La Cyber AI di Darktrace - Un sistema immunitario per le e-mail
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
La Cyber AI di Darktrace Un sistema immunitario per le e-mail
Mai come ora, per combattere il panorama delle minacce in continua evoluzione, la sicurezza delle e-mail moderne richiede innovazione e un cambio di mentalità. – Peter Firstbrook, VP Analyst di Gartner
WHITE PAPER
Introduzione
Le e-mail e le piattaforme di collaborazione rappresentano il tessuto
Contenuti connettivo di qualsiasi business digitale. Nel regno digitale della comu-
nicazione scritta si condividono informazioni, si escogitano piani e si
creano alleanze. Tuttavia, in quanto mezzo di comunicazione guidato
Spear Phishing e payload 4
dall’uomo, la posta elettronica sarà sempre alimentata da una pervasiva
Attacco via WeTransfer 6 assunzione di fiducia che si pone come “anello debole” nella strategia
di sicurezza di un’organizzazione.
Malware nascosti in fatture false 7
Se questo presupposto di fiducia è fondamentale per la collaborazione
Rubrica comunale compromessa 7
e la crescita, significa che le e-mail, più di qualsiasi altra area aziendale,
Acquisizione dell’account della Supply Chain 8 rimarranno strutturalmente resistenti allo spirito moderno di “fiducia
zero”; pertanto, non c’è da meravigliarsi che il 94% delle minacce infor-
File dannoso nascosto nella pagina OneDrive 13
matiche abbia ancora origine dalla posta elettronica.
Social engineering e adescamento 14
Per minimizzare l’influenza della fallibilità umana in questa area,
Attacco di impersonificazione 16 il settore ha generalmente deciso di accogliere l’idea che sia neces-
sario fare affidamento sulla tecnologia per identificare quelle e-mail
Attacco spoofing “VP Finanza 17
dannose che anche i dipendenti più attenti e perfettamente formati
Credenziali del dipendente compromesse 18 non riuscirebbero ad individuare. Tuttavia, fino a poco tempo fa, le
difese tradizionali hanno avuto difficoltà a tenersi al passo con le
Login insolito in una banca panamense 20
innovazioni nel panorama delle minacce informatiche.
Tentativo di accesso dal Giappone rurale 20
In particolare spear phishing, attacchi di impersonificazione e acquisi-
Account Office 365 Compromissione e sabotaggio 21 zioni di account rimangono modalità di attacco con esito positivo da
parte di pirati informatici che hanno lo scopo di infiltrarsi con facilità
Attacco Brute Force automatizzato 21
all’interno di un’organizzazione. Attacchi con e-mail mirate di questo
tipo, insieme ai limiti delle difese tradizionali, rimangono una sfida
urgente per le organizzazioni, anche per quelle che vantano strategie
di sicurezza a più livelli ed evolute.
Peter Firstbrook, VP Analyst di Gartner, riepiloga correttamente le
dinamiche del mercato: “I controlli comuni, come antivirus standard,
che vantano una reputazione, anti-spam e basati su firma, sono adatti
ad attacchi diffusi e campagne truffa, ma non sono in grado di garan-
tire una protezione contro attacchi più mirati, sofisticati ed evoluti.
Mai come ora, la sicurezza delle e-mail moderne richiede innovazione
e un cambio di mentalità per combattere il panorama delle minacce
in continua evoluzione.”
1
IA di Darktrace: la piattaforma
del sistema immunitario
Grazie alla recente progressiva affermazione dell’IA su scala azien- Questa comprensione unica a livello aziendale sta consentendo
dale, questo “cambio di mentalità” si è finalmente concretizzato alle organizzazioni di neutralizzare attacchi più mirati come mai in
sotto forma di un approccio del “sistema immunitario” per la sicu- passato, poiché rimane l’unico approccio in grado di fornire prove
rezza delle e-mail. sufficienti per determinare con precisione se le sottili deviazioni in
e-mail mirate sono realmente pericolose.
Come suggerisce Firstbrook, le tradizionali difese per le e-mail
possono essere accettabili per minacce semplici e casuali, ma non Per la prima volta, le nostre difese per le e-mail sono in grado di
sono progettate per affrontare attacchi più evoluti che sono stati chiedere in maniera costruttiva se sia strano per un utente ricevere
personalizzati per destinatari e aziende specifici. una e-mail, data la conoscenza che il sistema ha del “pattern of life”
di questo dipendente, dei suoi colleghi e dell’intera organizzazione,
Gateway di posta elettronica e controlli nativi fanno affidamento su
non solo nelle e-mail, ma anche nel Cloud e nella rete aziendale.
regole codificate e sulla storicità degli attacchi per il rilevamento.
La loro portata è pertanto necessariamente confinata alle minacce Inoltre, è l’unico approccio in grado di aggiornare le proprie deci-
già note o che siano almeno abbastanza basilari da attivare una sioni e azioni in base a nuove prove, anche dopo che un’e-mail è
regola statica e binaria al confine. Tuttavia, come molti responsabili stata inviata, sia che tali prove si manifestino in una mail sia che si
aziendali possono affermare facendo riferimento alle loro esperienze manifestino in comportamenti dannosi che emergono nella rete.
negative, non è questa la sfida che stiamo affrontando.
