In cosa consiste la protezione dalle minacce avanzate? La protezione dalle minacce avanzate (ATP) consiste in un sottoinsieme di soluzioni per la sicurezza sviluppato per difendere i dati sensibili dagli attacchi informatici complessi, come quelli dovuti a malware, campagne di phishing e altro. L'ATP spesso combina la sicurezza sul cloud, la sicurezza delle e-mail, la sicurezza degli endpoint e altro, per intensificare le difese di un'organizzazione e consentirle di contrastare un panorama di minacce in continua evoluzione. Ma se da un lato vediamo superfici di attacco sempre più estese e il continuo emergere di nuove minacce informatiche e vettori di attacco, dall'altro, fortunatamente, la tecnologia di sicurezza si sta evolvendo oltre i firewall e la sicurezza di rete tradizionale.

Quali sono i vantaggi della protezione dalle minacce avanzate?

Nel moderno panorama delle minacce, l'ATP consente di combattere ad armi pari. A differenza dei prodotti tradizionali per la sicurezza, che tendono a essere un insieme di soluzioni disgiunte e isolate, gli strumenti più efficaci di oggi collaborano per offrire:

• Visibilità in tempo reale sulle minacce: dato l'elevato volume di minacce di oggi, non è possibile aspettare che le scansioni programmate confermino il livello di sicurezza. A differenza delle soluzioni antivirus tradizionali, una protezione efficace dalle minacce avanzate monitora tutto il traffico in ogni momento.
• Intelligence cloud condivisa: l'applicazione di patch nel migliore dei casi è un'operazione complessa, nel peggiore dei casi è praticamente impossibile. Con l'intelligence sulle minacce fornita sul cloud, non appena una determinata soluzione blocca una nuova minaccia in un qualsiasi luogo, è in grado di bloccarla ovunque.
• Contesto e correlazione centralizzati: misure di sicurezza reattive, in tempo reale e predittive, supportate da IA avanzata, offrono al team di sicurezza un quadro completo, che a sua volta si traduce in una maggiore rapidità di rilevamento, prevenzione e correzione delle minacce.

Cosa rende una minaccia "avanzata"?

Una minaccia può guadagnarsi questo appellativo per diversi motivi. Ad esempio, una minaccia può essere avanzata se:

• Gli aggressori dispongono di risorse o strumenti illimitati per portare a termine un attacco e mantenere l'accesso alla rete
• Gli aggressori dispongono di un accesso immediato a finanziamenti per poter adattare un attacco in base alle necessità
• Un attacco viene creato per colpire un'organizzazione specifica

Analizziamo ora più approfonditamente le minacce avanzate nelle loro varie forme.

Le minacce avanzate persistenti

Una minaccia persistente avanzata (APT, da non confondere con l'ATP) è un attacco in cui un utente malintenzionato acquisisce l'accesso alla rete di un'organizzazione e stabilisce un punto di ingresso che gli permette di permanere nella rete senza essere rilevato per un periodo prolungato. Le APT, spesso, mirano a una specifica azienda e tendono a sfruttare malware avanzati, in grado di bypassare o ostacolare le misure di sicurezza più comuni. Si tratta di attacchi sofisticati, che devono essere affrontati con delle difese altrettanto sofisticate.

Una volta che un aggressore ha ottenuto l'accesso a una rete target, solitamente tramite malware o attacchi di phishing per il furto delle credenziali, è in grado di visualizzare file aziendali, conversazioni, dati e altro materiale sensibile. Se non viene individuato per un periodo di tempo sufficientemente lungo, settimane, mesi o persino anni, è in grado di raccogliere enormi quantitativi di dati da utilizzare per scopi dolosi.

Quali sono i metodi di attacco avanzati più diffusi?

