Cyber AI di Darktrace - Un "sistema immunitario" per la sicurezza del Cloud
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Cyber AI di Darktrace Un “sistema immunitario” per la sicurezza del Cloud
Poiché le organizzazioni implementano le proprie capacità digitali in ambienti ibridi, multi-Cloud e IoT, devono affrontare un numero maggiore di aree da proteggere e controllare. Ciò significa anche maggiori opportunità per i pirati informatici di nuocere all’affidabilità operativa, intraprendere nuovi tipi di crimini e alterare direttamente lo svolgimento di un’attività aziendale. – Forrester
WHITE PAPER
Introduzione
Dalle piccole aziende che cercano di risparmiare ai centri di innovazione
Contenuti aziendali che lanciano progetti di trasformazione digitale, il viaggio su larga
scala verso il Cloud ha fondamentalmente rimodellato l’attività digitale e il
paradigma tradizionale del perimetro della rete. Poiché questo perimetro
La Cyber AI Platform 2
si dissolve, l’infrastruttura ibrida e multi-Cloud è diventata parte dell’arreda-
Credenziali compromesse 4 mento di un immobile digitale sempre più diversificato, consentendo alle
organizzazioni di spingere i limiti superiori dell’innovazione e al contempo
Attacco a SharePoint 5
di espandere la superficie di attacco ad una velocità allarmante.
Tentato accesso a un account SaaS dall’Ecuador 5
Questa tendenza rappresenta naturalmente l’arma a doppio taglio dell’era
Login insolito in una banca panamense 6 digitale e le sfide di sicurezza che i responsabili aziendali devono affron-
tare nel loro percorso verso il Cloud vengono facilmente sottovalutate. Il
Attacco Brute Force automatizzato 6
“Cloud” stesso racchiude una vasta gamma di sistemi e servizi e, spesso,
Acquisizione di un account Office 365 7 un solo team della sicurezza si deve occupare della protezione dei carichi
di lavoro del Cloud su AWS e Azure, comunicazioni e-mail in Office 365,
Insider dannosi 8
dati dei clienti in Salesforce, condivisione dei file tramite Dropbox e server
Dipendente IT scontento 9 virtuali nei data center tradizionali on-premise.
Errori di configurazione 10 Questo complesso mosaico di piattaforme basate sul Cloud spesso stimola
efficienza, flessibilità e innovazione, ma richiede strategie di sicurezza
Attacco a Shodan nella vulnerabilità del Cloud 11
coerenti e gestibili. Il Cloud in tutte le sue varie forme è un territorio scono-
PII decrittografate in AWS 11 sciuto ai team della sicurezza tradizionali; gli strumenti e le pratiche pree-
sistenti sono spesso troppo lenti o statici o non possono essere utilizzati
Installazione di un malware di cryptomining 12
per difendersi da attacchi evoluti in ambienti ibridi e multi-Cloud.
IP esposto in Azure 12
Anche se molte soluzioni di sicurezza native per il Cloud possono aiutare
Ingegnere DevOps iper-zelante 13 spesso con la conformità e l’analisi basata sui log, raramente sono abba-
stanza solide e unificate per fornire una copertura sufficiente, perché conti-
Scenari di utilizzo 14
nuano a promuovere un approccio “stove-pipe” alla sicurezza e perché fanno
Conclusioni 16 affidamento su regole, firme o precedenti supposizioni, pertanto non sono
in grado di rilevare nuove minacce e insider prima che abbiano il tempo di
scatenare una crisi.
Ancora peggio, la mancanza di visibilità e di controllo che i team della sicu-
rezza devono affrontare in questo ambito, insieme alla mentalità nuova e
sconosciuta necessaria per l’agilità e la velocità del Cloud, crea un bersa-
glio attraente per i pirati informatici, che regolarmente cercano di generare
il massimo profitto cercando di evitare di essere individuati. La sicurezza
del Cloud non si trova dove dovrebbe essere e i pirati informatici lo sanno
meglio di chiunque altro.
Sotto molti aspetti, le organizzazioni di oggi hanno bisogno di molto di più
della sicurezza del Cloud: hanno bisogno di una sicurezza a livello aziendale
e di una piattaforma unificata in grado di operare alla velocità del business
digitale, di adattarsi alle minacce future e di correlare i sottili tratti distintivi
di un attacco avanzato che amplia la propria presenza all’interno di una rete.
