Con quasi l’80% delle minacce informatiche che ora imitano il comportamento degli utenti legittimi, come fanno i migliori SOC a determinare quale traffico è legittimo e quale è potenzialmente pericoloso? A chi ci si rivolge quando firewall e soluzioni di rilevamento e risposta degli endpoint (EDR) non riescono a individuare le minacce più importanti per la tua organizzazione? Secondo l’ultimo rapporto sulle indagini sulle violazioni dei dati di Verizon, le violazioni ai dispositivi edge e ai gateway VPN sono aumentate dal 3% al 22%. Le soluzioni EDR stanno lottando per catturare exploit zero-day, tecniche di “living-off-the-land” e attacchi senza malware. Quasi l’80% delle minacce rilevate utilizza tecniche senza malware che imitano il comportamento normale degli utenti, come evidenziato nel rapporto globale sulle minacce di CrowdStrike del 2025. La dura realtà è che i metodi di rilevamento convenzionali non sono più sufficienti poiché gli attori delle minacce adattano le loro strategie, utilizzando tecniche intelligenti come il furto di credenziali o il dirottamento DLL per evitare la scoperta.
In risposta, i centri operativi di sicurezza (SOC) stanno adottando un approccio di rilevamento a più livelli che utilizza i dati di rete per esporre attività che gli avversari non possono nascondere. Tecnologie come il network detection and response (NDR) vengono adottate per fornire visibilità che integra l’EDR esponendo comportamenti che è più probabile che vengano persi dalle soluzioni basate sugli endpoint. A differenza dell’EDR, l’NDR opera senza distribuzione di agenti, quindi identifica efficacemente le minacce che utilizzano tecniche comuni e strumenti legittimi in modo dannoso. In sostanza, le tecniche evasive che funzionano contro i dispositivi edge e l’EDR hanno meno probabilità di avere successo quando anche l’NDR è in allerta.
Strategia di rilevamento delle minacce più veloce
Proprio come vestirsi a strati per un clima imprevedibile, i SOC d’élite aumentano la resilienza attraverso una strategia di rilevamento a più livelli incentrata sulle intuizioni di rete. Consolidando i rilevamenti in un unico sistema, l’NDR semplifica la gestione e consente ai team di concentrarsi sui rischi e sui casi d’uso ad alta priorità. I team possono adattarsi rapidamente alle condizioni di attacco in evoluzione, rilevare le minacce più velocemente e ridurre al minimo i danni. Ora, prepariamoci e diamo un’occhiata più da vicino ai livelli che compongono questo stack dinamico:
Il livello base
Leggero e rapido da applicare, questo livello cattura facilmente le minacce conosciute per formare la base della difesa. Il rilevamento della rete basato su firme serve come primo strato di protezione grazie alla sua natura leggera e ai tempi di risposta rapidi. Le firme leader del settore, come quelle di Proofpoint ET Pro che operano su motori Suricata, possono identificare rapidamente minacce e schemi di attacco noti. L’intelligence sulle minacce, spesso composta da indicatori di compromissione (IOC), cerca entità di rete conosciute (ad esempio, indirizzi IP, nomi di dominio, hash) osservate in attacchi reali. Come le firme, gli IOC sono facili da condividere, leggeri e rapidi da distribuire, offrendo un rilevamento più veloce.
Il livello malware
Pensa al rilevamento del malware come a una barriera impermeabile, che protegge contro le “gocce” di payload di malware identificando le famiglie di malware. Rilevamenti come le regole YARA — uno standard per l’analisi statica dei file — sono fondamentali per identificare e bloccare le minacce prima che possano causare danni significativi.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!