Questo libro bianco è progettato per illustrare perché una compren-
Fortunatamente, la scienza rivoluzionaria emersa nella sicurezza sione unificata e personalizzata del traffico di rete, del Cloud e della
delle e-mail ha messo in evidenza un’importante distinzione tra posta elettronica rappresenta un cambiamento di paradigma nel
“l’approccio ordinario” di Firstbrook e la nuova applicazione di IA su mercato della sicurezza delle e-mail. Darktrace è il pioniere di questo
scala aziendale. Questa distinzione è stata paragonata alla diffe- approccio, con Antigena Email e la sua piattaforma Enterprise
renza tra lo “strato epidermico protettivo” di un’organizzazione e il Immune System. I casi di studio riportati di seguito fanno parte di
suo “sistema immunitario” di apprendimento per le minacce che una delle quattro categorie di attacco più sofisticate che bypassano
riescono a penetrare. sistematicamente lo “strato protettivo”, ma che l’IA di Darktrace ha
facilmente neutralizzato in pochi secondi:
Mentre lo strato protettivo conosce gli attacchi precedenti ed è
in grado di fermare le minacce ben note, il “sistema immunitario” Spear phishing e payload
conosce i “pattern of life” disarticolati che caratterizzano il flusso di
Acquisizione dell’account della Supply Chain
lavoro digitale di ogni dipendente. Cosa fondamentale, questi “pattern
of life” si manifestano non solo nel traffico e-mail, ma anche nel Social engineering e adescamento
traffico di rete e nel Cloud in un modo che può essere consolidato
Credenziali del dipendente compromesse
in un quadro completo e in continua evoluzione che rappresenta la
normalità per ogni utente.
2
WHITE PAPER
“Pattern of life”
del mittente
“Pattern of life” di “Pattern of life” del
un peer group destinatario
Percentuale
dell’anomalia
Web server Server
esterni interni
Figura 1: Antigena Email è l’unica soluzione che analizza le e-mail nel contesto dell’intera organizzazione, non solo i dati di posta elettronica.
La comprensione di tutto ciò che riguarda l’azienda consente di individuare e-mail dannose che eludono le difese tradizionali perimetrali.
3
Spear Phishing e payload
Molte campagne di phishing tentano di ingannare gli utenti inducendoli
a fare clic su link o allegati dannosi contenuti in un’e-mail, con l’obiettivo
Antigena Email è stato finale di raccogliere credenziali o distribuire malware distruttivi all’interno di
un’organizzazione. Questi attacchi possono essere lanciati come campagne
incredibilmente prezioso indiscriminate “incrociate” contro migliaia di organizzazioni o come attacchi
“spear phishing” creati appositamente e personalizzati per un particolare
nel rilevare minacce, grazie destinatario o attività.
alla sua comprensione del Come difesa contro le campagne di phishing, le difese tradizionali tipica-
“normale”, sia nel traffico mente analizzano le e-mail prendendo in considerazione la storicità degli
attacchi, le blacklist e le firme. Inoltre, i pirati informatici comprendono
di e-mail che in quello meglio di chiunque altro questo approccio reattivo e hanno tutto l’interesse
della rete. ad usare a proprio vantaggio nuove tattiche e tecniche che sfuggono ai
tradizionali metodi di difesa.
– Responsabile IT, Entegrus
Tuttavia, anche se questi attacchi non sono mai stati rilevati e pertanto
riusciranno ad eludere le difese tradizionali iniziali, ciò significa che ad un
certo livello di descrizione risulteranno estremamente anomali per l’utente o
1 e-mail su 99 è un attacco l’attività presi di mira, almeno se vengono presi in considerazione i “pattern
of life” per l’intero ambiente digitale. Questa verità basilare spiega perché sia
di phishing fondamentale colmare il divario tra lo strato esterno delle e-mail e l’intera
rete, proprio come fa la piattaforma Enterprise Immune System di Darktrace.
Grazie all’IA su scala aziendale, Antigena Email è in grado di analizzare link,
allegati, domini, contenuti e altri elementi di un’e-mail, insieme al “pattern
of life” nel Cloud e nella rete, correlando un’ampia gamma di punti di dati
che rivelano che e-mail apparentemente innocue sono in realtà inconfon-
dibilmente dannose.
Diversamente da qualsiasi altra soluzione, Antigena Email ed Enterprise
Immune System sono in grado di correlare il traffico in rete, nel Cloud e i
dati delle e-mail per identificare se i domini associati a payload e mittenti
sono anomali, se la sede di un link contenuto in un’e-mail è insolita, se gli
argomenti della discussione e i contenuti sono inusuali e anche se i pattern
nel percorso URL sono sospetti.
Fonte: Avanan Questo approccio fondamentale, unico nel suo genere, fa sì che il processo
decisionale di Darktrace sia estremamente più preciso di quello di qualsiasi
altro strumento, e per questo è in grado di intraprendere azioni altamente
proporzionate e mirate per neutralizzare attacchi di phishing su vasta scala.
dei malware odierni ha L’Enterprise Immune System ha anche la particolarità di essere in grado di
origine nella casella di rilevare un’infezione in qualsiasi ambiente ed eseguire automaticamente
un’analisi della causa principale per individuare se l’origine dell’infezione
posta in arrivo sia un’e-mail. Se è così, proteggerà istantaneamente tutti gli atri dipendenti
presi di mira dallo stesso attacco. Questa funzionalità è chiamata risposta
autonoma strategica, ovvero, grazie all’apprendimento dal “paziente zero”,
consente la protezione strategica del resto delle attività aziendali senza
l’intervento umano. Per quanto riguarda il team della sicurezza rimane solo
da ripulire il laptop della prima vittima, che è sicuramente più conveniente
che pulire 200 o più dispositivi.
4
WHITE PAPER
Figura 2: un’e-mail che convince un dipendente a fare clic su un allegato che contiene un payload dannoso e la corrispondente visualizzazione
nella user interface di Darktrace che mostra i tag di anomalie e le azioni intraprese.
5
Attacco via WeTransfer
Darktrace ha rilevato un attacco di phishing che aveva preso di
mira cinque utenti di alto profilo di un’organizzazione accademica
di Singapore, creato meticolosamente per ingannarli e indurli a fare
clic su un link dannoso.
