L’indispensabile rivoluzione nell’Incident Response: Automazione per una Risposta più Efficace

Da qualche tempo il mondo della sicurezza informatica ha subito una trasformazione significativa.

Il cambiamento, come sempre nella storia dell’uomo risulta guidato dalla crescente complessità degli attacchi informatici. In questo contesto, l’automazione ha dimostrato di essere un’arma potente nel combattere tali minacce, soprattutto nell’ambito della risposta agli incidenti. L’integrazione di processi finemente automatizzati nella gestione degli incidenti non solo migliora sensibilmente l’efficienza, ma offre anche una maggiore capacità di risposta e un controllo più rapido sulle violazioni della sicurezza.

In questo articolo, come Indiana Jones all’interno di un templio maledetto esploreremo il ruolo fondamentale dell’automazione nel fornire visibilità, contenere, ed eradicare.

Senza dimenticarci dei nostri amici IT Manager o CISO; infatti da qualche parte nell’articolo si nascondono diverse indicazioni fondamentali durante la gestione di un incident che non possono essere ignorati da chi ricopre tale ruolo.

Visibilità potenziata attraverso l’Automazione

La visibilità è il primo passo cruciale per affrontare un incidente di sicurezza.

Senza una comprensione chiara di ciò che sta accadendo nei sistemi e nelle reti, è impossibile rispondere in modo efficace. Qui entra in gioco il fondamentale fattore portato dall’automazione la velocità e l’integrazione.

Strumenti di rilevamento delle minacce e sistemi di monitoraggio continuo possono identificare anomalie e comportamenti sospetti in tempo reale, fornendo agli esperti di sicurezza visibilità immediata sulle attività malevole, ma tutto questo può essere abbastanza? Possiamo fidarci ciecamente dei software di difesa commerciali che gli attaccanti studiano minuziosamente al fine di continuare a compromettere infrastrutture informatiche più o meno complesse?

No. Sennò non lavorerei nel campo dell’incident response.

L’automation dedicata alle attività di risposta agli incidenti infatti si concentra su tutti quegli aspetti in cui non vi è certezza ne standard, infatti, se un software di sicurezza come potrebbe essere un HIDS o un EDR può vantare sia il tempo che la cura da parte di chi lo installa; un software scritto per incident response può solo sognarsi questo tipo di lusso.

Infatti l’obbiettivo è molto simile a quello di un malware, come le funzionalità d’altronde. Senza però lo scudo di firme digitali o whitelist assicurate nei sistemi dove opera, dove spesso, regna il caos; non è infatti difficile trovarsi ad eseguire questo tipo di automazioni in Virtual Machines scollegate dalla rete con uno o più EDR che non aspettano altro di identificare e bloccare software che ha l’obbiettivo di raccogliere quanti più artefatti e dati possibili.

Il tema visibilità risulta centrale, infatti, uno strumento completo per il triage di un endpoint infetto non si ferma all’estrazione di artefatti comuni come UsnJ, MFT, Shimcache e via dicendo; ma esegue DUMP di LSASS.exe, ricerca keywords all’interno del filesystem per trovare credenziali salvate su file o chiavi di registro in modo non sicuro e molto altro ancora!

Per erogare un servizio di Incident Response sublime è necessario conoscere le tecniche dell’attaccante, ed utilizzarle per ottenere la stessa o maggiore visibilità sui sistemi da esso compromessi. Velocemente; soprattutto nel caso in cui l’attaccante sia ancora collegato sui sistemi e non abbia cominciato fasi distruttive come la cifratura dei files o peggio, dei VMDK.

Contenimento Pronto e Deciso

Una volta estratti gli artefatti ed individuata l’attività sospetta, è essenziale agire prontamente per contenere il danno potenziale. L’automazione gioca un ruolo cruciale in questo processo, consentendo la messa in quarantena rapida dei sistemi compromessi o la disattivazione degli account compromessi.

Messaggio per gli “Incident response team” che leggono: bisogna essere pronti con automation vendor agnostic. In ogni caso. Non c’è tempo da perdere quando veniamo chiamati ad operare.

Oltre ad un’abile ricognizione è quindi fondamentale applicare alle nostre custom automation un’intelligenza in grado di rispondere con determinate pattern attive in caso di rilevazioni critiche.

Gli algoritmi di intelligenza artificiale remota possono identificare i pattern delle minacce e attivare automaticamente le politiche di sicurezza necessarie per bloccare l’accesso non autorizzato e limitare la propagazione dell’attacco. Ciò riduce drasticamente il tempo di risposta e limita l’impatto degli incidenti sulla continuità operativa, ovviamente questo tipo di implementazione non risulta facilissimo, tuttavia, è doveroso farla.

