Risorse > Glossario dei termini sulla sicurezza > In cosa consiste la protezione dalle minacce avanzate?

In cosa consiste la protezione dalle minacce avanzate?

In cosa consiste la protezione dalle minacce avanzate?

Le tecnologie di sicurezza informatica si sono evolute per anticipare potenziali minacce e attacchi informatici di aggressori che diventano ogni giorno sempre più sofisticati, e che potrebbero mettere a rischio aziende, governi e altre organizzazioni. Anche se le tecnologie di sicurezza possono anticipare le azioni di utenti malintenzionati, si è comunque vulnerabili ad attacchi nuovi e sconosciuti, specialmente se un'azienda non dispone dei controlli di sicurezza adeguati.

La protezione dalle minacce avanzate (ATP) consiste in una serie di soluzioni di sicurezza che difendono da malware complessi e dagli attacchi informatici che prendono di mira i dati sensibili. La tecnologia di ATP può aiutare un'organizzazione ad adattarsi alle strategie in continua evoluzione dei criminali informatici, e ad anticipare e prevenire gravi violazioni della sicurezza informatica.

Cosa rende "avanzata" una minaccia?

Minacce e attacchi sono considerati avanzati quando gli aggressori dispongono di risorse o strumenti illimitati per eseguire l'attacco e mantenere l'accesso a una rete, hanno accesso a finanziamenti continui per adattare l'attacco in base alle necessità, oppure se l'attacco viene concepito per colpire un'organizzazione specifica.

Per capire come difendersi dalle minacce avanzate, è importante prima comprendere cosa sono e in che modo possono influire sull'azienda.

Una minaccia avanzata persistente (Advanced Persisten Threat, o APT) consiste in un attacco in cui un soggetto non autorizzato, o un gruppo, riesce a ottenere furtivamente l'accesso alla rete di un'organizzazione e non viene individuato per un periodo di tempo prolungato. Gli attacchi APT sono spesso coordinati scrupolosamente e creati ad hoc per colpire un'azienda specifica, e utilizzano malware in grado di aggirare o eludere le comuni protezioni di sicurezza. Affinché possano essere prevenuti e mitigati, questi attacchi richiedono una tecnologia di sicurezza altrettanto sofisticata.

Una volta che l'aggressore ha ottenuto l'accesso alla rete, solitamente tramite phishing o installazione di malware, può visualizzare file aziendali, conversazioni, dati e altro materiale sensibile. Dato che non viene individuato per un periodo di tempo prolungato, che può andare da qualche settimana a diversi mesi o addirittura anni, l'autore dell'attacco può raccogliere quantità significative di dati aziendali, che può utilizzare in seguito per finalità malevole.

 

Quali sono le tattiche più comuni degli attacchi con minacce avanzate?
  • Il phishing, che consiste nell'invio di link da una fonte apparentemente attendibile per ottenere l'accesso alle credenziali o alle informazioni aziendali, è il metodo più comune utilizzato dagli aggressori per accedere a una rete interna.
  • Attraverso l'installazione di malware, dopo aver ottenuto l'accesso, gli aggressori informatici si addentrano all'interno della rete, monitorano l'attività e raccolgono i dati aziendali.
  • Il cracking delle password aiuta gli aggressori a ottenere l'accesso amministrativo e permette loro di muoversi liberamente all'interno della rete.
  • La creazione di una backdoor assicura agli aggressori una via d'accesso per poter rientrare sulla rete.
Sebbene circa due terzi delle piccole e medie imprese di tutto il mondo siano vittime di attacchi informatici, solo il 45% ritiene "inefficace" il proprio profilo di sicurezza informatica, mentre il 39% non dispone ancora di un piano di risposta agli incidenti.
Ponemon Institute
Il costo finanziario medio di una violazione dei dati è di 3,86 milioni di dollari.
IBM

Come difendersi dalle minacce avanzate?

Sebbene alcuni settori e aziende costituiscano degli obiettivi più interessanti e di valore per le minacce avanzate, tutti le organizzazioni dovrebbero essere a conoscenza delle misure preventive da adottare per difendersi da questi attacchi, che diventano sempre più comuni.

Gli attacchi informatici sono sempre più sofisticati, e anche la sicurezza si sta evolvendo di conseguenza.La protezione con sandbox ispeziona i file sospetti, ed è fondamentale per la protezione dalle minacce avanzate. Tuttavia, questa tecnologia è tradizionalmente legata ad hardware legacy all'interno del data center, e non è in grado di proteggere i dipendenti che lavorano da remoto.

Inoltre, il file sospetto viene generalmente ispezionato in modalità TAP; questo significa che il file viene inserito nella sandbox per essere testato mentre viene inviato al destinatario. Se la sandbox rileva una minaccia fa partire un avviso, che però spesso arriva troppo tardi, quando il file malevolo è già stato in grado di provocare danni. Inoltre, più della metà dei malware di oggi viene distribuita su canali criptati con SSL, ma i limiti di budget e prestazionali impediscono a molte aziende di rilevare queste vulnerabilità fino a quando non è già troppo tardi.

Una soluzione che impiega una tecnologia di sicurezza con base cloud è in grado di aggiungere ulteriori livelli di protezione dalle minacce avanzate e di proteggere tutti i dipendenti, sia quelli on premise che quelli da remoto. Inoltre, invece di operare in modalità TAP, Zscaler Cloud Sandbox funziona inline, e prima che un file sospetto venga inoltrato, ispeziona tutto il traffico all'interno della rete di un'organizzazione, incluso l'SSL.

La protezione sempre attiva e 0-day, la difesa dai ransomware e la visibilità in tempo reale e amplificata sul comportamento dei malware aggiungono un ulteriore livello di protezione. Una soluzione di sicurezza completa deve essere in grado di bloccare le minacce note, fornire la prevenzione in tempo reale degli attacchi 0-day e utilizzare la tecnologia predittiva per proteggere ulteriormente l'organizzazione dalle minacce nuove e in evoluzione.

Scopri in che modo la soluzione di protezione dalle minacce avanzate di Zscaler è in grado di aiutarti a proteggere la tua azienda.

    Il 54% delle minacce avanzate si nasconde nel traffico SSL, ed è necessario un numero di dispositivi 8 volte superiore per ispezionare tutto il traffico.
    Solution Brief sulla ATP