1
La Cyber AI Platform
Un “sistema immunitario” per il Cloud e non solo
Limitazioni di un approccio
statico per la sicurezza del Cloud Alimentata dall’intelligenza artificiale, la Cyber AI Platform di Darktrace
colma queste lacune critiche grazie ad un esclusivo approccio a livello
I Cloud Service Provider e i fornitori di terze parti aziendale in grado di rilevare e rispondere alle minacce basate sul Cloud
offrono una gamma di soluzioni di sicurezza “Cloud- che altri strumenti non sono in grado di rilevare.
native”’ che aiutano i clienti a difendere la propria
parte del Shared Responsibility Model. Tuttavia, Proprio come il sistema immunitario umano, la tecnologia sviluppa un innato
queste soluzioni separate, sia native che di terze parti, senso del “sé”, imparando il normale “pattern of life” di ogni utente, dispo-
di solito non sono sufficientemente attrezzate per sitivo e container all’interno di ambienti ibridi e multi-Cloud. Analizzando
rilevare e rispondere a minacce di livello avanzato che continuamente il comportamento di ogni persona e ogni cosa all’interno
colpiscono il Cloud. dell’azienda, l’IA “self-learning”di Darktrace è in grado di correlare in modo
esclusivo i segnali deboli e nascosti di un attacco di livello avanzato, senza
Controlli native: necessari, ma non sufficienti
definire in anticipo cosa è “sicuro” e cosa è “dannoso”.
I controlli di sicurezza native sono spesso progettati
esclusivamente per un singolo Cloud provider e Anche se soluzioni separate pre-programmate possono sicuramente inte-
riguardano solo una porzione di un’attività ibrida e multi- grare questo approccio, Darktrace è l’unica tecnologia collaudata in grado
Cloud estesa. Ciò limita drasticamente l’ambito del di fermare l’intera gamma di minacce informatiche che colpiscono il Cloud,
rilevamento e aggiunge complessità ad uno stack di da insider dannosi e attacchi esterni, a errori di configurazione critici che
sicurezza già complesso.
possono esporre l’attività aziendale a compromissioni future, indipenden-
In generale, i controlli native possono aiutare con la temente dal fatto che l’origine sia una campagna di spear phishing mirata,
conformità, la raccolta di log e la creazione di policy l’acquisizione di account aziendali, l’esfiltrazione di dati “low and slow” o
statiche, ma non sono progettati per il rilevamento di spostamenti laterali attraverso il Cloud.
minacce di livello avanzato e la risposta all’interno di
servizi multi-Cloud e statici. Protezione unificata e su misura
Con una comprensione a livello Enterprise del patrimonio digitale, Darktrace
Controlli di terze parti: utili, ma non sufficienti
mette in correlazione in tempo reale tutte le attività on-premise con il traf-
I controlli di terze parti come CASB e CWPP sono spesso
fico all’interno di ambienti ibridi e multi-Cloud. Ciò consente di comprendere
utili, ma non sufficienti. I CASB, ad esempio, sono utili
che un comportamento ordinario analizzato separatamente nel Cloud può
nella scoperta, nella creazione di politiche granulari
e nella compliance, ma spesso non sono in grado di puntare ad un quadro più ampio di un’attività pericolosa.
rilevare minacce informatiche che occupano l’estremità Ad esempio, è possibile rilevare che un utente abbia effettuato un accesso
più evoluta dello spettro, da credenziali compromesse
ad AWS nel Cloud. Di per sé non è qualcosa di pericoloso, ma Darktrace
e ransomware, fino a insider scontenti e spionaggio
sa che l’account Office 365 dello stesso utente è stato probabilmente
aziendale.
compromesso un istante prima, poiché ha rilevato una sede di accesso
Anche se i controlli di terze parti forniscono una estremamente insolita. Darktrace capisce che il collegamento ad AWS è
visibilità completa di tutto l’ambiente Cloud, non hanno pertanto estremamente sospetto.
alcuna visione della rete fisica di un’organizzazione.
Ciò significa una limitazione, poiché la correlazione
della visione all’interno del Cloud e della rete aziendale
è spesso l’unico modo con cui il sistema è in grado di
evidenziare la presenza di una minaccia emergente.
I responsabili della sicurezza
prevedono di dover migliorare
sempre di più la propria efficienza
trasformando soluzioni separate in
piattaforme di sicurezza più ampie.
– Gartner
2
WHITE PAPER
Correlazione di informazioni Cyber AI Analyst: indagine
a livello di container automatizzata delle minacce
Nonostante l’aumento dell’utilizzo di container da parte degli svilup- Il Cyber AI Analyst mette in atto la fase successiva di un’indagine
patori, la sicurezza non è rimasta al passo. La natura virtualizzata automatizzata delle minacce rilavate dall’Enterprise Immune System
crea un traffico intra-server difficile da monitorare. Mentre i sistemi e produce una dashboard situazionale dinamica, nonché report
basati su regole tracciano i dati solo all’interno dei server, Darktrace generati dall’IA che illustrano la portata effettiva di un incidente
è in grado di fornire visibilità agli ambienti containerizzati all’interno della sicurezza.
di singoli server.
Mettendo in correlazione il traffico Cloud real-time con il resto della
Cosa fondamentale, Darktrace amplia la propria visibilità sui container rete, il Cyber AI Analyst è in grado di svolgere contemporaneamente
e la collega all’attività all’interno dell’intera struttura digitale (Cloud, centinaia di indagini, raggruppando insieme un’ampia gamma di
IoT, e-mail, ambienti industriali e di altro tipo). Un’anomalia nel allarmi e indicatori e sviluppando una comprensione significativa
traffico di rete di un container può pertanto essere collegata a un degli incidenti alla velocità delle macchine. Comunica quindi i propri
database Cloud, che a sua volta può essere correlato ad un account risultati e consigli sotto forma di AI Analyst Incident, arricchendoli
e-mail aziendale. con contesto e informazioni di sicurezza che possono essere riesa-
minati e messi in pratica sia da dirigenti che da utenti finali.
