Tecnologia e competenza - Infrastruttura tecnologica e servizi di Threat Hunting, il nuovo paradigma della Cybersecurity - Exprivia
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Tecnologia e competenza Infrastruttura tecnologica e servizi di Threat Hunting, il nuovo paradigma della Cybersecurity Giovanni Giovannelli Senior Sales Engineer
Sophos Overview
• Leader nella Cybersecurity, fondata nel 1985
• 3.900 dipendenti
• Oltre 100 milioni di utenti in 150 paesi
• Acquisita da Thoma Bravo nel marzo 2020 per $4.1B
• Oltre $930M di fatturato nel FY21, con crescita a doppia cifra
YoY
• 500.000 clienti
• 69.000+ partner
• 12.500 partner MSP e 119.000 client MSP
• 75% del business è next-gen, con crescita del 42% YoY
• Uno dei fornitori di servizi MDR più grande e con maggiore Sophos Headquarters, Oxford, UK
velocità di crescita nel mondo (1M di device protetti da
MTR)
• Fatturato globale: 51% EMEA, 36% Americas, 13% APJ
2
The State of Ransomware 2021
• Il 37% delle organizzazioni colpito da ransomware lo scorso anno
• Il 54% sostiene che i cybercriminali sono riusciti a cifrare i dati
• Il 96% che hanno subito la cifratura è riuscito a recuperare i dati
• La somma media dei pagamenti di riscatto ammonta a 170.404
USD
• Il 65% dei dati cifrati è stato recuperate dopo il pagamento del
riscatto
• Il costo medio di remediation è pari a 1,85 milioni di USD
• Gli attacchi con tentativi di estorsione sono passati dal 3% al 7%
3
Estorsione e pubblicazione dei dati
4
TOOL USATI PER
L’ESFILTRAZIONE DEI DATI
• Total Commander
• Doppelpaymer
• REvil
• 7zip
• Clop • WinRAR
• Darkside • psftp
• Netwalker
• Ragnar Locker
• Windows cURL
• Conti
5
Per gli attacchi vengono usate diverse tattiche
Come è entrato il ransomware nell’azienda? # %
Download di file/email con link malevolo 741 29%
Attacco remoto su server 543 21%
Email con allegato infetto 401 16%
Configurazioni errate su istanze nei public cloud 233 9%
Attraverso Remote Desktop Protocol (RDP) 221 9%
Attraverso un fornitore 218 9%
Dispositivo esterno (p.es. USB) 172 7%
Altro 0 0%
Non so 9 0%
Totale 2,538 100%
Come ha fatto il ransomware a penetrare nella tua azienda? Domanda fatta a chi ha dichiarato che la propria azienda ha
subito un attacco ransomware nell’ultimo anno.
6
Le aziende mettono in campo soluzioni evolute
Endpoint
Protection
Email Network
Protection Protection
Mobile Server
Protection Protection
Cloud
Protection
8
La reazione ad un attacco è troppo lenta
Mancanza di consapevolezza = Mancanza di urgenza
Gli attacchi avvengono in orari notturni/giorni festivi
Staff sottodimensionato o senza specifiche competenze
Team impegnati su un numero elevato di alert
9
Avere visibilità massima
Capire la
superficie di
attacco
Determinare
Effettuare il
il punto di
backup dei
ingresso
dati
dell’attacco
Determinare
Raccogliere i
gli oggetti
log
persistenti
10In fuga solitaria o in compagnia?
34% 65%
Dice che la mancanza di personale Delle aziende già esternalizza alcuni/tutti gli
specializzato è il problema più grande aspetti della Sicurezza IT. È previsto che
questo valore cresca fino al 72% entro il
quando bisogna determinare la causa e
2022.
l’evoluzione di un attacco
ESG Cybersecurity: The Human Challenge
Sophos 2020 Survey su 5,000 IT Managers
11Human-led
Investigations
50%
Incident Servizi Threat
Delle aziende adotterà servizi MDR entro il Response Hunting
MDR
2025 (meno del 5% nel 2019).
Gartner Market Guide for
Managed Detection and Response Services*
Real-time
Monitoring
*26 Agosto 2020, Analisti: Toby Bussa, Kelly Kavanagh, Pete Shoard, John Collins, Craig Lawson, Mitchell Schneider 12Investire negli strumenti di investigazione
Andare a caccia di IoC e IoA
Aiutare gli analisti a localizzare gli asset compromessi
EDR
and
XDR
Aiutare a determinare la superficie di attacco
13Mind the Gap
The Gap
BUONO MALEVOLO
[Permettere] [Bloccare]
15SCENARIO 1 SCENARIO 2 SCENARIO 3
Detect Detect Detect
Gli strumenti rilevano un Gli strumenti rilevano un Gli strumenti NON rilevano un
attacco o un comportamento attacco o un comportamento attacco o un comportamento
sospetto sospetto sospetto
Respond Respond Respond
Gli strumenti conoscono Gli strumenti NON conoscono
abbastanza dell’attacco o del Non viene rilevato nulla quindi
abbastanza dell’attacco o del non c’è nessun piano di
comportamento per comportamento per fare
remediation automatica remediation
intraprendere azioni correttive
automatiche
Gli analisti devono investigare per Gli analisti che fanno threat
confermare che la segnalazione hunting scoprono un nuovo IoC
sia realmente malevola
Gli analisti devono investigare
Gli analisti determinano quale per confermare che il nuovo IoC
Qui la maggior
piano di risposta intraprendere sia realmente malevolo
parte dei Servizi
e lo eseguono
MDR si fermano
Le azioni correttive condotte Gli analisti determinano quale
dagli analisti vengono piano di risposta intraprendere
trasformate in playbook per e lo eseguono
futura automazione
Le azioni correttive condotte
dagli analisti vengono
trasformate in playbook per
futura automazione
16Ma esattamente cosa si intende
per Threat Hunting?“Automated” Threat Hunting
Lead-Driven Threat Hunting
+ +Lead-Less Threat Hunting
Servizio completamente gestito 24/7/365
di threat hunting, rilevazione e risposta
agli attacchi fornito da un team
specializzatoModalità di interazione
Puoi scegliere il modo con cui il Team
MTR si deve interfacciare con te
Notify Collaborate Authorize
Notifica le rilevazioni effettuate Lavora insieme al team Gestisce in autonomia le
e fornisce i dettagli per aiutarti interno o a consulenti esterni operazioni per la
a mitigare e rispondere per rispondere velocemente neutralizzazione dell’attacco
all’attacco ed efficacemente all’attacco e la messa in sicurezza
dell’infrastruttura e notifica
ciò che è stato effettuatoEsempio di report Settimanale
24Rapid Response
25Sophos
Rapid Response
Servizio lampo di assistenza in
presenza di attacchi, fornito da
un team di esperti globale in
grado di rispondere
adeguatamente agli incident
26Sophos Rapid Response
Risposta Remota agli Incident
Servizio 24/7
Contatto Dedicato
Servizio Esteso per 45 Giorni
Deployment Rapido
Passaggio a MTR Advanced
27ACE
Adaptive Cybersecurity Ecosystem
2829
30
Puoi anche leggere
