Come fare una domanda a un esperto di sicurezza

Il servizio Ask the Analyst di Kaspersky faciliterà l’accesso alle nostre risorse.

Spesso, i dipendenti dei centri operativi di sicurezza e dei dipartimenti di sicurezza delle informazioni si rivolgono agli specialisti di Kaspersky, per un aiuto da parte di esperti. Abbiamo analizzato i motivi più comuni di tali richieste e creato un servizio specializzato che permette ai clienti di porre direttamente una domanda a un esperto, nel settore di cui hanno bisogno.

Perché potreste aver bisogno dell’aiuto di un esperto

La minaccia dei cyberattacchi è in continua crescita dato che i criminali informatici trovano sempre più modi per raggiungere i loro obiettivi, scoprendo nuove vulnerabilità hardware e software nelle applicazioni, nei server, nei gateway VPN e nei sistemi operativi e trasformandole immediatamente in armi. Ogni giorno, emergono centinaia di migliaia di nuovi campioni di malware e, un’ampia varietà di organizzazioni, tra cui grandi aziende e persino agenzie governative, cadono preda di attacchi ransomware. Inoltre, si scoprono regolarmente nuove minacce sofisticate e campagne APT.

In questo contesto, la threat intelligence (TI) gioca un ruolo vitale.
La costruzione di un sistema di protezione adeguato è possibile solo con informazioni tempestive sui tool e le tattiche dei cybercriminali. Nel caso in cui si produca un incidente, è necessario condurre un’indagine efficace, individuare gli intrusi nella rete, mandarli via e determinare il vettore di attacco primario per evitare che si ripeta l’accaduto.

L’applicazione del TI in una organizzazione richiede la presenza di uno specialista interno qualificato che possa utilizzare i dati dei fornitori di TI. Questo esperto diventa, così, la risorsa più preziosa in qualsiasi indagine sulle minacce. Ciononostante è costoso assumere, formare e mantenere gli analisti di cybersecurity, e non tutte le aziende possono permettersi di mantenere un team di esperti.

Domande più frequenti

Diversi dipartimenti di Kaspersky aiutano i clienti ad affrontare gli incidenti informatici. Ad esempio, abbiamo il Global Research & Analysis Team (GReAT), il Global Emergency Response Team (GERT) e il Kaspersky Threat Research Team. Siamo riusciti a riunire più di 250 analisti ed esperti a livello mondiale. I team ricevono regolarmente molte richieste dei clienti riguardanti le minacce informatiche e, dopo aver analizzato le richieste recenti, abbiamo identificato le seguenti categorie.

Analisi di malware o software sospetti

Uno scenario che incontriamo abbastanza frequentemente riguarda il trigger della logica di rilevamento nella sicurezza degli endpoint o nelle regole di threat hunting. Il servizio di sicurezza o il SOC dell’azienda indaga sulla minaccia, trova un oggetto dannoso o sospetto. Tuttavia, non ha le risorse per condurre uno studio dettagliato, perciò l’azienda chiede ai nostri esperti di determinare la funzionalità dell’oggetto rilevato, quanto sia pericoloso e come assicurarsi che l’incidente venga risolto dopo la sua rimozione.

I nostri esperti rispondono immediatamente, se sono in grado di identificare ciò che ha inviato il cliente (abbiamo una gigantesca base di risorse dei tool tipici usati dai cybercriminali e più di un miliardo di campioni unici di malware). Altrimenti, se devono indagare, come nei casi complessi, potrebbe richiedere un po’ di tempo.

Ulteriori informazioni sugli indicatori di compromissione

La maggior parte delle aziende utilizza una varietà di fonti per gli indicatori di compromissione (IoC). Il valore degli IoC risiede in gran parte nella disponibilità del contesto, cioè, nelle informazioni aggiuntive sull’indicatore e il suo significato. Tale contesto, tuttavia, non è sempre disponibile. Così, avendo rilevato un certo IoC, ad esempio, nel sistema SIEM, gli analisti del SOC potrebbero vedere la presenza di un trigger e rendersi conto che si potrebbe creare un incidente, ma che mancano le informazioni per indagare ulteriormente.

In questi casi, possono inviarci una richiesta per fornire informazioni sull’IoC rilevato, e in molti casi tali IoC si rivelano interessanti. Per esempio, una volta abbiamo ricevuto un indirizzo IP che è stato trovato nel feed del traffico di un’azienda (cioè, era riuscito ad accedere alla rete aziendale). Tra le cose presenti nell’indirizzo c’era un server di gestione del software chiamato Cobalt Strike, un potente strumento di amministrazione remota (una backdoor), che utilizzano tutti i tipi di criminali informatici. Il suo rilevamento significa quasi certamente che l’azienda è già sotto attacco (reale o di formazione). I nostri esperti hanno fornito ulteriori informazioni sullo strumento e hanno raccomandato di avviare immediatamente l’incident response (IR) per neutralizzare la minaccia e determinare la causa principale della compromissione.

Richiesta di dati su tattiche, tecniche e procedure

Gli IoC non sono affatto tutto ciò di cui ha bisogno un’azienda per fermare un attacco o indagare su un incidente. Una volta che il gruppo di criminali informatici dietro l’attacco è stato determinato, gli analisti del SOC in genere richiedono dati sulle tattiche, tecniche e procedure (TTP) del gruppo; hanno bisogno di descrizioni dettagliate del modus operandi del gruppo per aiutare a determinare dove e come gli aggressori potrebbero essere penetrati nell’infrastruttura, le informazioni sui metodi che i cybercriminali utilizzano di solito per radicarsi nella rete, così come su come esfiltrare i dati. Forniamo queste informazioni come parte del nostro servizio Threat Intelligence Reporting.

I metodi dei criminali informatici, anche all’interno dello stesso gruppo, possono essere molto diversi e non è possibile descrivere tutti i dettagli possibili, anche in un report altamente dettagliato. Pertanto, i clienti TI che utilizzano i nostri report sulle minacce APT e crimeware a volte ci richiedono informazioni aggiuntive su un particolare aspetto di una tecnica di attacco in un contesto specifico di rilevanza per il cliente.

Abbiamo fornito questo tipo di risposte, e molte altre, attraverso servizi speciali o nel quadro limitato del supporto tecnico. Tuttavia, osservando un aumento del numero di richieste e comprendendo il valore dell’esperienza e della conoscenza delle nostre unità di ricerca, abbiamo deciso di lanciare un servizio dedicato chiamato Kaspersky Ask the Analyst, offrendo un accesso rapido ai nostri consigli di esperti attraverso un unico punto di riferimento.

Kaspersky Ask the Analyst

Il nostro nuovo servizio permette ai rappresentanti dei clienti (principalmente analisti SOC e dipendenti infosec) di ottenere consigli dagli esperti di Kaspersky, riducendo così i loro costi di indagine. Comprendiamo l’importanza della tempestività delle informazioni sulle minacce; pertanto, abbiamo uno SLA in vigore per tutti i tipi di richieste. Con Kaspersky Ask the Analyst, gli specialisti di infosec possono:

  • Ricevere dati aggiuntivi dai report di Kaspersky Threat Intelligence, inclusi IoC estesi e contesto analitico da GReAT e dal Kaspersky Threat Research Team. In base alla vostra situazione specifica, discuteranno eventuali connessioni tra gli indicatori rilevati nella vostra azienda e l’attività descritta nei report;
  • Ottenere un’analisi dettagliata del comportamento dei campioni identificati, determinare il loro scopo e ottenere raccomandazioni per mitigare le conseguenze dell’attacco. Gli esperti di risposta agli incidenti del Kaspersky Global Emergency Response Team vi aiuteranno in questo compito;
  • Ottenere una descrizione di una specifica famiglia di malware (ad esempio, un particolare tipo di ransomware) e consigli su come proteggersi, oltre a un contesto aggiuntivo per specifici IoC (hash, URL, indirizzi IP) per aiutare a dare priorità agli avvisi o agli incidenti che li riguardano. Gli esperti di Kaspersky Threat Research forniscono queste informazioni;
  • Ricevere una descrizione delle vulnerabilità specifiche e dei loro livelli di gravità, nonché informazioni su come i prodotti Kaspersky si proteggono dallo sfruttamento. Anche gli esperti di Kaspersky Threat Research forniscono questi dati;
  • Richiedere un’indagine individuale (ricerca) dei dati del dark web. Questo fornirà informazioni preziose sulle minacce rilevanti, che a loro volta suggeriscono misure efficaci per prevenire o mitigare i cyberattacchi. Gli esperti di Kaspersky Security Services eseguono l’indagine.

Troverete maggiori informazioni su questi servizi sul nostro sito web.

Consigli