Per gli scenari di sviluppo, fare riferimento a pagina 14.
Container VM Container VM Container
Industrial
Corporate HQ
Network
Remote Work
Virtualized Data Center
Satellite Offices
Figura 1: protezione unificata di Darktrace dell’intero patrimonio digitale
3
Credenziali compromesse
Il 29% delle violazioni di dati I pirati informatici evoluti sono in grado di rubare credenziali di account
coinvolge l’uso di credenziali aziendali in vari modi, da attacchi di social engineering a malware “intel-
ligenti” che setacciano il traffico e risorse Cloud effimere alla ricerca di
rubate password. Con dati rubati facilmente disponibili per essere acquistati e
venduti sul Dark Web, la frequenza e la gravità del furto di credenziali è in
Fonte: Verizon 2019
costante aumento anno dopo anno.
I casi di acquisizione di account includono solo la prima fase di una minaccia
informatica. La fase finale di un attacco basato su credenziali è l’utilizzo
effettivo di password compromesse per l’autenticazione delle applicazioni
e il furto di dati. Una volta che il pirata ha acquisito le credenziali per operare
come un utente valido, è troppo tardi per distinguere un intruso dal dipen-
dente legittimo che sta cercando di impersonare.
Correlando i dati tra ambienti ibridi e multi-Cloud, Darktrace acquisisce
il “pattern of life” di ogni utente da centinaia di metriche, consentendo di
rilevare immediatamente le deviazioni nel comportamento che sono indi-
cative dell’acquisizione di un account. Anche nel caso di una compromis-
sione preesistente, acquisendo il “pattern of life” del gruppo di colleghi di
quell’utente, nonché dell’intera azienda, l’IA di Darktrace segnalerà retro-
spettivamente qualsiasi comportamento insolito.
Figura 2: l’IA di Darktrace rileva un’attività insolita correlata alla compromissione di un account Cloud
4
WHITE PAPER
Tentato accesso a un account
Attacco a SharePoint SaaS dall’Ecuador
Dopo aver ottenuto credenziali rubate o aver ottenuto l’accesso in altro In un’organizzazione internazionale, Darktrace ha rilevato una compro-
modo al servizio di trasferimento di file di un’organizzazione basato missione in un account Office 365 che aveva bypassato i controlli
su Cloud, i pirati informatici eseguiranno frequentemente degli script native di Azure Active Directory. Anche se l’organizzazione ha uffici in
per identificare file che contengono parole chiave come “password”. ogni angolo del mondo, l’IA di Darktrace ha identificato un accesso da
Darktrace ha scoperto un incidente di questo tipo presso una banca un indirizzo IP storicamente insolito per quell’utente e il suo gruppo
europea, dove i pirati informatici erano riusciti a trovare un file SharePoint di colleghi e ha immediatamente avvisato il team della sicurezza.
di Office 365 che conteneva password non crittografate. Avendo già Darktrace ha poi segnalato che nell’account era stata impostata una
bypassato i controlli native di Microsoft, i pirati informatici potevano nuova regola di elaborazione delle e-mail, che eliminava le e-mail
ragionevolmente aspettarsi di essere al sicuro. in ingresso. Ciò indicava un chiaro segnale di compromissione e il
team della sicurezza ha potuto bloccare l’account prima che il pirata
informatico potesse fare danni.
Quando il team della sicurezza ha esaminato l’incidente in modo
più approfondito, ha capito che l’utente aveva ricevuto un’e-mail
di phishing proprio qualche ora prima che Darktrace rilevasse la
minaccia. Nonostante l’azienda avesse installato anche Advanced
Threat Protection (ATP) per Office 365 di Microsoft, le difese statiche
Figura 3: i file sensibili a cui è stato effettuato l’accesso su SharePoint
come ATP sono in grado di rilevare solo attacchi di phishing mettendo
in correlazione link contenuti nelle e-mail con indirizzi pericolosi
Tuttavia, l’IA di Darktrace ha segnalato l’attività come inusuale per
conosciuti e il link di questo phishing non era contenuto nell’elenco.
l’utente aziendale, il suo gruppo di colleghi e l’intera organizzazione,
Ciò ha dimostrato i chiari limiti di un approccio basato su firma in
rilevando l’accesso insolito a questi file sensibili insieme ad altri indi-
questo settore e pochissimo tempo dopo l’organizzazione ha instal-
catori. Fondamentalmente, la comprensione articolata e in costante
lato Antigena, la tecnologia di Autonomous Response di Darktrace,
evoluzione dell’IA del “normale” all’interno dell’intera organizzazione si
per una protezione aggiuntiva in Office 365, data la sua capacità di
è rilevata decisiva, poiché in altre circostanze l’accesso sospetto al file
identificare in maniera analoga e-mail di phishing pericolose senza
sarebbe stato ritenuto sicuro.
fare affidamento su blacklist.
