La piattaforma KATA: protezione avanzata dagli attacchi mirati

In che modo le aziende si proteggono dalle minacce APT?

Con l'acronimo APT (Advanced Persistent Threat; minacce avanzate persistenti) si indicano sofisticate campagne malware, mirate, a lungo termine e solitamente molto ben preparate, specificamente progettate per eludere la protezione di tipo single-layer.

Lo scopo principale di una soluzione Anti-APT/Anti-Targeted Attack è quello di far aumentare in modo considerevole i costi da sostenere per organizzare e condurre simili attacchi, al punto che tale esercizio malevolo non risulterà più, di fatto, praticabile o redditizio. Questo obiettivo viene raggiunto attraverso l'applicazione di numerose tecniche: più livelli di rilevamento si possono implementare e più punti di ingresso potenziali di un attacco vengono supervisionati, maggiore è la probabilità che un attacco venga scoperto, indipendentemente dal tempo e dal denaro di cui dispone il suo autore.

La piattaforma KATA, capace di combinare perfettamente i prodotti Kaspersky Anti Targeted Attack e Kaspersky EDR, rappresenta un chiaro esempio di tale genere di soluzione Enterprise. Gli avanzati livelli tecnologici di cui dispone comprendono:

Analisi del traffico di rete. Questo modulo offre sofisticate funzionalità di analisi comportamentale. Traffico e oggetti vengono analizzati mediante l'impiego della tecnologia IDS e tramite l'apposito sistema di reputazione degli URL:

• Il sistema di rilevamento delle intrusioni combina il rilevamento delle minacce di tipo tradizionale con quello avanzato: si basa su un insieme univoco di regole IDS per l'analisi del traffico, specificamente orientate agli attacchi mirati. I set di regole IDS vengono aggiornati automaticamente, in modo tempestivo.
• •Analisi della reputazione degli URL. Gli URL sospetti o indesiderati vengono rilevati in base alle informazioni reputazionali rese disponibili attraverso l'infrastruttura globale cloud-based Kaspersky Security Network (KSN): tali dati comprendono ugualmente informazioni sugli URL e sui domini collegati alla conduzione di attacchi mirati.

Sandbox. La sandbox esegue gli oggetti sospetti sulle proprie macchine virtuali, al fine di rilevare le attività dannose in corso. Più precisamente, la sandbox riceve determinati task volti all'esecuzione dei sample, comprendenti parametri di virtualizzazione basati sull'origine dell'oggetto sottoposto ad analisi e lo scopo della valutazione effettuata (ad es. tipo di sistema operativo, configurazione dello stesso, ambiente, parametri di avvio del sample, durata dell'esecuzione). Durante l'esecuzione del sample, la sandbox raccoglie i seguenti elementi:

• log relativi al comportamento del sample (compreso l'elenco delle chiamate delle funzioni di sistema, l'iterazione con altri processi e file, attività di rete, URL, ecc.)
• dump
• oggetti eseguiti
• traffico generato dal sample

Una volta completata l'esecuzione, gli artefatti acquisiti vengono in primo luogo archiviati, per poi essere elaborati tramite uno scanner dedicato. Se il sample viene classificato come dannoso, verrà attribuito il relativo verdetto e i risultati saranno mappati sulla Knowledge Base MITRE ATT&CK. Tutti i dati raccolti vengono archiviati internamente, per consentire l'esecuzione di ulteriori analisi riguardo alle tattiche e alle tecniche utilizzate dall'avversario, senza che si riveli necessario effettuare richieste aggiuntive a livello di sandbox: in tal modo si ottiene un significativo risparmio in termini di risorse del server.

L'elevata efficienza del sistema di rilevamento basato sui comportamenti è assicurata dall'impiego di una serie completa di avanzate funzionalità, quali la randomizzazione dell'ambiente del sistema operativo, l'accelerazione del tempo di esecuzione nelle macchine virtuali, le tecniche antievasione, la simulazione dell'attività dell'utente, ecc. La sandbox si avvale di numerose tecnologie brevettate e si può utilizzare sia in modalità automatica che manuale.

