Blog WatchGuard

Attacchi Living-off-the-Land: come affrontare questa sfida con WatchGuard Advanced EPDR

Nell'ambito della sicurezza informatica, gli attacchi "Living-off-the-Land" (LotL) sono diventati sempre più difficili da rilevare. Sfruttando strumenti di sistema legittimi, come PowerShell, WMI o le macro di Office invece di affidarsi a malware esterni, questi attacchi consentono agli attaccanti di muoversi furtivamente all'interno di una rete. Le misure di sicurezza tradizionali faticano a identificarli, proprio perché fanno leva su strumenti affidabili e provvisti di firma digitale.

I criminali informatici apprezzano gli attacchi LotL perché eludono il rilevamento e riducono il rischio di essere rintracciati. Infatti, le probabilità di successo di una violazione aumentano grazie questa strategia di basso profilo, che consente agli attaccanti di rimanere nascosti per un periodo di tempo più lungo.

Tecniche comuni negli attacchi LotL

  • PowerShell: utilizzato per scaricare ed eseguire script malevoli, stabilire connessioni remote o modificare le impostazioni di sistema senza tracce evidenti.
  • WMI: utilizzato per eseguire comandi in remoto, raccogliere dati di sistema o mantenere la persistenza sul sistema.
  • Strumenti di amministrazione remota: strumenti come PsExec possono essere utilizzati per eseguire comandi malevoli da remoto.
  • Macro di Office: le macro malevole incorporate nei documenti di Office eseguono il codice all’apertura del file, approfittando della fiducia degli utenti.

Proteggiti dagli attacchi LotL con WatchGuard Advanced EPDR:

  • Controllo delle applicazioni: limita l'utilizzo di strumenti come PowerShell e WMI solo a utenti e processi specifici.
  • Monitoraggio e analisi automatizzata dei comportamenti: utilizza l'analisi comportamentale nel cloud per rilevare attività di sistema insolite, anziché affidarti esclusivamente alle firme o alla tecnologia degli endpoint.

Per implementare con successo queste strategie, WatchGuard Advanced EPDR offre funzionalità che consentono agli analisti della sicurezza di rilevare la presenza di un utente malintenzionato che utilizza tecniche LotL e rispondere in modo tanto rapido quanto appropriato. Tutto questo in aggiunta al nostro servizio di ricerca delle minacce e al servizio Zero Trust per le applicazioni, che blocca le applicazioni non attendibili fino a quando la loro affidabilità non viene convalidata. 

Gli analisti possono prevenire questi attacchi negando applicazioni come PowerShell e WMI o rilevando automaticamente i comportamenti tipici utilizzati negli attacchi malware fileless e mappandoli sul framework MITRE ATT&CK.

Da oggi, la nuova versione di Advanced EPDR consente agli analisti di indagare su questi comportamenti accedendo alla telemetria dettagliata con intelligence sulle minacce da un'unica console. Ma c’è di più: WatchGuard Advanced EPDR fornisce informazioni preziose per le indagini sugli incidenti che coinvolgono applicazioni malevole. Identifica le tecniche MITRE ATT&CK, le capacità delle attività malevole che il programma può esibire e le funzioni esterne che utilizza. Può, ad esempio, richiamare le operazioni del sistema operativo o di altre librerie tramite l’integrazione nativa di CAPA, uno strumento open source per l'analisi automatica del comportamento delle applicazioni.

  • Estensione dell'indagine e risposta rapida tramite shell remota: la nuova versione di WatchGuard Advanced EPDR include la possibilità di aprire una shell remota per ottenere file, ispezionare processi e persino intervenire direttamente sull'endpoint, che si tratti di Windows, Linux o macOS.
  • Rifiuto dell'autorizzazione alle connessioni se rappresentano un rischio: limitare la comunicazione tra diversi segmenti di rete o endpoint utilizzando la segmentazione della rete può impedire agli attaccanti di spostarsi lateralmente utilizzando le tecniche LotL. La nuova versione di WatchGuard Advanced EPDR consente agli amministratori di negare le connessioni da endpoint non conformi che rappresentano un rischio per gli endpoint protetti, migliorando ulteriormente la protezione delle aziende.
  • Conoscenza e consapevolezza: formare i dipendenti sui rischi delle macro e sull'uso sicuro degli strumenti amministrativi può aiutare a prevenire l'esecuzione involontaria di script malevoli.

Conclusioni

Oggi gli attacchi Living-off-the-Land rappresentano una sfida importante nell'ambito della sicurezza informatica. Sfruttando strumenti e funzionalità di sistema legittimi, gli attaccanti possono operare senza dare nell’occhio, eludendo le difese di molte soluzioni di sicurezza tradizionali. Rilevare e prevenire efficacemente questi attacchi richiede una combinazione di controlli tecnici validi, un monitoraggio costante e una solida formazione sulla sicurezza per gli utenti. Con la nuova versione di WatchGuard Advanced EPDR, le aziende possono migliorare la loro capacità di rilevare e prevenire queste minacce avanzate e ottimizzare la relativa risposta, garantendo così un ambiente più sicuro e resiliente.

Scopri di più su WatchGuard Advanced EPDR sul nostro sito web ed esplora tutte le risorse disponibili nella sezione dedicata.