Antigena Email ha assegnato a queste e-mail una percentuale di
anomalia del 100% ed è intervenuto “bloccandole”, impedendone
il recapito nella casella di posta in arrivo. Ha identificato anche gli
indicatori nascosti di un servizio di spoofing, nonostante l’organiz-
zazione avesse un rapporto noto con il mittente.
Figura 5: una scomposizione dei link mostrati nelle e-mail
b. Inoltre, poiché Darktrace modella costantemente il comportamento
“normale” di ogni mittente esterno, è riuscito a cogliere un’anomalia
fondamentale nel testo dell’e-mail: un link estremamente incoerente
con ciò che Darktrace ha rilevato in precedenza da WeTransfer,
consentendo ad Antigena Email di identificarlo come un payload
dannoso contenuto nell’e-mail.
Figura 3: La user interface mostra i model breach e le azioni
Figura 6: Antigena è stato in grado di determinare dove appariva il
1. Dai dati dell’intestazione, non c’erano segnali evidenti che questa
link all’interno dell’e-mail
e-mail avesse un’origine diversa da WeTransfer e al destinatario
sarebbe sembrata perfettamente normale. “Width” e “Depth” indicano
c. Al link in questione era stato assegnata una percentuale di
che l’indirizzo di questa e-mail ha comunicato con molte persone
anomalia pari al 96% ed era nascosto dietro pulsanti come
all’interno dell’organizzazione, per più giorni.
“fai clic qui” in numerose parti dell’e-mail, incluso un falso link
“https://wetransfer.com/…” (mostrato sotto) e i testi “Inquiry Sheet.
xls” e “Get Your Files”.
Questo attacco era completamente nuovo e aveva bypassato qual-
siasi altro strumento basato su firme utilizzato dall’università. Allo
Figura 4: i dati di connessione delle e-mail rilevanti stesso modo, poiché il link utilizzava un dominio completamente
sicuro e non portava ad alcun payload pericoloso, anche la rileva-
2. Tuttavia, Antigena Email è riuscito a cogliere una serie di sottili zione più euristica e il sandboxing avrebbero probabilmente fallito.
anomalie, grazie alla sua conoscenza del “normale” per l’utente e
per l’organizzazione, insieme ad un contesto aggiuntivo ricavato
dal livello di rete.
a. Primo, la “percentuale di anomalia dell’Indirizzo IP” era elevata
(63%). Questa metrica indica quanto insolito fosse per questo indi-
rizzo di posta elettronica inviare e-mail da questo indirizzo IP, dato lo
storico dei pattern di invio, ed è una tipica indicazione di uno spoof
o di un account rubato.
6
WHITE PAPER
Malware nascosti Rubrica comunale
in fatture false compromessa
Un importante studio legale era diventato uno dei principali obiettivi Un pirata informatico ha tentato di procurarsi la rubrica di una
di una campagna di phishing evoluta, che tentava di nascondere città degli Stati Uniti, lanciando un attacco ai destinatari in ordine
malware in grado di rubare credenziali all’interno di file ISO allegati a alfabetico, dalla A alla Z. Ogni e-mail è stata creata appositamente
fatture false. Le tradizionali difese per e-mail tipicamente inseriscono ed è stata personalizzata in base al destinatario e tutti i messaggi
i file ISO nell’elenco di quelli consentiti, mentre i sistemi operativi contenevano un payload dannoso nascosto dietro un pulsante,
montano automaticamente le relative immagini con un singolo clic, che era camuffato in vari modi come un link a Netflix, Amazon e
rendendoli pertanto estremamente appetibili per i pirati informatici. altri servizi affidabili.
Tuttavia, anche quando la percentuale delle e-mail illecite consente All’arrivo della prima e-mail, Darktrace ha immediatamente rico-
di passare le tradizionali difese per le e-mail, Darktrace ha ricono- nosciuto che né il destinatario né nessun altro nel suo gruppo di
sciuto la campagna rilevando un’ampia gamma di indicatori anomali. colleghi o del resto dello staff della città aveva mai visitato prima
Ad esempio, uno dei modelli IA attivato dalle e-mail è stato quel dominio. Il sistema inoltre ha riconosciuto che il modo in cui i
“Attachment/Unsolicited Anomalous MIME”, il che significa che il link erano nascosti dietro ogni pulsante era estremamente sospetto.
tipo MIME dell’allegato era estremamente insolito per l’utente e il Ha generato quindi un allarme di sicurezza elevata e ha suggerito
suo gruppo di colleghi e che il destinatario non aveva mai comuni- autonomamente di bloccare ogni link poiché era entrato nella rete.
cato con il mittente per richiedere il file.
È interessante notare il fatto che Antigena sia stato utilizzato in
Individuando la provenienza precisa della minaccia, Darktrace “modalità passiva”, grazie all’evidenza semplice e concreta della
agisce chirurgicamente per renderla innocua, anziché contras- capacità del sistema di sventare attacchi celati che altri strumenti
segnare semplicemente tutte le e-mail potenzialmente sospette non avrebbero rilevato: mentre Antigena ha individuato e cercato di
con avvisi generici che probabilmente sarebbero stati ignorati. neutralizzare la minaccia alla lettera “A”, gli strumenti esistenti del
Per contrastare i pericolosi file ISO, Darktrace ha convertito gli alle- team della sicurezza l’hanno individuata solo alla “R”. In “modalità
gati in innocui file PDF e ha spostato le e-mail nella cartella della attiva”, Antigena avrebbe neutralizzato l’attacco prima che potesse
posta indesiderata. Cosa fondamentale, una volta rilevata la prima raggiungere anche solo un utente.
e-mail della campagna, la tecnologia ha neutralizzato automatica-
mente altre 20 e-mail simili prima che potessero avere un impatto
negativo all’interno dell’azienda.
