Risorse > Glossario dei termini sulla sicurezza > In cosa consiste la protezione dalle minacce avanzate?

In cosa consiste la protezione dalle minacce avanzate?

Definizione di protezione dalle minacce avanzate

La protezione dalle minacce avanzate (ATP) consiste in un sottoinsieme di soluzioni per la sicurezza sviluppato per difendere i dati sensibili da attacchi informatici complessi, tra cui malware, campagne di phishing e altro ancora. La tecnologia ATP, spesso, combina sicurezza sul cloud, sicurezza delle e-mail, sicurezza degli endpoint e altre soluzioni per migliorare le difese dell'azienda in un panorama in cui le minacce sono in continua evoluzione, e consente di anticipare e prevenire meglio le costose violazioni della sicurezza.

I metodi e le tattiche di attacco dei criminali informatici hanno un livello di sofisticatezza sempre più elevato. Inoltre, con il continuo spostamento dei dati sul cloud, le superfici di attacco si stanno ampliando e stanno emergendo nuovi vettori di attacco. Fortunatamente, anche la tecnologia della sicurezza informatica si è evoluta, superando i firewall e le soluzioni tradizionali di sicurezza della rete per contrastare queste nuove strategie e tipologie di minacce informatiche.

 

Quali sono i vantaggi della protezione dalle minacce avanzate?

Nel moderno panorama delle minacce, l'ATP consente di combattere ad armi pari. A differenza dei prodotti tradizionali per la sicurezza, che tendono a essere un insieme di soluzioni disgiunte e isolate, gli strumenti più efficaci di oggi collaborano per offrire:

  • Visibilità in tempo reale sulle minacce: dato l'elevato volume di minacce di oggi, non è possibile aspettare che le scansioni programmate confermino il livello di sicurezza. A differenza delle soluzioni antivirus tradizionali, una protezione efficace dalle minacce avanzate monitora tutto il traffico in ogni momento.
  • Intelligence cloud condivisa: l'applicazione di patch nel migliore dei casi è un'operazione complessa, nel peggiore dei casi è praticamente impossibile. Con l'intelligence sulle minacce fornita sul cloud, non appena una determinata soluzione blocca una nuova minaccia in un qualsiasi luogo, è in grado di bloccarla ovunque.
  • Contesto e correlazione centralizzati: misure di sicurezza reattive, in tempo reale e predittive, supportate da IA avanzata, offrono al team di sicurezza un quadro completo, che a sua volta si traduce in una maggiore rapidità di rilevamento, prevenzione e correzione delle minacce.

Cosa rende una minaccia "avanzata"?

Una minaccia può guadagnarsi questo appellativo per diversi motivi. Ad esempio, una minaccia può essere avanzata se:

  • Gli aggressori dispongono di risorse o strumenti illimitati per portare a termine un attacco e mantenere l'accesso alla rete
  • Gli aggressori dispongono di un accesso immediato a finanziamenti per poter adattare un attacco in base alle necessità
  • Un attacco viene creato per colpire un'organizzazione specifica

Analizziamo ora più approfonditamente le minacce avanzate nelle loro varie forme.

 

Le minacce avanzate persistenti

Una minaccia persistente avanzata (APT, da non confondere con l'ATP) è un attacco in cui un utente malintenzionato acquisisce l'accesso alla rete di un'organizzazione e stabilisce un punto di ingresso che gli permette di permanere nella rete senza essere rilevato per un periodo prolungato. Le APT, spesso, mirano a una specifica azienda e tendono a sfruttare malware avanzati, in grado di bypassare o ostacolare le misure di sicurezza più comuni. Si tratta di attacchi sofisticati, che devono essere affrontati con delle difese altrettanto sofisticate.

Una volta che un aggressore ha ottenuto l'accesso a una rete target, solitamente tramite malware o attacchi di phishing per il furto delle credenziali, è in grado di visualizzare file aziendali, conversazioni, dati e altro materiale sensibile. Se non viene individuato per un periodo di tempo sufficientemente lungo, settimane, mesi o persino anni, è in grado di raccogliere enormi quantitativi di dati da utilizzare per scopi dolosi.

 

Quali sono i più diffusi metodi di attacco avanzati?