Figura 4: Darktrace evidenzia i download di file sensibili
Questi pirati informatici avrebbero potuto probabilmente sfruttare le
password non crittografate per riassegnare i propri privilegi e infiltrarsi
ulteriormente nell’organizzazione. Tuttavia, acquisendo i “pattern of life”
di ogni utente e dispositivo all’interno dell’organizzazione, l’IA di Darktrace
è stata in grado di segnalare l’incidente al team della sicurezza prima
che potesse scatenare una crisi. Figura 5: l’IA di Darktrace ha rilevato la sede insolita dell’accesso
all’account SaaS
5
Login insolito in una banca Attacco Brute Force
panamense automatizzato
Un account Office 365 è stato usato in un attacco Brute Force contro Darktrace ha rilevato numerosi tentativi di accesso non riusciti su un
una nota banca di Panama, con accessi provenienti da un Paese che account SaaS utilizzando le stesse credenziali ogni giorno nel corso
si discostava dal normale “pattern of life” operativo dell’azienda. di una settimana. Ogni serie di tentativi di accesso era stata eseguita
esattamente alle 18:04 per sei giorni. La coerenza sia dell’orario che
Darktrace ha identificato 885 accessi in un periodo di 7 giorni. Mentre
del numero di tentativi di accesso era indicativa di un attacco Brute
la maggioranza delle autenticazioni aveva origine da indirizzi IP di
Force automatizzato, programmato per interrompersi dopo un certo
Panama, il 15% delle autenticazioni aveva origine da un indirizzo IP
numero di tentativi non riusciti al fine di evitare blocchi.
che era al 100% raro e con sede in India. Un’ulteriore analisi ha rive-
lato che questo endpoint esterno era incluso in numerose blacklist di Darktrace ha considerato questo pattern di tentativi falliti estrema-
spam ed era stato recentemente associato ad un comportamento mente anomalo e, perciò, ha avvisato il team della sicurezza. Se
abusivo online, probabilmente un internet scanning non autorizzato Darktrace non avesse correlato questi deboli indicatori multipli e non
o un tentativo di hacking. avesse elaborato i segnali sottili di una minaccia emergente, questo
attacco automatizzato sarebbe potuto continuare per settimane o
mesi, facendo congetture studiate sulla password dell’utente sulla
base di altre informazioni che aveva già acquisito.
Figura 6: la user interface mostra le sedi di accesso
Figura 8: grafico che mostra i tentativi di accesso ripetuti
Darktrace poi ha assistito a quello che sembrava essere un abuso della
funzione di ripristino della password, poiché l’utente in India modifi-
cava i privilegi di accesso in modo estremamente insolito. Ciò che
ha contraddistinto l’attività come particolarmente sospetta è stato il
fatto che, dopo il ripristino della password, è stato rilevato un tentativo
di accesso non riuscito da un IP normalmente associato all’organiz-
zazione, suggerendo quindi che l’utente legittimo era stato bloccato.
Figura 7: attività associata all’account SaaS, che evidenzia la
modifica delle credenziali
6
WHITE PAPER
Acquisizione di un account Office 365
Dopo aver fatto clic su un link dannoso contenuto all’interno di un’e-
mail mirata, una dipendente ha inserito le proprie credenziali in una
pagina di accesso falsificata che registrava le sue battute sulla tastiera.
Entrando in possesso delle credenziali, i pirati informatici sono tornati
a Office 365 e le hanno utilizzate per accedere da remoto. Darktrace
ha rilevato le sedi insolite, Bulgaria e Indonesia.
Acquisendo i pattern relativi alle sedi di lavoro degli utenti, nonché
Figura 9: Darktrace rileva la regola di elaborazione per la casella di
quando e come accedono ai servizi Cloud, l’IA di Darktrace ha identifi-
posta in arrivo
cato, e avrebbe potuto prevenire, queste richieste di accesso insolite.
In questo caso, le capacità di sicurezza native non avevano identificato Cancellando automaticamente le e-mail dopo l’invio, la tracciabilità
né prevenuto questi accessi pericolosi. viene distrutta all’interno del sistema di posta elettronica. Tuttavia,
monitorando in modo indipendente le e-mail e le attività dell’account
Una volta effettuato l’accesso all’account Office 365 della dipendente, i
SaaS, Darktrace è stato in grado di identificare il quadro completo
pirati informatici hanno propagato l’attacco ad altre vittime, continuando
delle attività dei pirati informatici. La capacità della piattaforma di
il ciclo. In questo caso, Darktrace ha rilevato un’altra modifica compor-
acquisire le identità e i comportamenti all’interno di tutta l’azienda
tamentale, individuando 99 e-mail con l’oggetto “avviso di pagamento”
ha consentito a Darktrace di rilevare le attività sospette.
inviate ad un’ampia gamma di aziende destinatarie. Anche se questo
comportamento avrebbe potuto essere normale per alcuni dipendenti,
non rientrava nel “pattern of life” di quel particolare utente.