Gli attacchi avanzati condividono alcune tecniche di base che, molto spesso, consento agli utenti malintenzionati di raggiungere le proprie mete. Le più diffuse sono:

• Il phishing, che attira l'utente a seguire un link proveniente da una fonte apparentemente affidabile, per ottenere l'accesso a credenziali o informazioni aziendali. Questo è il metodo più utilizzato dagli aggressori che lanciano APT per ottenere l'accesso a una rete interna.
• L'installazione di malware, che, una volta ottenuto l'accesso, aiuta i criminali informatici a penetrare più a fondo in una rete. Questo consente loro di monitorare l'attività e raccogliere dati aziendali. La maggior parte delle volte avviene attraverso il phishing.
• Il cracking delle password, che consente agli aggressori di ottenere l'accesso amministrativo e di muoversi liberamente agendo indisturbati all'interno di una rete.
• La creazione di una backdoor, che consente a un utente malintenzionato di abbandonare la rete sapendo di avere a disposizione una strada per riaccedervi in futuro.

Come funziona la protezione dalle minacce avanzate?

Le soluzioni per la protezione dalle minacce avanzate vengono sviluppate per eseguire le attività di rilevamento e risposta prima che queste possano causare la perdita di dati o danneggiare in altro modo l'organizzazione. In base al provider, queste soluzioni possono essere molto diverse tra loro in termini di funzionalità di base, ma in genere includono:

• Analisi del traffico di rete per monitorare la rete alla ricerca di anomalie operative e nella sicurezza
• Condivisione dell'intelligence sulle minacce per offrire a tutti i clienti di un determinato provider lo stesso livello di protezione
• Sandbox, per rilevare e isolare i file sospetti ed eseguire le attività di analisi e risposta

I problemi delle soluzioni di sandboxing legacy

Con l'evoluzione degli ambienti moderni e i progressi nel machine learning e nell'automazione, che rendono l'ATP più rapida e accurata, le sandbox rimangono strumenti fondamentali per una sicurezza avanzata. Tuttavia, negli ambienti di oggi, gli approcci legacy al sandboxing presentano tre problemi principali:

1. Le sandbox legacy impiegano il backhauling, cioè forzano i dati attraverso una rete centrale, perché sono vincolate all'hardware in un data center, e per questo motivo sono troppo lente per proteggere efficacemente l'attuale forza lavoro da remoto, che è in continua crescita.
2. Le sandbox legacy utilizzano la modalità Terminal Access Point (TAP) per ispezionare i file sospetti, ed eseguono l'analisi mentre i file viaggiano verso una destinazione. La sandbox invia un avviso quando rileva una minaccia, ma poiché l'ispezione TAP non blocca i file, spesso gli avvisi arrivano quando è già troppo tardi.
3. Le sandbox legacy non sono in grado di ispezionare efficacemente il traffico criptato senza rallentarlo significativamente. Oggi, la maggior parte dei malware viene trasmessa attraverso canali criptati, e alcune organizzazioni avrebbero bisogno di un numero di apparecchi sandbox superiore di otto volte, per ottenere una potenza di elaborazione sufficiente.

Zscaler Advanced Threat Protection

Zscaler Cloud Sandbox è un motore di prevenzione dai malware con base cloud e basato su IA ed ML, concepito per bloccare le minacce emergenti e proteggere tutti i dipendenti, ovunque si trovino. Invece di lavorare in modalità TAP, opera inline, ispezionando tutto il traffico, compreso quello criptato, prima di inoltrare un qualsiasi file sospetto. Grazie alla protezione 0-day sempre attiva, alla difesa dai ransomware e alla visibilità in tempo reale sul loro comportamento, rileva e blocca costantemente le minacce nuove e in evoluzione, non appena emergono.

Zscaler Cloud Sandbox è una funzionalità completamente integrata di Zscaler Internet Access™, che fa parte di Zero Trust Exchange™. Questa piattaforma viene fornita come servizio cloud e, grazie all'assenza di hardware da acquistare o software da gestire, consente di eliminare la complessità e di essere operativi in pochi minuti.