Figura 7: Intestazione delle e-mail dannose, che mostra l’azione Figura 8: Antigena Email mostra una percentuale di anomalia
suggerita dell’88%
7
Acquisizione dell’account della Supply Chain
Negli ultimi anni le perdite Rubando i dettagli dell’account di un contatto affidabile nella supply chain, i pirati
informatici possono guadagnarsi la fiducia di un destinatario nella rete e convin-
causate dall’acquisizione cerlo a fare clic su un link dannoso o trasferire milioni dal conto dell’azienda.
degli account sono più che Le difese delle e-mail esistenti presuppongono fiducia e questo significa che
sofisticate acquisizioni di account passino spesso completamente inosservate.
triplicate, raggiungendo la
Negli ultimi anni, gli account compromessi sono stati i responsabili di nume-
cifra di $ 5,1 miliardi rosi attacchi ad alto profilo che hanno colpito grandi organizzazioni. I pirati
informatici stanno utilizzando sempre più a proprio vantaggio le supply chain,
compresi fornitori, partner e appaltatori, nei loro attacchi, per infiltrarsi in un’or-
ganizzazione o stabilire comunicazioni offline. Nei primi mesi di quest’anno,
un rapporto relativo al cosiddetto “island hopping”, in cui i pirati provano ad
espandere una violazione all’interno di una supply chain, ha evidenziato che
questo metodo è responsabile della metà degli attacchi di oggi.
I pirati che hanno accesso totale all’account e-mail di un fornitore sono in grado
di studiare precedenti interazioni e-mail e produrre una risposta mirata all’ultimo
Fonte: Javelin messaggio. Il linguaggio che utilizzano appare spesso lecito, quindi gli stru-
menti di sicurezza e-mail obsoleti che cercano parole o frasi chiave indicative
di phishing non saranno in grado di rilevare questi attacchi.
Antigena Email è in grado di formulare un concetto completo di parole che
appartengono alla normalità di ogni utente interno, quindi indipendentemente
da quanto plausibile possa essere la fraseologia per molti osservatori, umani
o macchine, è in grado di identificare distribuzioni irregolari di parole e frasi.
Analizzando i pattern di comunicazione con l’intero contesto di tutto il traffico
di e-mail e della rete, Antigena Email utilizza una gamma di metriche per iden-
tificare con sicurezza casi di acquisizione di account, qualcosa impossibile
da rilevare senza una conoscenza dettagliata del comportamento “normale”
di tutto l’ambiente digitale.
La tecnologia identifica anomalie nell’argomento e nel contenuto di ogni
e-mail e analizza tutto ciò in relazione alla coerenza della sede di accesso,
di link e allegati e degli abituali destinatari visti in precedenza per quel mittente.
Antigena Email utilizza questa conoscenza multidimensionale per stimare la
probabilità che un’e-mail inviata da un mittente affidabile sia di fatto legittima.
Non presuppone l’affidabilità. In base alla gravità della minaccia, può attivare
una risposta appropriata, bloccando link e allegati o eliminando completamente
un’e-mail dalla casella di posta in arrivo di un dipendente.
8WHITE PAPER
Figura 9: Una risposta plausibile inviata dall’account compromesso di un fornitore di fiducia a seguito di un thread di corrispondenza e-mail. Il
link conteneva un payload dannoso.
9Attacchi consecutivi alla supply chain
Un cliente che stava testando Antigena Email ha registrato due incidenti
gravi in giorni consecutivi, in cui gli account e-mail di fornitori di fiducia
sono diventati la fonte di una campagna dannosa, molto probabilmente
dopo che questi account sono stati compromessi.
Antigena Email non era ancora stato configurato per agire autonoma-
mente e pertanto gli utenti sono stati completamente esposti al conte-
nuto delle e-mail. Tuttavia, in ogni caso Antigena Email ha comunicato
che avrebbe bloccato le e-mail e attivato il doppio blocco ai link payload,
mentre gli strumenti di sicurezza integrati di Microsoft non avevano rile-
vato nulla di sospetto e hanno lasciato passare tutto senza intervenire.
Incidente 1 – Società di consulenza
Nel primo caso, Antigena Email ha riconosciuto che il mittente
era perfettamente noto all’azienda e numerosi utenti interni erano
direttamente in contatto con lui in precedenza. Infatti, prima di
quel giorno uno di questi utenti era coinvolto in una normale corri-
Figura 11: E-mail inviate più tardi lo stesso giorno contenenti
spondenza con l’account che di lì a poco sarebbe stato rubato.
allegati dannosi
Il fornitore in questione era un’azienda di consulenza ambientale
con sede nel Regno Unito.
Meno di due ore dopo questo scambio di routine, sono state inviate
rapidamente delle e-mail a 39 utenti, ognuna delle quali conteneva
un link di phishing. C’era una variazione nella riga dell’oggetto e nei
link contenuti nelle e-mail, e ciò suggeriva che si trattasse di e-mail
altamente mirate da parte di un pirata ben preparato. Lo scopo di
questi link potrebbe essere stato quello di sollecitare pagamenti,
raccogliere password o distribuire malware.
Figura 10: Corrispondenza “normale” precedente con il mittente
con percentuale di anomalia allo 0%
10WHITE PAPER
Antigena Email ha identificato la gamma completa di segnali tipi- 4. Anomalia nell’argomento: le righe dell’oggetto di queste e-mail
camente associati all’acquisizione di account della supply chain. suggeriscono un tentativo di comunicare con un profilo basso e
professionale e pertanto qualsiasi tentativo basato su firma che
1. Sede di accesso insolita: Antigena Email ha determinato che le
prova a cercare parole chiave associate al phishing avrebbe fallito.
e-mail sono state inviate da un web server Outlook autentico. Questo
Tuttavia, Antigena Email ha riconosciuto che questi destinatari tipi-
elemento non era insolito per il fornitore, ma all’interno di questi dati
camente non ricevevano e-mail relative a proposte commerciali che
di connessione è stato possibile anche estrarre l’indirizzo IP geo-lo-
usavano questo genere di frasi.
calizzabile, che ha rivelato che il pirata ha avviato il suo accesso da
un IP negli Stati Uniti, a differenza della sede di accesso consueta
nel Regno Unito.
