sentito parlare di cose come BuerLoader, BazaarLoader, sono una specie di "marchi" ben noti...

..in alcuni casi ci sono bande di delinquenti, e non fanno altro.

Non scrivono il malware che viene dopo.

Dicono solo: “Cosa vorresti che caricassimo? Forniscici l'URL e lo inietteremo per te.

---

FRASER.  Gli operatori di bot originali di 15 o 20 anni fa: come facevano i soldi?

Hanno compromesso reti di macchine: questo è essenzialmente ciò che a botnet cioè, molte macchine sotto il loro comando - e quindi potrebbero sostanzialmente affittare quella "rete".

Potrebbe essere per la negazione del servizio distribuita: ad esempio, fai in modo che tutte queste macchine infette colpiscano un server web e rimuovano quel server web.

Potrebbe essere abbastanza comune per lo spam, come hai già detto.

E quindi la naturale evoluzione di ciò, in un certo senso, è il caricatore di oggi.

Se qualcuno ha un sistema infettato da un caricatore e quel caricatore sta chiamando casa, essenzialmente hai un bot.

Hai la possibilità di eseguire cose su quella macchina...

…quindi, proprio come dici tu, quei criminali informatici non devono preoccuparsi di quale sia il carico utile finale.

È un ransomware?

È un furto di dati?

Hanno un veicolo... e il ransomware è quasi il pagamento finale.

"Abbiamo fatto tutto quello che volevamo fare". (O abbiamo fallito in tutto ciò che speravamo di fare.)

"Proviamo solo con il ransomware..."

---

ANATRA.  "Adesso abbiamo registrato tutte le password, non ce ne sono altre da ottenere." [RIDE]

---

FRASER.  Non c'è altro posto dove andare!

---

ANATRA.  "Abbiamo rubato tutti i dati."

---

FRASER.  Esatto... l'incasso finale è il ransomware!

A quel punto, l'utente è consapevole e gli amministratori sono consapevoli che c'è una perdita di dati.

Quindi, il caricatore di oggi è quasi un'estensione, un'evoluzione del bot di ieri.

---

ANATRA.  Fraser, sono consapevole del tempo...

Quindi, dato che hai dipinto un quadro che richiede chiaramente lavoro a tempo pieno, comprensione a tempo pieno, sei un ricercatore esperto, lo fai da anni.

Non tutti possono abbandonare il proprio lavoro quotidiano nell'IT o nell'amministrazione di sistema per avere *un altro* lavoro quotidiano per essere come te nell'organizzazione.

Se doveste dare tre semplici consigli su cosa dovreste fare (o cosa non dovreste fare) oggi per affrontare quello che è un modo più complicato e frammentato di attaccare da parte dei criminali – un modo che ci dà molti più aerei su cui possiamo bisogna difendere...

… quali sarebbero queste tre cose?

---

FRASER.  Questa è una domanda difficile.

Penso che il primo debba essere: avere consapevolezza e visibilità nella tua organizzazione.

Sembra semplice, ma molto spesso vediamo attacchi in cui il punto di partenza di un attacco era una scatola non protetta.

Quindi, hai un'organizzazione….

…hanno una meravigliosa politica IT; hanno prodotti distribuiti su quella rete, opportunamente configurati; potrebbero avere un team di persone che stanno osservando tutti i piccoli sensori e tutti i dati che tornano da questi prodotti.

Ma hanno un controller di dominio non protetto e i malintenzionati sono riusciti a raggiungerlo.

E poi, all'interno dell'intero framework MITRE ATT&CK, c'è una tecnica chiamata movimento laterale...

... una volta che gli attacchi sono su una scatola, continueranno a provare a spostarsi lateralmente da lì attraverso l'organizzazione.

E quel tipo iniziale di punto d'appoggio dà loro un punto da cui possono farlo.

Quindi, la visibilità è il primo punto.

---

ANATRA.  Devi anche sapere quello che non sai!

---

FRASER.  Sì, avere visibilità su tutti i dispositivi della tua rete.

Il numero due è: configurazione.

Questa è una questione un po' spinosa, perché a nessuno piace parlare di politiche e configurazione – è francamente piuttosto noioso.

---

ANATRA.  È piuttosto importante, però!

---

FRASER.  Assolutamente cruciale.

---

ANATRA.  "Se non puoi misurarlo, non puoi gestirlo", come dice un vecchio proverbio.

---

FRASER.  Penso che la mia unica raccomandazione per questo sarebbe: se possibile, utilizzare le impostazioni predefinite consigliate.

Non appena ti allontani dalle impostazioni predefinite consigliate, in genere stai disattivando le cose (male!) O escludi determinate cose.

---

ANATRA.  Sì.

---

FRASER.  Ad esempio, escludendo una particolare cartella.

Ora, potrebbe essere perfettamente accettabile: potresti avere un'applicazione personalizzata al suo interno, un'applicazione di database personalizzata in cui dici "Non voglio scansionare i file all'interno di questa particolare cartella".

Non è così buono se escludi, ad esempio, la cartella Windows!

---

ANATRA.  "Escludere C:*.* e tutte le sottodirectory.” [RIDE]

---

FRASER.  È.

---

ANATRA.  Ne aggiungi uno, ne aggiungi un altro e poi non vai a rivederlo...

… finisci dove praticamente hai tutte le porte e tutte le finestre aperte.

---

FRASER.  È un po' come un firewall.

Blocchi tutto; fai qualche buco: va bene.

Continui a fare buchi per i prossimi tre anni, e prima di sapere dove sei...

… hai il formaggio svizzero come firewall.

[RISATA]

Non funzionerà!

Così, la configurazione è davvero importante e, se possibile, attenersi alle impostazioni predefinite.

---

ANATRA.  Sì.

---

FRASER.  Attieniti ai valori predefiniti, perché... quei valori predefiniti consigliati sono consigliati per un motivo!

All'interno dei nostri prodotti, ad esempio, quando si devia dalle impostazioni predefinite, molto spesso viene visualizzata una barra rossa che avverte che si sta sostanzialmente disabilitando la protezione.

---

ANATRA.  Se hai intenzione di andare fuori pista, assicurati di volerlo davvero!

---

FRASER.  Assicurati di avere una buona visibilità.

E immagino che il terzo punto, quindi, sia: riconoscere il set di abilità richiesto.

---

ANATRA.  Non aver paura di chiamare aiuto?

---

FRASER.  Sì: Non aver paura di chiamare i soccorsi!

La sicurezza è complessa.

Ci piace pensare che sia semplice: “Quali tre cose possiamo fare? Quali cose semplici possiamo fare?

In realtà, la realtà è che la sicurezza odierna è molto complicata.

I prodotti potrebbero tentare di impacchettarlo in un modo abbastanza semplice e fornire buoni livelli di protezione e buoni livelli di visibilità sui diversi tipi di comportamento che si verificano in una rete.

Ma se non hai il set di abilità, o la risorsa per quella materia, per lavorare attraverso gli eventi che stanno arrivando e colpendo la tua dashboard...

… trova qualcuno che lo faccia!

Ad esempio, l'utilizzo di un servizio gestito può fare un'enorme differenza per la tua sicurezza e può semplicemente eliminare quel mal di testa.

---

ANATRA.  Non è un'ammissione di sconfitta, vero?

Non stai dicendo: "Oh, non posso farlo da solo".

---

FRASER.  Stiamo parlando di 24 x 7 x 365.

Quindi, per qualcuno farlo internamente è un'impresa enorme.

E stiamo anche parlando di dati complessi - e abbiamo parlato di avversari attivi e quel tipo di attacco.

Sappiamo che i Cattivi, anche quando blocchiamo qualcosa, continueranno a riprovare: cambieranno le cose.

Un buon team che sta esaminando quei dati riconoscerà quel tipo di comportamento e non solo saprà che qualcosa è stato bloccato, quelle persone penseranno anche: "OK, c'è qualcuno che cerca ripetutamente di entrare da quella porta".

Questo è un indicatore piuttosto utile per loro, e agiranno e risolveranno l'attacco.

[PAUSA]

Tre buoni consigli lì!

---

ANATRA.  Ottimo Fraser!

Grazie mille e grazie per aver condiviso con noi la tua esperienza e la tua competenza.

A tutti quelli che stanno ascoltando, grazie mille.

E ora mi rimane solo da dire: "Fino alla prossima volta, stai al sicuro".

[CODICE MORSE]