Darktrace ha individuato anche la creazione di una nuova regola di inoltro
per la casella di posta in arrivo, spesso creata dai pirati informatici per
diffondere spam o nascondere le proprie attività.
Figura 10: le sedi di accesso insolite
7
Insider dannosi
Le minacce interne nel Cloud costituiscono una minaccia informatica
L’IA di Darktrace si adatta maggiore per un’organizzazione rispetto ad attacchi esterni, per un motivo
evidente: sono già dentro. Un dipendente con intenzioni nefaste dispone
“on the job”, evidenziando di una posizione esclusiva per aggirare gli strumenti tradizionali, dati i suoi
in tempo reale la nostra privilegi di accesso e una conoscenza approfondita della rete.
infrastruttura di rete e del I servizi Cloud hanno ampliato enormemente l’ambito delle minacce interne,
Cloud e consentendoci di dato che il gran numero di applicazioni rappresenta un’ampia gamma di
vettori per esfiltrazione di dati e la limitata visibilità in questo ambito consente
difendere il Cloud in totale di non rilevare l’esfiltrazione di dati.
sicurezza. Per natura, gli strumenti di sicurezza esistenti non sono assolutamente in
CISO, Aptean grado di percepire le attività dannose che si verificano all’interno dell’orga-
nizzazione. Oggi la sicurezza del Cloud richiede un approccio più completo
che analizzi tutto il traffico all’interno del patrimonio digitale e crei in conti-
nuazione un “pattern of life” in costante evoluzione per l’organizzazione.
Nel caso in cui un venditore lasci l’azienda e porti con sé informazioni
sui clienti oppure un amministratore IT manipoli leggermente dati critici,
l’intelligenza artificiale può essere utilizzata per rilevare qualsiasi attività
anomala e insolita che indichi una minaccia informatica.
Figura 11: Darktrace Antigena blocca il tentativo di un insider malevolo di esfiltrare dati sensibili
8WHITE PAPER
Dipendente IT scontento
Darktrace ha rilevato un caso di minaccia interna dopo che un dipen-
dente è stato licenziato dal suo ruolo di IT System Administrator.
Quella settimana l’organizzazione era stata costretta ad effettuare
una serie di licenziamenti in quell’ufficio, ma aveva dimenticato di
farsi restituire il laptop dal dipendente o di cancellare il suo account
aziendale. L’ex-amministratore IT ha effettuato l’accesso al proprio
account SaaS e ha scaricato rapidamente molti file sensibili dal data-
base dei clienti, fra cui dettagli di contatto e numeri di carte di credito.
Figura 13: Antigena di Darktrace attiva una autonomous response
mirata
Un’indagine successiva ha rilevato che per prima cosa il dipendente
aveva tentato di inviare questi file ad un server personale a casa.
Quando non ci è riuscito, ha provato ripetutamente ad esfiltrare i
dati da numerose altre fonti. Tuttavia, poiché Antigena è in grado di
adattarsi dinamicamente alle minacce non appena si diffondono e di
intensificare il proprio tipo di risposta, la tecnologia è stata in grado
di interrompere chirurgicamente questi tentativi in ogni momento.
Quando non è più riuscito a fare niente, il dipendente ha provato a
trasferire tutti i file ad un server interno che solitamente utilizzava
Figura 12: Il Threat Visualizer mostra un picco elevato nel numero
in azienda, nel tentativo di inviare i file verso l’esterno, ma Darktrace
di connessioni
è entrata in azione e ha neutralizzato anche questa connessione.
Successivamente ha tentato di trasferire segretamente questi file ad
un server domestico attraverso uno dei regolari servizi di trasferimento
dati aziendali. Prima di fare ciò, ha creato un nuovo “dark account” per
creare una backdoor, per continuare ad avere un punto di appoggio
all’interno dell’azienda nel caso in cui il team IT avesse eventualmente Figura 14: Antigena blocca i tentativi del dipendente di trasferire i
trovato il tempo per cancellare il suo account aziendale. file attraverso il Cloud
L’amministratore IT sapeva che questo particolare servizio non era Anche se questa attività nascosta aveva facilmente eluso i controlli
solo approvato dalle politiche aziendali, ma era anche basato sul native del fornitore del servizio Cloud, l’IA di Darktrace aveva rilevato in
Cloud e ha dato per scontato che il team della sicurezza avesse una pochi secondi il comportamento minaccioso. Apprendendo in conti-
visibilità limitata in questa area. Tuttavia, Darktrace ha analizzato in nuazione cos’è “normale” per ogni utente e dispositivo, il sistema è
modo dinamico gli eventi di accesso e gli accessi ai file nei servizi stato in grado di correlare in modo intelligente le connessioni estre-
Cloud aziendali, correlandoli ai “pattern of life” acquisiti per ogni mamente sospette e i download dal dispositivo dell’amministratore
utente nell’organizzazione alla luce di nuove prove. Come sistema IT, anche se il servizio Cloud veniva regolarmente utilizzato per scopi
di auto-apprendimento unificato, la Cyber AI Platform di Darktrace legittimi da parte di altri dipendenti.
ha immediatamente rilevato il grande numero di download insoliti
La Cyber AI Platform di Darktrace ha istantaneamente allertato il team
di file, la creazione del nuovo account e l’esfiltrazione, e Antigena, la
della sicurezza e fornito informazioni dettagliate e precise sulla natura
sua tecnologia di Autonomous Response, ha bloccato i tentativi di
della compromissione, indicando di revocare queste credenziali e di
caricamento.
recuperare e proteggere prontamente i dati.