2. Incongruenza dei link: i link di phishing contenuti nelle e-mail erano
tutti ospitati sulla piattaforma di sviluppo Microsoft, probabilmente
Figura 13: Antigena Email ha rilevato rapidamente che questo
per aggirare le verifiche di reputazione sul dominio host. Nonostante gruppo di destinatari non era strettamente correlato
la legittimità ampiamente riconosciuta di azurewebsites.net nel web,
Antigena Email è stato in grado di rilevare che questo dominio era
estremamente incoerente per il mittente, sulla base della crono-
logia della corrispondenza passata. Il sottodominio insolito inoltre
comportava che l’hostname avesse una percentuale massima di
rarità nel contesto del traffico di rete dell’organizzazione. Poiché gli
altri prodotti di sicurezza per le e-mail non hanno il vantaggio che
fornisce questa intelligenza contestuale, non sarebbero stati asso-
lutamente in grado di giungere a questa conclusione.
3. Destinatari insoliti: viene assegnata una percentuale di “anomalia
di associazione” per stimare la probabilità che questo particolare
gruppo di destinatari possa ricevere un’e-mail dalla stessa fonte.
Aggiungendo il contesto alla propria indagine nel corso del tempo,
Antigena Email ha dedotto che questo gruppo di destinatari era
anomalo al 100% già fin dalla terza e-mail.
Figura 14: Visualizzazione di riepilogo della metrica Topic Anomaly
Figura 12: Metriche attivate dalla rarità e dall’incongruenza
dei link
11Incidente 2 – SaaS Provider compromesso
Un secondo attacco, avvenuto il giorno successivo, riguardava 3. Sebbene i link fossero incorporati nei “collegamenti sicuri” di
e-mail inviate a 55 utenti interni da un provider SaaS noto all’azienda. Microsoft ATP (il che significa che Microsoft avrebbe eseguito un
In assenza di qualsiasi azione da parte di Microsoft, più del 50% di controllo in tempo reale dei link qualora l’utente avesse fatto clic
queste e-mail è stato letto dai destinatari. Antigena Email ha indicato su di essi), i collegamenti agli endpoint effettivi del traffico di rete
che queste e-mail dovevano essere bloccate, evitando che finissero confermavano che le informazioni disponibili al momento portavano
nella casella di posta in arrivo. Microsoft a concludere che i link erano sicuri, esponendo così gli
utenti agli endpoint dannosi.
1. Come in precedenza, ogni e-mail inviata dall’account compromesso
conteneva un link di phishing dannoso. In questo caso però il link 4. Il link stesso era ospitato in una piattaforma di condivisione file
rimaneva attivo per un lungo periodo di tempo, consentendo una conosciuta, SharePoint. Visitando il link l’utente è stato portato ad
ricostruzione precisa dei problemi a cui sarebbero andati incontro un documento che si presentava come un rapporto sul mercato
gli utenti finali. dell’energia. Tuttavia, un pulsante che sollecita l’utente a scaricare
il file reindirizzava ad un’altra pagina web convincente, che è stata
2. Fortunatamente, grazie all’intelligenza condivisa di Antigena Email
creata per sollecitare l’indirizzo e-mail e la password dell’utente che
e dell’Enterprise Immune System di Darktrace nella rete, coloro che
venivano inviate direttamente al pirata informatico.
avevano interagito con le email sono stati facilmente rintracciabili
e gli account sono stati recuperati. Il sistema immunitario è stato
anche in grado di riconoscere che i dispositivi collegati alla rete fisica
erano in collegamento con l’host di phishing. Agendo in sincronia con
Antigena Email, l’Enterprise Immune System ha segnalato queste
interazioni nella rete con domini sospettati di phishing.
Figura 15: Schermata che mostra il link nascosto.
Figura 17: Le e-mail dell’incidente 2 così come appaiono nella
console di Antigena Email, incluse quelle in uscita, inviate
come risposta, rivelano che l’utente “corporate accounts” ha
riconosciuto l’e-mail aprendo un ticket.
Figura 16: Questo link porta ad un modulo che avrebbe raccolto
le credenziali dell’utente.
12WHITE PAPER
File dannoso nascosto nella pagina OneDrive
Un pirata informatico evoluto ha rubato l’account e-mail di un forni- 3. Come si può vedere, queste e-mail erano tutte etichettate con
tore di una grande catena di hotel, utilizzando l’account di fiducia per il modello “Behavioral Anomaly” e Antigena Email ha deciso che
inviare payload dannosi all’interno dell’organizzazione. Anche se il l’azione migliore da eseguire era bloccare questi messaggi e impe-
pirata è riuscito a eludere le difese aziendali esistenti, Antigena Email dire che arrivassero ai destinatari.
ha neutralizzato la minaccia in pochi secondi.
4. Antigena Email aveva identificato numerose deviazioni dal normale
1. L’analisi di un’e-mail precedente consente a Antigena Email di “pattern of life” del mittente esterno, inclusi “Paese di origine anomalo”
comprendere l’esistenza di una relazione tra i due mittenti. e “indirizzo IP fonte anomala”.
5. Il link dannoso contenuto nell’e-mail era inoltre ampiamente
incoerente con il “pattern of life” dell’azienda all’interno del traffico
di e-mail e di rete e pertanto è stato bloccato da Antigena Email.