Kaspersky Security Network (KSN) è un'infrastruttura cloud globale: rende disponibili i verdetti in termini di reputazione e altre informazioni riguardanti gli oggetti elaborati dalla piattaforma KATA (file, domini, URL, indirizzi IP e molto altro ancora). La soluzione KSN fornisce anche efficaci funzionalità di rilevamento mediante l'utilizzo di appositi modelli cloud di machine learning (ML), come Cloud ML for Android: i metadati del file APK locale vengono raccolti dalla piattaforma e successivamente inviati alla rete KSN, che risponde con un verdetto creato dal modello basato su ML. Per le organizzazioni che non sono in grado di inviare i propri dati al cloud KSN globale, ma che desiderano comunque beneficiare del reputation database globale di Kaspersky, risulta disponibile Kaspersky Private Security Network (KPSN) iuna soluzione privata cloud-based. Viene in primo luogo garantito l'accesso privato al nostro database globale di Threat Intelligence; inoltre, i verdetti ottenuti grazie alla piattaforma KATA vengono archiviati su un database KPSN locale e automaticamente condivisi con altri prodotti Kaspersky distribuiti all'interno dell'infrastruttura aziendale preposta alle attività di incident response automatizzate. Tramite un'API, le organizzazioni che implementano la soluzione KPSN possono beneficiare, senza step intermedi, delle informazioni reputazionali fornite da sistemi esterni di terze parti.

Targeted Attack Analyzer (TAA) è in grado di rilevare azioni sospette grazie all'impiego di funzionalità euristiche avanzate in relazione alle eventuali anomalie; fornisce in tal modo efficaci funzionalità automatizzate di threat hunting in tempo reale. Supporta l'analisi automatica degli eventi e la loro correlazione con un set unico di Indicatori di Attacco (IoA) generati dai Threat Hunter di Kaspersky. Ogni volta che il TAA rileva una significativa anomalia, lo specialista della sicurezza IT ottiene una descrizione scritta della stessa, al pari di utili raccomandazioni (ad esempio come ridurre il rischio di una reiterazione dell'evento scoperto) e specifiche indicazioni sul livello di affidabilità del verdetto e sulla gravità dell'evento, elementi di primaria importanza in relazione al ranking assegnato. Tutti gli IoA risultano mappati sul MITRE ATT&CK, al fine di fornire informazioni particolarmente dettagliate, come ad esempio la tecnica ATT&CK utilizzata, descrizioni e le relative strategie di mitigazione. Ciò significa che è possibile beneficiare automaticamente di una ricerca sulle minacce di elevato livello qualitativo, senza sovraccaricare gli esperti interni altamente qualificati, che potranno dedicare il loro tempo ad altri task complessi, quali impegnative attività di incident investigation e threat hunting. È inoltre possibile creare un database di IoA personalizzati, particolarmente adatto per le specifiche peculiarità della propria infrastruttura IT o per il settore in cui opera l'azienda.

Avanzato motore anti-malware. Operando su un nodo centrale, con impostazioni più "aggressive" rispetto a quelle abilitate a livello di configurazione dell'endpoint, il motore esegue la scansione degli oggetti alla ricerca di codice malevolo o potenzialmente pericoloso, inviando poi alla sandbox gli oggetti con contenuti potenzialmente dannosi. Ciò si traduce in azioni di rilevamento estremamente accurate, che possono rivelarsi di notevole valore durante la fase di incident investigation.

Scansione IoC. La piattaforma KATA consente di effettuare il caricamento centralizzato degli IoC da fonti di dati sulle minacce e supporta la scansione IoC pianificata in modo automatico, semplificando il lavoro degli analisti. Si possono inoltre utilizzare le scansioni del database retrospettivo per migliorare la qualità delle informazioni su eventi e incidenti di sicurezza segnalati in precedenza.

Verifica dei certificati. Il modulo Certcheck verifica la validità dei certificati firmati e la presenza di certificati sospetti.

I servizi offerti dalla piattaforma KATA agli esperti di sicurezza IT comprendono anche:

Rilevamento con regole YARA.. YARA è uno degli strumenti utilizzati più di frequente per individuare nuove varianti di malware. Supporta complesse regole di matching, per ricercare file con caratteristiche e metadati specifici, ad esempio stringhe che caratterizzano lo stile di un particolare programmatore. È possibile creare e caricare regole YARA personalizzate, allo scopo di analizzare gli oggetti in cerca di minacce specifiche per una determinata organizzazione.

Analisi retrospettiva. L'automatizzazione della raccolta di dati, oggetti e verdetti, e la rispettiva archiviazione centralizzata, consentono di condurre analisi retrospettive durante le indagini effettuate su attacchi multilivello, anche in situazioni in cui gli endpoint compromessi risultano inaccessibili, oppure quando i dati sono stati crittografati dai cybercriminali. Inoltre, i file salvati da posta e traffico web possono essere periodicamente sottoposti a nuova scansione, in modo automatico, applicando le regole di rilevamento aggiornate più di recente.