9Errori di configurazione
La configurazione dei controlli di sicurezza in ambienti ibridi e multi-Cloud
Quasi tutti gli attacchi che è un processo complesso, poiché le soluzioni native e quelle di terze parti
in questo ambito sono diverse, incompatibili e non sufficienti. La mancanza
hanno successo contro i di familiarità con il Cloud causa spesso errori di configurazione critici che
servizi Cloud sono il risultato espongono l’azienda ad attacchi. I moderni sviluppatori oggi hanno la capa-
cità di avviare un’istanza Cloud in pochi minuti, spesso senza consultare
di errori di configurazione. il team della sicurezza dell’azienda per cui lavorano. Come conseguenza,
– Neil MacDonald, Gartner la maggior parte delle organizzazioni non ha visibilità sui propri ambienti
Cloud e installazioni affrettate possono comportare enormi vulnerabilità
che passano inosservate per mesi.
La potenziale ramificazione di un errore di configurazione è emersa con
la violazione dei dati di Capital One, che ha coinvolto più di 100 milioni di
persone sfruttando una vulnerabilità nel Cloud. Questa importante istitu-
zione finanziaria con una posizione di sicurezza del Cloud ben formata è
venuta a conoscenza del problema solo dopo aver ricevuto una soffiata
da un outsider che si era imbattuto nei dati rubati, tre mesi dopo che si è
verificata la violazione dei dati.
Oggi l’intelligenza artificiale è usata per comprendere i normali “pattern of life”
di ogni utente, dispositivo e container, riconoscendo gli schemi comporta-
mentali più nascosti associati ad un errore di configurazione. Utilizzando una
tecnologia di auto-apprendimento come la Cyber AI Platform di Darktrace, le
organizzazioni sono in grado di ottenere la conoscenza necessaria relativa
agli ambienti Cloud complessi per individuare le potenziali vulnerabilità fin
dalle prime fasi, prima che scatenino una crisi.
Figura 15: un errore di configurazione DevOps porta alla rapida diffusione di un crypto malware
10WHITE PAPER
Attacco a Shodan nella
vulnerabilità del Cloud PII decrittografate in AWS
Un’organizzazione che si occupa di servizi finanziari ospitava un L’amministrazione di una cittadina negli Stati Uniti durante il processo
numero di server critici su VM nel Cloud, alcuni dei quali previsti di outsourcing dei database ad AWS non era riuscita ad interrogare
per essere rivolti al pubblico, altri no. Configurando i propri controlli correttamente i protocolli che il server utilizzava per scaricare le
Cloud native, un server importante è stato erroneamente lasciato informazioni. Come conseguenza, gli indirizzi, i numeri di telefono
esposto a Internet, quando invece era previsto che fosse isolato e i numeri di immatricolazione dei veicoli dei cittadini sono stati
dietro un firewall. Ciò può essere accaduto per una varietà di motivi, tutti caricati in un database esterno attraverso una connessione
probabilmente a causa di una migrazione rapida e caotica o forse non crittografata.
a causa della mancanza di familiarità con i controlli native forniti
L’accesso a questi dati estremamente sensibili era limitato solo
dal proprio CSP.
a dipendenti selezionati all’interno dell’amministrazione cittadina,
Poiché il team della sicurezza non era a conoscenza dell’errore di ma l’errore relativo alla sicurezza ha reso i dati disponibili a qual-
configurazione, il server esposto è stato casualmente scoperto e siasi pirata informatico in grado di analizzare il perimetro della rete
preso di mira da pirati informatici che analizzavano Internet tramite e raccogliere i pacchetti ricchi di dati che riusciva ad individuare.
Shodan. In pochi secondi, l’IA di Darktrace ha rilevato che il disposi-
Inizialmente l’organizzazione non era a conoscenza dell’errore di
tivo stava ricevendo un numero insolito di tentativi di collegamento
configurazione, che non era stato rilevato dall’intero stack di sicu-
in ingresso da una vasta gamma di fonti esterne rare e ha comuni-
rezza. Tuttavia, quando Darktrace ha rilevato un collegamento
cato la minaccia al team della sicurezza.
insolito ad un raro IP esterno da un dispositivo desktop all’interno
dell’azienda, ha verificato che questa comunicazione stava rivelando
dati pubblici sensibili a cui un pirata poteva accedere per raccogliere
materiale per attacchi di spear phishing futuri anche per furti di
identità. La visibilità completa e real-time fornita da Darktrace ha
rivelato questo pericoloso punto cieco e ha consentito al team della
sicurezza di correggere l’errore di configurazione.