Figura 20: il link malevolo identificato
Figura 18: Esempio di comunicazione precedente
6. Il link stesso era nascosto dietro il testo visualizzato “Retrieve
2. Un’e-mail successiva era stata contrassegnata come estrema- Message”’ e portava ad una pagina OneDrive. L’utilizzo di domini
mente anomala se confrontata con i pattern di comunicazione di archiviazione file per ospitare contenuti pericolosi è difficile da
precedenti del mittente. rilevare usando un approccio tradizionale, perché è impossibile
includere in una blacklist servizi come SharePoint e decidere se un
link come questo sia dannoso o sicuro richiede una comprensione
dell’e-mail nel contesto dell’intera organizzazione.
Figura 19: Un’e-mail successiva contrassegnata e tre model
breach associati
13Social engineering e adescamento
Gli attacchi di social engineering e adescamento riguardano tipicamente
sofisticati tentativi di impersonificazione, in cui i pirati nascosti dietro false
Erano installati sia Antigena identità chiedono urgentemente ad un destinatario di rispondere, ricevere
Email che gli strumenti di comunicazioni offline o eseguire transazioni offline. I loro obiettivi vanno
dalla truffa bancaria allo spionaggio aziendale, fino al furto di IP. Anche se
sicurezza legacy. Siamo rimasti le organizzazioni devono ovviamente investire in formazione sulla sicurezza
scioccati dalle cose che gli ed istruire i propri dipendenti a riconoscere i segnali di allarme, nessuna
mole di istruzioni è in grado di garantire un’immunità completa da questi
strumenti tradizionali non attacchi sempre più sofisticati.
hanno rilevato, contrariamente Mentre le tradizionali campagne di phishing generalmente includono
a quanto invece ha fatto payload dannosi nascosti dietro un link o un allegato, i tentativi di social
Antigena Email. engineering spesso coinvolgono l’invio di “e-mail sicure” che contengono
solo testo. Questi attacchi superano facilmente gli strumenti di sicurezza
– CTO, Bunim Murray Productions esistenti, che fanno affidamento sulla correlazione tra link ed allegati e
blacklist e firme. Inoltre, questo vettore di attacco generalmente coinvolge
domini “sosia” di nuova registrazione, che non solo ingannano il destinatario,
ma bypassano anche le difese tradizionali.
degli attacchi nelle caselle
Antigena Email ha una conoscenza unificata di cosa è “normale” all’interno
di posta in arrivo degli del traffico di e-mail e della rete che si evolve insieme all’azienda, consen-
utenti non contengono tendogli di rilevare anche i casi più nascosti di adescamento. Le e-mail
malware pulite che bypassano le difese tradizionali possono essere identificate in
pochi secondi grazie a una vasta gamma di metriche, incluse somiglianze
sospette con utenti noti, associazioni anomale tra i destinatari interni e
persino anomalie nel contenuto e nel soggetto delle e-mail.
Il più delle volte, gli attacchi di social engineering mirano a mettere immedia-
tamente offline la conversazione, il che significa che le misure di sicurezza
lente e reattive tenderanno ad intervenire solo dopo che il danno è stato
fatto. La sua efficace comprensione di ogni utente, dispositivo e relazione
all’interno dell’organizzazione consente ad Antigena Email di rispondere
proattivamente e con grande fiducia già la prima volta, intervenendo in
questa importante fase iniziale.
Antigena vanta anche la capacità unica di adattare in maniera intelligente
le risposte a minacce specifiche. È in grado di comprendere che l’elemento
“pericoloso” in un attacco di sollecitazione è spesso il contenuto stesso
dell’e-mail, pertanto il sistema impedirà la consegna anche prima ancora
che il destinatario possa assecondare la richiesta urgente del pirata.
14WHITE PAPER
Figura 21: Un pirata si finge un dirigente, tentando di sfruttare documenti sensibili. Notare l’indirizzo e-mail falsificato.
15Attacco di impersonificazione
Antigena Email ha rilevato un attacco mirato contro 30 dipendenti 3. Correlando diversi indicatori di debolezza, Antigena ha ricono-
di un’azienda tecnologica multinazionale. Era stata chiaramente sciuto queste e-mail come componenti di un unico attacco coordi-
eseguita una ricerca approfondita, poiché per ogni utente preso nato e le ha tenute in un buffer da sottoporre al controllo del team
di mira il pirata si era accuratamente spacciato per un dirigente della sicurezza dell’organizzazione.
di livello C con cui molto probabilmente era in contatto. Antigena
4. Antigena Email non ha solo identificato i tre dirigenti di livello
Email ha identificato l’attacco di social engineering e come risul-
C che erano stati impersonati, ma ha anche riconosciuto che il
tato ha bloccato tutte le e-mail prima che arrivassero ai destinatari.
pirata stava utilizzando uno spoof dell’indirizzo personale esterno
1. L’oggetto di ogni e-mail includeva il nome del dipendente a cui legittimo del CEO.
era destinata e proveniva da un indirizzo e-mail apparentemente
non correlato. Nonostante la mancanza di payload dannosi (come
link o allegati), Antigena Email ha comunque identificato le e-mail
come malevole.
2. Darktrace non ha solo identificato i tentativi di impersonificazione, Figura 23: I tre dirigenti di livello C identificati
riconoscendo la somiglianza del nome nel dominio, ma anche che
5. Inoltre, la percentuale di esposizione degli utenti impersonati
le e-mail avevano violato il modello “No Association”, indicando che
era elevato, indicando che si trattava di obiettivi ad alto profilo,
all’interno della sua intera conoscenza dell’ambiente delle e-mail e
ovvero una violazione del modello “Whale Spoof”. Comprendere che
della rete dell’azienda, non aveva individuato alcun segno di rela-
utenti interni chiave erano stati presi di mira ha consentito all’IA di
zione tra questo mittente e l’organizzazione.
Darktrace di dare priorità a questo attacco, avviando una risposta
proporzionata in tempo reale.