Alcuni esempi di automazioni utili al contenimento ed eradication possono essere:

  • Filesystem Watcher Defense
    • Binario che monitora costantemente le modifiche al filesystem tramite le librerie NetFramework “FilesystemWatcher”. In sintesi, è una componente utile per creare applicazioni reattive che possono monitorare e rispondere dinamicamente ai cambiamenti nel sistema file, contribuendo così a migliorare l’automazione e l’efficienza delle operazioni di gestione dei file.
    • Le applicazioni pratiche possono essere: antiransomware, filechange content analysis, reactive remediation basata sul monitoraggio combinato di filesystem e processi.
  • MemDump Analysis
    • Qui volatility viene in nostro aiuto nel fornirci il framework su cui sviluppare detection di pattern malevole in memoria. Non mi dilungo oltre, sky is the limit.
  • Filesystem Scan con yara
    • Chi lavora nella sicurezza lo sa, non esiste vendor che abbia tutte le firme nei propri database. Chi gestisce incidenti 24/7 però può vantare di averne uno “bello aggiornato”. Perchè non sfruttarlo per generare delle Yara rules da utilizzare in scansioni mirate durante la raccolta di artefatti per il triage? Multithreading is the way! E poi al cliente compromesso non dispiacerà se utilizzate i suoi sistemi al 100% delle risorse per qualche minuto in questi casi, dico bene?

Eradicazione delle Minacce con Precisione

Una volta contenuta la situazione, è essenziale procedere con l’eradicazione delle minacce per ripristinare completamente l’integrità del sistema. L’automazione permette di eseguire rapidamente scansioni approfondite dei sistemi compromessi per individuare e rimuovere completamente il malware persistente come backdoor o altre componenti dannose.

Gli strumenti di automazione più avanzati possono anche identificare e mitigare le vulnerabilità di sicurezza che potrebbero aver consentito agli attaccanti di infiltrarsi inizialmente nel sistema. Non è sempre possibile eseguire patching, ma in casi di crisi per mantenere attivi servizi critici riducendo al minimo il rischio di lateral movement risulta fondamentale poter implementare cross hardening automatizzato.

Questo processo di eradicazione, se combinato come detto in precedenza, alla creazione di regole sartoriali all’incidente in gestione riduce al minimo il rischio di una reinfezione e ripristina la sicurezza dei sistemi in modo efficiente.

Esfiltrazione e notifica al garante

Infine, l’automazione svolge un ruolo cruciale nell’affrontare la fase post-incidente, inclusa l’analisi delle attività inerenti l’esfiltrazione dei dati. Gli strumenti automatizzati possono tracciare e valutare il flusso di dati per identificare eventuali tentativi di estrarre informazioni sensibili dai sistemi compromessi. Inoltre, le automation per l’incident response possono essere configurate per notificare automaticamente chi sta eseguendo le analisi circa la presenza di strumenti comunemente utilizzati dai Threat Actor al fine dell’exfiltration, in questo modo sarà più facile identificare l’entità del danno subito dal cliente.

Una volta ottenuti i giusti elementi è possibile procedere con implementazioni alle notifiche preliminari al garante con tutte le rilevazioni e contromisure / attività messe in atto dall’azienda colpita. Ricordate si hanno solo 72 ore dopo la scoperta dell’incidente per eseguire il primo atto di notifica preliminare, gli elementi chiave che rendono necessaria ed indispensabile la pratica sono:

  • Indisponibilità del dato
  • Perdita di confidenzialità
  • Perdita di integrità

In conclusione, l’automazione sta rivoluzionando il modo in cui affrontiamo gli incidenti di sicurezza informatica. Fornendo visibilità immediata, velocità di risposta senza precedenti e precisione nell’eradicazione delle minacce, l’automazione si sta dimostrando un alleato indispensabile nella lotta contro le minacce informatiche sempre più sofisticate. Tuttavia, è importante sottolineare che l’automazione non sostituisce completamente l’esperienza umana e il discernimento, ma piuttosto ne potenzia le capacità, consentendo agli esperti di concentrarsi su compiti ad alto valore aggiunto. Investire nell’automazione della risposta agli incidenti è essenziale per garantire una difesa informatica robusta e resiliente nell’era digitale.

Stay safe.

Facciamo un gioco…

Lvuzurxsz! Xjxvz nr riw lv lz jxyziizj zyanrz lj mklnazj evkrprzj, zlxmwnx aj bmch lm eqflmax snxlc qj oxmnhxqn jc otqlxne?

Articolo a cura di Nicolas Fasolo

Profilo Autore

Nicolas Fasolo è il Team Leader del Incident Response Team di Yarix (Vargroup). Nel tempo libero lavora come “Security Researcher” e “Malware Developer” indipendente con una passione sfrenata per l'analisi del malware. Durante il suo percorso formativo di certificazione Master CEH ha ottenuto il Top 1 al mondo per il “Quarter 4 Dicembre 2021”. Autore di "Cybersecurity Podcast" e “Cybersecurity Warrior”.

Condividi sui Social Network:

Ultimi Articoli