Figura 16: il sito web Shodan utilizzato per la scansione delle
vulnerabilità
Figura 17: il Threat Visualizer mostra il trasferimento verso
l’esterno di più di 2 GB di dati
11Installazione di un malware IP esposto in Azure
di cryptomining
Darktrace ha rilevato un errore commesso da un tecnico DevOps Un’importante azienda di produzione europea utilizzava un server
junior di un’organizzazione multinazionale con carichi di lavoro Microsoft Azure per l’archiviazione di file contenenti dettagli sui
all’interno di AWS e Azure e che sfrutta sistemi containerizzati prodotti e proiezioni di vendita. Nonostante i file sul server e l’indirizzo
come Docker e Kubernetes. Il tecnico ha scaricato accidentalmente IP principale fossero protetti con nome utente e password, questi dati
un aggiornamento che includeva un crypto miner, che ha causato sensibili non erano stati crittografati. L’attività anomala è stata rilevata
un’infezione all’interno di numerosi sistemi Cloud di produzione. quando un dispositivo ha scaricato un file ZIP da un indirizzo IP inso-
lito che Darktrace aveva classificato come estremamente anomalo.
Dopo l’infezione iniziale, il malware ha avviato il beaconing a comandi
e server di controllo esterni, che sono stati immediatamente indi- Successivamente è stato scoperto che tale indirizzo IP esterno era
viduati da Darktrace. Una volta stabilita la connessione esterna un server Microsoft Azure appena configurato e il file ZIP era acces-
e rilasciate le istruzioni relative alla missione di attacco, il crypto sibile a chiunque fosse a conoscenza dell’URL, che poteva essere
malware è stato poi in grado di diffondersi rapidamente alla velocità ottenuto semplicemente intercettando il traffico di rete, sia interna-
delle macchine all’interno della vasta infrastruttura Cloud dell’orga- mente che esternamente. I pirati informatici più scrupolosi avrebbero
nizzazione, infettando 20 server Cloud in 15 secondi. anche potuto forzare brutalmente i parametri “chiave” del file dell’URL.
Grazie all’IA di Darktrace, l’ambiente Cloud dell’organizzazione non La perdita dei file sensibili in questione avrebbe potuto rappresentare
era un punto cieco, con una visibilità dinamica e unificata all’interno un rischio per l’intera linea di produzione, ma segnalando questo
dell’estesa infrastruttura ibrida e multi-Cloud, che consente al team incidente non appena è stato rilevato, Darktrace ha evitato la perdita
della sicurezza di contenere l’attacco in pochi minuti, anziché in ore o di preziose proprietà intellettuali e si è attivata per assistere il team
giorni. Anche se l’attacco si è verificato alla velocità delle macchine, della sicurezza nel riesaminare le pratiche di archiviazione dei dati
Darktrace è stata in grado di individuarlo già nella sua prima fase, nel Cloud, al fine di migliorare la protezione delle informazioni rela-
molto prima che i relativi costi potessero aumentare. tive alla produzione.
Figura 18: malware di cryptomining rilevato in tempo reale
Figura 19: Darktrace mostra la sede dell’indirizzo IP
12WHITE PAPER
Ingegnere DevOps iper-zelante
Presso un gruppo assicurativo, un ingegnere DevOps stava tentando
di creare un’infrastruttura di back-up parallela all’interno di AWS per
replicare i sistemi di produzione del data center dell’organizzazione.
L’implementazione tecnica era perfetta ed erano stati creati dei
sistemi di backup. Tuttavia i costi per il funzionamento del sistema
sarebbero stati pari a svariati milioni di dollari all’anno.
L’ingegnere DevOps non era a conoscenza dei costi associati al
progetto e ha lasciato la direzione all’oscuro di tutto. L’infrastruttura
Cloud è stata avviata e i costi hanno iniziato subito a crescere.
Tuttavia l’IA di Darktrace ha segnalato questo comportamento
insolito e il team della sicurezza è stato in grado di adottare imme-
diatamente azioni preventive.
Figura 20: Il Threat Visualizer mostra un picco delle connessioni
interne ed esterne
13Scenari di utilizzo
Cloud ibrido (IaaS)
In organizzazioni con infrastrutture Cloud ibride, Darktrace installa In Azure, GCP e altri servizi, Darktrace installa vSensor e OS-Sensor
probe virtuali o “vSensor” che rilevano il traffico real-time nel Cloud per acquisire traffico real-time come descritto in precedenza.
e lo mettono in correlazione con il resto dell’azienda. Darktrace supporta anche vTAP di Azure ed è in fase di sviluppo
anche una capacità equivalente per GCP.
In AWS, i vSensor inseriscono il traffico real-time in istanze Nitro
tramite VPC Traffic Mirroring. I metadati AWS Nitro possono essere I clienti AWS e Azure possono anche installare dei “Darktrace
acquisiti direttamente, senza la necessità di un probe aggiuntivo a Connector” al fine di monitorare attività di amministrazione di
livello di server. Per le istanze non Nitro, Darktrace installa “sensori sistema a livello API, come attività di accesso e creazione di risorse.