Figura 22: Una delle 30 e-mail, con una percentuale di anomalia
del 100%
16WHITE PAPER
Richiesta di pagamento al CEO Attacco spoofing “VP Finanza
Presso un distributore di energia elettrica, l’IA di Darktrace ha rile- Questo incidente riguardava l’impersonificazione di un VP della
vato un convincente tentativo di spoofing scoperto in un account Finanza presso una rinomata istituzione finanziaria. I pirati informa-
e-mail Office 365. L’e-mail, che in apparenza sembrava provenire dal tici avevano inviato all’organizzazione 11 e-mail simili, ma Antigena
CEO dell’azienda, era stata inviata ad un membro del dipartimento Email ha reagito bloccandole tutte, grazie alla sua conoscenza
payroll con la richiesta che tale dipendente aggiornasse le informa- multidimensionale del “normale” all’interno della rete, del Cloud e
zioni relative al deposito diretto del CEO. del traffico e-mail. Analizzando gli indirizzi e-mail non correlati e
chiaramente anomali, insieme al contenuto delle e-mail, Darktrace
Poiché l’e-mail imitava correttamente lo stile di scrittura tipico
ha riconosciuto questo tentativo di spoofing, mentre il gateway
del CEO, avrebbe potuto raggiungere facilmente l’obiettivo se l’IA
aziendale esistente aveva lasciato passare tutte le 11 e-mail.
di Darktrace non avesse analizzato il flusso di e-mail aziendali in
collegamento con il resto dell’azienda.
1. Imparando il normale “pattern of life” del dipendente, del CEO e
dell’intera organizzazione all’interno del cloud e del traffico di rete,
Darktrace ha segnalato immediatamente numerose sottili anomalie
nell’e-mail, incluso l’indirizzo falso del mittente.
Figura 25: Schermata di link sospetti di condivisione e-mail
Figura 24: Schermata di un’e-mail con impersonificazione del CEO
2. Insieme ad altri indicatori di debolezza, l’IA di Darktrace ha calco-
lato automaticamente la vicinanza anomala del dominio a quello
dei dipendenti interni e dei contatti affidabili.
3. L’IA ha risposto immediatamente, bloccando i link delle e-mail
e contrassegnandole chiaramente come un tentativo di spoofing
prima che potessero raggiungere il dipartimento payroll. L’ampia
conoscenza di Darktrace relativa al Cloud e al traffico di rete ha
consentito di neutralizzare una minaccia molto grave che gli altri
strumenti basati su firme non avrebbero rilevato.
Figura 26: Quattro delle 11 e-mail, con una percentuale di anomalia
elevata e l’azione di Antigena Email associata
17Credenziali del dipendente compromesse
La compromissione delle I responsabili aziendali considerano raramente quanto sia preziosa la casella
di posta elettronica aziendale fino a quando non finisce nelle mani sbagliate.
credenziali è aumentata del Una volta dentro, i pirati informatici possono scegliere tra un’ampia gamma
280% tra il 2016 e il 2019 di opzioni di attacco e punti su cui far leva. La facilità con cui i pirati possono
ottenere l’accesso, attraverso campagne di phishing, attacchi di forza bruta
o scambi nel Dark Web, dovrebbe essere motivo di allarme.
In molti casi, i pirati saccheggeranno la casella di posta per i preziosi dati in
essa contenuti. Informazioni personali da chat private e dettagli di fatturazione
possono essere sfruttati per frodi o ricatti, mentre vecchi thread possono
contenere informazioni aziendali estremamente riservate. Elenchi di clienti,
listini prezzi e perfino roadmap e dettagli IP possono essere spesso trovati
con una semplice ricerca.
In altri casi, i criminali useranno l’account come punto di lancio per le fasi
successive di un attacco. I pirati possono rimanere tranquillamente in disparte
per ricavare informazioni estremamente importanti su dirigenti o partner,
riesaminare documenti, leggere conversazioni e imparare come mimetizzarsi
quando colpiscono fatalmente. Come nelle acquisizioni degli account della
supply chain, la capacità di leggere un e-mail thread in corso e passare alla
fase successiva con una risposta plausibile è spesso il modo più efficace
per completare con successo un attacco senza destare sospetti.
Se le possibilità dei pirati sono praticamente infinite, le opzioni per chi si
difende sono limitate. Le acquisizioni di account aziendali sono tipicamente
monitorate utilizzando difese semplici e statiche, incluse regole di “comu-
nicazione impossibile” che raramente identificano i pirati che sanno come
nascondersi. Ma grazie alla sua visione estesa a tutta l’azienda, la piattaforma
Enterprise Immune System di Darktrace completa questi approcci basati su
regole individuando le minacce che riescono a bypassarli.
Imparando il normale “pattern of life” di ogni utente, l’Enterprise Immune
System individua le deviazioni più sottili che rivelano anche i pirati più attenti,
se queste deviazioni si manifestano in comportamenti di accesso sospetti,
creazione di regole per la posta in arrivo o modifiche ai permessi degli utenti.
Poiché le minacce informatiche si sviluppano e diventano più evolute, sfruttare
l’IA di auto-apprendimento all’interno di tutto il business digitale sarà l’unica
soluzione possibile per impedire che i pirati accedano alla casella di posta.
18WHITE PAPER
Figura 27: Una regola di elaborazione delle e-mail che viene impostata su un account compromesso e il Threat Visualizer che mostra le sedi
geografiche di accesso.
19Login insolito in una Tentativo di accesso dal
banca panamense Giappone rurale
Un account Office 365 è stato usato in un attacco Brute Force contro Presso un’azienda di servizi finanziari con sede in Europa, è stato
una nota banca di Panama, con accessi provenienti da un paese osservato l’accesso con credenziali di Office 365 da un indirizzo IP
che si discostava dal normale “pattern of life” operativo dell’azienda. insolito collegato ad un luogo nel Giappone rurale.