Generatore di query flessibile e potente per il threat hunting proattivo. Gli analisti hanno la possibilità di creare query complesse, volte alla ricerca di comportamenti atipici, eventi sospetti e minacce specifiche per una determinata infrastruttura, al fine di ottenere un rilevamento ancor più tempestivo delle attività svolte dal cybercrimine.

Accesso al portale Kaspersky Threat Intelligence. Le query manuali sulle minacce, effettuate attraverso la nostra knowledge base di Threat Intelligence, offrono agli analisti della sicurezza IT un contesto aggiuntivo per il threat hunting e rendono ancor più efficaci le attività di investigation.

La piattaforma KATA aggrega i dati per l'analisi provenienti da varie fonti:

Un sensore di rete riceve copie di tutti i dati inerenti al traffico: da questi ultimi recupera poi oggetti e metadati di rete per la conduzione di ulteriori analisi. I sensori di rete rilevano le attività che si svolgono in più aree dell'ambiente IT, consentendo il rilevamento "quasi in tempo reale" di minacce complesse negli ambienti proxy, web ed e-mail:

• Il sensore di rete è in grado di estrarre informazioni su origine, destinazione, volume dei dati e sulla periodicità del traffico di rete (anche quando il file è crittografato). Tali informazioni risultano in genere sufficienti per prendere decisioni in merito al livello di sospetto da applicare, e per rilevare potenziali attacchi. Sono supportati i protocolli SMTP, POP3, POP3S, HTTP, HTTPS, ICAP, FTP e DNS.
• Il sensore di rete è in grado di intercettare il traffico web e gestire gli oggetti trasmessi da HTTPS mediante l'apposita integrazione con il server proxy, tramite protocollo ICAP.
• Il sensore e-mail supporta l'integrazione con i mail server, tramite connessione POP3 e SMTP alla casella di posta specificata. Il sensore si può configurare per monitorare qualsiasi set di caselle di posta.

Oltre all'analisi completa del traffico di rete, la piattaforma può fornire una risposta automatizzata alle minacce complesse a livello di gateway, utilizzando Kaspersky Secure Mail Gateway e Kaspersky Web Traffic Security come sensori di rete completi, atti a servire la piattaforma KATA.

Gli endpoint sensor (Kaspersky EDR) raccolgono l'insieme dei dati necessari provenienti dagli endpoint dell'intera infrastruttura IT. L'agente distribuito sugli endpoint monitora costantemente processi, interazioni, connessioni di rete aperte, stato del sistema operativo, modifiche ai file, ecc. In seguito vengono inviati alla piattaforma KATA i dati raccolti e le informazioni relative al rilevamento di eventi sospetti, per la conduzione di ulteriori studi e analisi, nonché per un utile confronto con eventi rilevati in altri flussi di informazioni.

TLa piattaforma KATA all'opera

Implementando le tecnologie sopra elencate nell'ambito di un'architettura server unificata e tramite una gestione centralizzata, la piattaforma KATA protegge i potenziali punti di ingresso delle minacce a livello di rete e di endpoint, compresi server web e mail server, PC, laptop, server e macchine virtuali, fornendo dettagliati insight su cosa sta avvenendo nell'intera infrastruttura IT dell'organizzazione. KATA offre agli esperti di sicurezza IT un toolkit completo per la discovery multilivello delle minacce, un'investigation approfondita, un threat hunting proattivo e un incident response centralizzata per attacchi complessi.

La piattaforma KATA si integra perfettamente con Kaspersky Endpoint Security for Business, assicurando una protezione endpoint che include il blocco automatico delle minacce ed efficaci attività di risposta agli incidenti complessi. Si integra alla perfezione anche con Kaspersky Security Mail Gateway e Kaspersky Web Traffic Security, per bloccare le minacce diffuse attraverso le e-mail e gli attacchi web-based, e fornire una risposta automatizzata persino alle minacce più complesse. Questa soluzione all-in-one riduce in modo significativo il tempo e gli sforzi che i team di sicurezza IT debbono dedicare alla protezione dalle minacce avanzate, grazie all'automatizzazione ottimale delle azioni difensive condotte sia a livello di rete che di endpoint, gestite attraverso una singola console web e ulteriormente potenziate dall'impiego di una sofisticata Threat Intelligence.

La piattaforma KATA protegge l'infrastruttura aziendale da minacce complesse e attacchi mirati senza la necessità di risorse aggiuntive. Una volta integrata nella strategia difensiva dell'azienda, la piattaforma fornisce al team di sicurezza IT o al SOC interno tutti gli strumenti necessari per contrastare in modo affidabile ed efficace minacce complesse e attacchi mirati, completando le eventuali tecnologie di protezione di terze parti già esistenti e supportando l'interazione con il sistema SIEM.