OS” in ogni endpoint: ogni sensore OS alimenta il traffico verso un
Infine, Darktrace acquisisce il traffico di container all’interno di Docker
vSensor locale che, a propria volta, alimenta i metadati pertinenti
e Kubernetes tramite sensori OS specializzati, che alimentano allo
verso il probe principale di Darktrace nel Cloud o nella rete azien-
stesso modo i dati verso un vSensor locale e, a propria volta, verso
dale per la relativa analisi.
un probe principale di Darktrace per l’analisi.
VM VM
CloudTrail
Logs API
Probe Darktrace
Rete Fisica
14WHITE PAPER
Cloud ibrido (SaaS)
In installazioni SaaS ibride, i Darktrace Connector vengono installati
in remoto sulla probe principale di Darktrace (fisica o Cloud) per
API
interrogare le API di sicurezza delle soluzioni SaaS pertinenti. Sono
inclusi Office 365, Salesforce, Dropbox, Box, Egnyte e molti altri.
Una volta installati i Connector, Darktrace analizza e mette in correla-
zione continuamente i dati SaaS con il traffico all’interno del restante
ambiente aziendale con una visione unificata.
Probe Darktrace Rete Fisca
Solo Cloud (IaaS e/o SaaS)
Se un cliente sfrutta il Cloud ma non ha una rete on-premise, Darktrace
mette a disposizione un servizio dedicato che prevede una distribuzione
solo su Cloud. Per le distribuzioni solo su Cloud, Darktrace gestisce un
probe principale su Cloud che riceve il traffico da sensori e connector
posizionati all’interno degli ambienti IaaS e/o SaaS del cliente.
Internet
API API
vSensor
Ambiente Cloud
di Darktrace
Probe Darktrace
15Conclusioni
Poiché le organizzazioni si affidano sempre di più ai servizi Cloud e alle
applicazioni SaaS per semplificare le pratiche aziendali, il paradigma fami- Punti principali da ricordare
liare sul perimetro della rete si è dissolto, lasciando un patrimonio digitale
Apprende il “sé” per rilevare minacce
permeabile e in continua evoluzione nel suo percorso che si muove alla
basate sul Cloud che altri strumenti
velocità e alla portata del business digitale.
non rilevano
Anche se i vantaggi del Cloud computing garantiscono la continuità della
Correla l’attività attraverso ambienti ibridi
migrazione, le sfide di sicurezza uniche rappresentate dal Cloud richiede-
e multi-Cloud
ranno tecnologie di auto-apprendimento in grado di agire con la stessa
velocità e portata degli utilizzi del Cloud. Inoltre, la crescente afferma- 100% di visibilità real-time che non
zione degli ambienti ibridi e multi-Cloud richiede una singola piattaforma consente ai pirati informatici di nascon-
di sicurezza in grado di correlare in tempo reale le attività all’interno di dersi in alcun modo
questi sistemi diversi.
Indaga automaticamente su incidenti
La leadership mondiale di Darktrace nel campo dell’intelligenza artificiale di sicurezza tramite il Cyber AI Analyst
per la cyber security la rende la soluzione più efficace e dimostrata per rile-
vare minacce mai apparse in precedenza ed incidenti informatici anomali,
anche se si verificano nel Cloud. Anziché affidarsi a regole o politiche
predefinite, la tecnologia sfrutta l’incertezza relativa all’ambiente digitale
complesso di oggi.
Di fronte ad un insider dannoso, un pirata informatico che punta a dati
sensibili in container test o ad una significativa configurazione errata che
potrebbe essere sfruttata in futuro, la Cyber AI Platform di Darktrace aiuta
ad eliminare i punti ciechi e a proteggere i dati, ovunque si trovino.
16Darktrace rappresenta una nuova frontiera nella cyber defense basata sull’IA. Il nostro team dispone ora di una copertura completa e real-time in tutte le nostre applicazioni SaaS e Cloud container. – CIO, Città di Las Vegas
Informazioni su Darktrace Contatti
Darktrace è la principale azienda di cyber IA al mondo e ideatrice della tecnologia di risposta autonoma. Milano: +39 02 5821 5328
La sua IA auto-apprendente è modellata sul sistema immunitario umano e utilizzata da oltre 3.000
organizzazioni per proteggere dalle minacce al cloud, e-mail, IoT, network e sistemi industriali. Roma: +39 06 3671 2329
Europa: +44 (0) 1223 394 100
L’azienda ha oltre 1.000 dipendenti e sede a San Francisco e Cambridge, UK, con uffici a Milano e Roma.
Ogni 3 secondi, l’IA di Darktrace combatte contro una minaccia cyber, impedendole di causare danni. Nord America: +1 (415) 1223 394 100
info@darktrace.com | darktrace.com
@darktrace
Darktrace © Copyright 2020 Darktrace Limited. Tutti i diritti riservati. Darktrace è un marchio registrato di Darktrace Limited. L’Enterprise Immune System e il Threat
Visualizer sono marchi non registrati di Darktrace Limited. Altri marchi ivi inclusi sono di proprietà dei rispettivi titolari.Puoi anche leggere
