Cybersicurezza: le TTP che ogni professionista dovrebbe conoscere
Nella mente dei cybercriminali, per rimanere sempre un passo avanti
Quando acquisti tramite i link sul nostro sito, potremmo guadagnare una commissione di affiliazione.Ecco come funziona
Comprendere tattiche, tecniche e procedure (TTP) utilizzate dagli hacker permette ai responsabili della sicurezza informatica di rispondere meglio agli attacchi più sofisticati.
A fronte di uno scenario delle minacce sempre più complesso, complicato dalle evoluzioni dei malware, dalle campagne APT “nation-State” e da una criminalità as-a-service, le TTP rimangono un elemento critico per contrastare attivamente le violazioni alla sicurezza.
Motivazioni e obiettivi degli hacker
Conoscere le motivazioni che sono alla base di un attacco informatico contribuisce a migliorare notevolmente la capacità di proteggere efficacemente l’organizzazione. Scomporre il “chi”, il “perché” e il “come” dell’attacco può aiutare i difensori a realizzare un profilo degli aggressori, individuare i vantaggi che deriverebbero dal successo dell’attacco, il modo in cui verrebbero monetizzati questi vantaggi e la probabilità di un eventuale attacco successivo.
In base a motivazioni e capacità, sono sei le principali ragioni alla base dei cyberattacchi:
Come le TTP aiutano i difensori
Le TTP svolgono un ruolo essenziale per consentire ai difensori della sicurezza di contrastare efficacemente le minacce informatiche. Analizzando e comprendendo le TTP, i si ottengono informazioni preziose sui comportamenti e sulle metodologie utilizzate dagli avversari velocizzando il processo di identificazione dei potenziali attacchi, lo sviluppo di strategie di difesa proattive e l’implementazione di misure di sicurezza specifiche per i rischi aziendali e di settore.
Organizzazioni come ilNISTe ilMITREclassificano e catalogano i comportamenti degli attori delle minacce in tattiche, tecniche e procedure, note collettivamente come TTP:
La capacità diindividuare schemi e indicatori di compromissioneattraverso le TTP è fondamentale per aiutare i professionisti della sicurezza a rispondere prontamente alle minacce. È anche il fattore abilitante di miglioramenti critici necessari nelle policy e nei workflow che possono fermare minacce simili in futuro. Le TTP servono come base per l’intelligence delle minacce che porta a una migliore mitigazione del rischio e facilita un approccio più collettivo alla sicurezza informatica.
Sei un professionista? Iscriviti alla nostra Newsletter
Iscriviti alla newsletter di Techradar Pro per ricevere tutte le ultime notizie, opinioni, editoriali e guide per il successo della tua impresa!
Come funzionano le TTP negli attacchi del mondo reale
Sia la frequenza dei crimini informatici sia la loro costante evoluzione continuano ad aumentare a ritmi impressionanti. Questa sezione esplora alcune delle TTP più comuni utilizzate nelle campagne di minacce e come vengono sfruttate nel mondo reale.
Sfruttare le vulnerabilità
Gli aggressorisfruttano spesso le vulnerabilità notedi software e hardware per ottenere un accesso non autorizzato ai sistemi o per aumentare i privilegi. Allo sfruttamento delle vulnerabilità vengono associate diverse TTP, tra cui:
Living off the land
Il “Living off the land” (LotL) è una tattica attraverso la quale gli aggressori utilizzano strumenti e processi legittimi e già presenti sul sistema della vittima per portare a termine i loro attacchi, rendendo così più difficile il rilevamento delle attività sospette da parte delle soluzioni di sicurezza. Gli attaccanti sono noti per l’utilizzo di queste TTP per portare a termine un’operazione LotL di successo:
Movimenti laterali
Una volta che gli aggressori si sono insediati all’interno di una rete, spesso, utilizzano tecniche dimovimenti lateraliper spostarsi tra i sistemi e aumentare i propri privilegi. In tecniche come ilpass-the-hasho ilpass-the-ticket, un attaccante utilizza credenziali o token di autenticazione rubati per muoversi tra i sistemi.
Le seguenti TTP contribuiscono a questo modus operandi:
Esfiltrazione dei dati e copertura delle tracce
Dopo aver raggiunto i propri obiettivi, gli hacker spesso esfiltrano i dati rubati, utilizzando canali nascosti o comunicazioni criptate per evitare il rilevamento delle loro attività. Per eliminare le loro tracce gli aggressori ricorrono a una combinazione di queste TTP:
Misure proattive per i professionisti della sicurezza
Sebbene la comprensione delle TTP sia parte integrante per ottenere informazioni aggiuntive sulle minacce e per accrescere i meccanismi di difesa, da sola non è sufficiente. Le aziende devono anche applicare eccellenti protocolli di igiene informatica e rafforzare la loro strategia di sicurezza in modo olistico:
L’identificazione dei vettori di attacco e dei nuovi metodi è fondamentale per rimanere un passo avanti rispetto agli aggressori informatici. Esempi reali e recenti campagne APT hanno dimostrato come l’analisi delle TTP arricchisca le informazioni a disposizione dei professionisti della sicurezza.
Anche se gli attaccanti continueranno ad aggiornare metodi e processi, oggi, sono disponibili molti modi grazie ai quali le aziende possono mitigare il rischio e rafforzare le loro difese. Stabilire una strategia di risposta efficace e un monitoraggio continuo e approfondito può incrementare le difese del team interno di un’azienda con solide capacità di rilevamento e risposta.
Le aziende di tutto il mondo si sono già affidate allapiattaforma Singularity™di SentinelOne per risolvere proattivamente le minacce moderne a velocità macchina.
Google Cloud rende obbligatoria l’autenticazione a più fattori per tutti gli utenti
Google svela il processore Axion per i data center, ma non sarà mai in vendita
Pixel Phone, nuove risposte automatiche alle chiamate grazie all’AI Gemini di Google