Gli attacchi avanzati condividono alcune tecniche di base che, molto spesso, consento agli utenti malintenzionati di raggiungere le proprie mete. Le più diffuse sono:

  • Il phishing, che attira l'utente a seguire un link proveniente da una fonte apparentemente affidabile, per ottenere l'accesso a credenziali o informazioni aziendali. Questo è il metodo più utilizzato dagli aggressori che lanciano APT per ottenere l'accesso a una rete interna.
  • L'installazione di malware, che, una volta ottenuto l'accesso, aiuta i criminali informatici a penetrare più a fondo in una rete. Questo consente loro di monitorare l'attività e raccogliere dati aziendali. La maggior parte delle volte avviene attraverso il phishing.
  • Il cracking delle password, che consente agli aggressori di ottenere l'accesso amministrativo e di muoversi liberamente agendo indisturbati all'interno di una rete.
  • La creazione di una backdoor, che consente a un utente malintenzionato di abbandonare la rete sapendo di avere a disposizione una strada per riaccedervi in futuro.

[Un sondaggio condotto da Ponemon ha riscontrato] un calo significativo degli intervistati che ritengono le proprie organizzazioni in grado di mitigare rischi, vulnerabilità e attacchi all'azienda. Questa percentuale prima del COVID-19 era del 71%, e dopo la pandemia è scesa al 44%.

Ponemon Institute, "Cybersecurity in the Remote Work Era".

I costi delle violazioni dei dati sono aumentati da 3,86 milioni di dollari [nel 2020] a 4,24 milioni di dollari [nel 2021], il costo medio totale più alto nei 17 anni di storia di questo report.

IBM, "Cost of a Data Breach Report 2021"

Come funziona la protezione dalle minacce avanzate?

Le soluzioni per la protezione dalle minacce avanzate vengono sviluppate per eseguire le attività di rilevamento e risposta prima che queste possano causare la perdita di dati o danneggiare in altro modo l'organizzazione. In base al provider, queste soluzioni possono essere molto diverse tra loro in termini di funzionalità di base, ma in genere includono:

  • Analisi del traffico di rete, per monitorare la rete alla ricerca di anomalie operative e nella sicurezza
  • Condivisione dell'intelligence sulle minacce, per offrire a tutti i clienti di un determinato provider la stessa protezione
  • Sandbox, per rilevare e isolare i file sospetti ed eseguire le attività di analisi e risposta

 

I problemi delle soluzioni di sandboxing legacy

Con l'evoluzione degli ambienti moderni e i progressi nel machine learning e nell'automazione, che rendono l'ATP più rapida e accurata, le sandbox rimangono strumenti fondamentali per una sicurezza avanzata. Tuttavia, negli ambienti di oggi, gli approcci legacy al sandboxing presentano tre problemi principali:

  1. Le sandbox legacy impiegano il backhauling, cioè forzano i dati attraverso una rete centrale, perché sono vincolate all'hardware in un data center, e per questo motivo sono troppo lente per proteggere efficacemente l'attuale forza lavoro da remoto, che è in continua crescita.

  2. Le sandbox legacy utilizzano la modalità Terminal Access Point (TAP) per ispezionare i file sospetti, ed eseguono l'analisi mentre i file viaggiano verso una destinazione. La sandbox invia un avviso quando rileva una minaccia, ma poiché l'ispezione TAP non blocca i file, spesso gli avvisi arrivano quando è già troppo tardi.

  3. Le sandbox legacy non sono in grado di ispezionare efficacemente il traffico criptato senza rallentarlo significativamente. Oggi, la maggior parte dei malware viene trasmessa attraverso canali criptati, e alcune organizzazioni avrebbero bisogno di un numero di apparecchi sandbox superiore di otto volte, per ottenere una potenza di elaborazione sufficiente.

Zscaler Advanced Threat Protection

Zscaler Cloud Sandbox è un motore di prevenzione dai malware con base cloud e basato su IA ed ML, concepito per bloccare le minacce emergenti e proteggere tutti i dipendenti, ovunque si trovino. Invece di lavorare in modalità TAP, opera inline, ispezionando tutto il traffico, compreso quello criptato, prima di inoltrare un qualsiasi file sospetto. Grazie alla protezione 0-day sempre attiva, alla protezione dai ransomware e alla visibilità in tempo reale sul comportamento dei malware, rileva e blocca costantemente le minacce nuove e in evoluzione non appena emergono.

Zscaler Cloud Sandbox è una funzionalità completamente integrata di Zscaler Internet Access™, che fa parte di Zero Trust Exchange™. Questa piattaforma viene fornita come servizio cloud e, grazie all'assenza di hardware da acquistare o software da gestire, consente di eliminare la complessità e di essere operativi in pochi minuti.

Per saperne di più sulla protezione dalle minacce avanzate di Zscaler.