Darktrace ha identificato 885 accessi in un periodo di 7 giorni. Mentre Anche se l’accesso da sedi remote è possibile per un utente in
la maggioranza delle autenticazioni aveva origine da indirizzi IP di viaggio o che usa un servizio proxy, può anche essere una chiara
Panama, il 15% delle autenticazioni aveva origine da un indirizzo IP indicazione di credenziali compromesse e di un accesso malevolo
che era al 100% raro e con sede in India. Un’ulteriore analisi ha rive- da parte di un utente non autorizzato. Dato che il punto di accesso
lato che questo endpoint esterno era incluso in numerose blacklist di era sostanzialmente differente dai soliti IP di accesso, Darktrace
spam ed era stato recentemente associato ad un comportamento ha contrassegnato questa attività come anomala e ha immediata-
abusivo online, probabilmente un internet scanning non autorizzata mente suggerito un’ulteriore indagine.
o un tentativo di hacking.
Il team della sicurezza ha potuto bloccare da remoto l’account Office
365 e ripristinare le credenziali, evitando ulteriori attività da parte
del pirata informatico. Se questa attività non fosse stata notata,
il pirata informatico avrebbe potuto usare i suoi privilegi di accesso
per distribuire malware nell’organizzazione o sollecitare un paga-
mento fraudolento.
Figura 28: La user interface mostra le sedi di accesso
Figura 30: l’accesso dal Giappone violava numerosi modelli
Darktrace poi ha assistito a quello che sembrava essere un abuso
della funzione di ripristino della password poiché l’utente in India
modificava i privilegi di accesso in modo estremamente insolito.
Ciò che ha contraddistinto l’attività come particolarmente sospetta
è stato il fatto che dopo il ripristino della password, è stato rilevato
un tentativo di accesso non riuscito da un IP normalmente asso-
ciato all’organizzazione, suggerendo quindi che l’utente legittimo
era stato bloccato.
Figura 29: Attività associata all’account SaaS che evidenzia la
modifica delle credenziali
20Account Office 365 Attacco Brute Force
Compromissione e sabotaggio automatizzato
In un’organizzazione no profit internazionale, Darktrace ha rilevato Darktrace ha rilevato numerosi tentativi di accesso non riuscito su
l’acquisizione di un account in Office 365 che aveva bypassato la un account Office 365 utilizzando le stesse credenziali, ogni giorno
regola statica di Azure “comunicazione impossibile”. Anche se l’or- nel corso di una settimana. Ogni tranche di tentativi di accesso era
ganizzazione ha uffici in ogni angolo del mondo, l’IA di auto-appren- stata eseguita precisamente alle 18:04 per sei giorni. La coerenza
dimento di Darktrace ha identificato un accesso da un indirizzo IP sia dell’orario che del numero di tentativi di accesso era indicativa
storicamente insolito per quell’utente e il suo gruppo di colleghi e di un attacco Brute Force automatizzato, programmato per inter-
ha immediatamente avvisato il team della sicurezza. rompersi dopo un certo numero di tentativi non riusciti al fine di
evitare blocchi.
Darktrace ha poi segnalato che nell’account era stata impostata
una nuova regola di elaborazione delle e-mail, che eliminava le Darktrace ha considerato questo “pattern” di tentativi falliti estre-
e-mail in ingresso e quelle in uscita. Ciò indicava un chiaro segnale mamente anomalo ed ha perciò avvisato il team della sicurezza.
di compromissione e il team della sicurezza ha potuto bloccare Se Darktrace non avesse correlato questi deboli indicatori multipli
l’account prima che il pirata potesse fare danni. e non avesse elaborato i segnali sottili di una minaccia emergente,
questo attacco automatizzato avrebbe potuto continuare per setti-
Con l’attuazione di questa nuova regola per le e-mail, il pirata avrebbe
mane o mesi, facendo congetture studiate sulla password dell’utente
potuto avviare numerosi scambi con altri dipendenti dell’azienda,
sulla base di altre informazioni che aveva già acquisito.
senza che l’utente legittimo lo scoprisse. Si tratta di una strategia
comune usata dai pirati informatici che tentano di ottenere un
accesso continuo e sfruttare numerosi punti di appoggio all’interno
dell’organizzazione, potenzialmente in preparazione di un attacco
su larga scala.
Analizzando il raro indirizzo IP e correlandolo con il comportamento
anomalo del presunto utente, Darktrace ha identificato con sicu-
rezza che si trattava di un caso di acquisizione di account, evitando
problemi gravi all’azienda.
Figura 31: Grafico che mostra i tentativi di acceso ripetuti
21Informazioni su Darktrace Contatti
Darktrace è la principale azienda di cyber IA al mondo e ideatrice della tecnologia di risposta autonoma. Milano: +39 02 5821 5328
La sua IA auto-apprendente è modellata sul sistema immunitario umano e utilizzata da oltre 3.000
organizzazioni per proteggere dalle minacce al cloud, e-mail, IoT, network e sistemi industriali. Roma: +39 06 3671 2329
Europa: +44 (0) 1223 394 100
L’azienda ha oltre 1.000 dipendenti e sede a San Francisco e Cambridge, UK, con uffici a Milano e Roma.
Ogni 3 secondi, l’IA di Darktrace combatte contro una minaccia cyber, impedendole di causare danni. Nord America: +1 (415) 1223 394 100
info@darktrace.com | darktrace.com
@darktrace
Darktrace © Copyright 2020 Darktrace Limited. Tutti i diritti riservati. Darktrace è un marchio registrato di Darktrace Limited. L’Enterprise Immune System e il Threat
Visualizer sono marchi non registrati di Darktrace Limited. Altri marchi ivi inclusi sono di proprietà dei rispettivi titolari.Puoi anche leggere
