TECHTARGET

Difesa dalle minacce zero-day in 3 passaggi

Mantenere una visibilità completa della rete, tenere le orecchie aperte e avere un piano di gestione delle patch. Questi, secondo gli esperti, i tre passaggi per evitare che un attacco zero-day abbatta le reti e causi danni catastrofici

Pubblicato il 17 Ago 2021

5591

Le nuove minacce informatiche si nascondono dietro ogni angolo, come ci ricorda il recente hack zero-Day di Microsoft Exchange. Per la loro natura, negli attacchi zero-day i cybercriminali partono in vantaggio, visto che possono studiare la situazione e prendere di mira i sistemi che ritengono più vulnerabili.

Il rapporto Clusit 2020 ci ricorda che l’utilizzo di vulnerabilità zero-day è in aumento (+16,7% rispetto all’anno precedente), per quanto il dato, notano gli esperti, sia ricavato da incidenti di dominio pubblico e sia quindi probabilmente sottostimato.

Tuttavia, gli attacchi di questo tipo possono essere prevenuti con delle buone contromisure. Quali lo diciamo in questo articolo. Provando a mettere in fila quelli che gli esperti indicano essere i tre passaggi base di una buona prevenzione.

Mantenene una visibilità completa della rete

La difesa dalle minacce zero-day richiede una visibilità completa della rete. Gli ambienti dinamici odierni offrono agli aggressori molte opportunità di intrufolarsi inosservati. Per questo, è fondamentale capire dove si trovano tutti gli asset e come funzionano normalmente per riconoscere l’attività anomala che può indicare le prime fasi di un attacco. Il monitoraggio continuo di endpoint, ambienti SaaS e cloud e Web App personalizzate può fornire la visibilità necessaria a identificare potenziali vulnerabilità e minacce. Spesso, gli aggressori scommettono sul fatto che le risorse per raggiungere il massimo livello di visibilità non siano state impiegate. L’attività di detection può anche essere distribuita lungo la catena di neutralizzazione degli attacchi.

Aprire bene le orecchie

Proprio come i detective esperti tengono le orecchie aperte per raccogliere informazioni, gli amministratori della sicurezza dovrebbero sintonizzarsi sulle “chiacchiere” attorno all’evoluzione delle minacce informatiche. Il ritmo degli attacchi è incessante, ma il flusso delle notizie non si ferma mai e garantisce informazioni prontamente disponibili su nuove vulnerabilità, minacce in via di sviluppo e violazioni. Tenere il passo con tutto può essere scoraggiante, ma ci sono alcune strategie per filtrare il rumore e ottenere le informazioni che servono.

Controllare gli alert di vulnerabilità e le notizie in rete è una buona abitudine. Siti come SANS Internet Storm Center, SecLists.org e il National Vulnerability Database forniscono avvisi e discussioni su vulnerabilità, tecniche di sfruttamento e anche alcuni pettegolezzi del settore (a volte anche questi tornano utili). Capita spesso che in tali forum vengano discussi i primi indizi di una nuova minaccia e dei suoi obiettivi. Queste conversazioni possono aiutare i team di sicurezza a difendere le parti vulnerabili prima ancora che la minaccia sia nota a tutti.

Utilizzare i social media per seguire gli addetti alla sicurezza e gli argomenti relativi alla cybersecurity è un altro modo per rimanere informati. Ad esempio, su Twitter è facile seguire le discussioni in tempo reale, grazie agli hashtag per gli argomenti di tendenza. E si possono creare anche i propri feed su argomenti particolari.

Avere un piano di gestione delle patch

È importante avere un piano di gestione delle patch e una figura di coordinamento tra i team di sviluppo e di sicurezza. Ciò consentirà l’applicazione rapida di patch ai sistemi critici una volta che i fornitori rilasceranno le correzioni per la vulnerabilità riscontrata.

La gestione delle patch è un processo con cui molte organizzazioni hanno difficoltà. Questo perché l’applicazione di patch in ambienti moderni complessi a volte può avere effetti indesiderati, come rallentare l’hardware, disabilitare i sistemi o ostacolare le operazioni aziendali. Le patch possono anche richiedere molto tempo e risorse perché, dopo averle testate e distribuite, occorre riavviare i sistemi per completare l’implementazione.

Una gestione automatizzata delle patch può alleviare questi problemi. Ci sono prodotti di gestione automatizzata che scaricano patch dai fornitori, scansionano l’ambiente alla ricerca di patch mancanti, testano le modifiche introdotte dalla patch, le distribuiscono automaticamente e segnalano lo stato del processo di gestione.

Attenzione: la gestione delle patch non può prevenire gli attacchi zero-day, ma può ridurre l’esposizione ad essi. I fornitori di software possono rilasciare una patch per una grave vulnerabilità entro poche ore o giorni dalla sua pubblicazione. Un efficace piano di gestione delle patch aiuterà i team di sicurezza a distribuire le patch prima che gli aggressori possano sfruttare la vulnerabilità e compromettere i sistemi.

Collaborare con un managed detection and response provider

In genere, solo le grandi aziende dispongono delle risorse interne necessarie per allestire una difesa efficace contro le minacce zero-day. Le piccole e medie imprese mancano del personale, degli strumenti e delle competenze per mantenere sempre attive le contromisure di cui abbiamo parlato. Per tali organizzazioni, può avere senso collaborare con un provider MDR, managed detection and response.

L’attività MDR può aiutare a proteggere dagli attacchi zero-day perché cura la visibilità profonda e il monitoraggio 24 ore su 24, 7 giorni su 7, cioè quello di cui le organizzazioni hanno bisogno per identificare eventi non autorizzati che si verificano ovunque nel loro ambiente. Un provider MDR è informato di continuo su minacce e vulnerabilità riguardanti la rete, gli endpoint, i server e l’ambiente cloud di un’organizzazione. Quando viene rilevata una minaccia, l’MDR fornisce anche al cliente le competenze guidate e l’intermediazione umana necessarie per indagare e rimediare.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati