Kaspersky: ML (Machine Learning) nel nuovo servizio MDR per le PMI

 

Tratto da www.lineaedp.it
Autore: Redazione LineaEDP – 17/03/2021
 
 
L’innovativo servizio di Kaspersky adatta l’offerta alla preparazione delle aziende in termini di sicurezza IT
 
Kaspersky-Logo_2019
 

Il nuovo servizio Kaspersky Managed Detection and Response (MDR) garantisce una protezione continua basata sul machine learning, consentendo ai team di sicurezza IT di concentrarsi sull’analisi, sulle indagini e sulla risposta alle minacce. Grazie alle due versioni del prodotto, Kaspersky MDR è ora disponibile non solo per le grandi imprese, ma anche per le aziende di medie dimensioni con diversi livelli di maturità ed esigenze di sicurezza IT. Con il lancio di MDR, Kaspersky rinnova anche il suo approccio basato sui framework di cybersecurity. I diversi framework combinano infatti vari set di soluzioni e servizi di sicurezza per la protezione da diversi tipi di minacce.

Le attività di rilevamento e risposta agli attacchi sofisticati richiedono competenze specifiche, ma i budget destinati alla cybersecurity non sempre prevedono la formazione interna o l’assunzione di tecnici specializzati. La mancanza di risorse può portare a rispondere in ritardo agli incidenti e, di conseguenza, a incrementare le perdite sostenute da un’impresa. Secondo il report di Kaspersky “IT Security Economics 2020”, il costo medio di una violazione dei dati per le imprese di grandi dimensioni aumenta di oltre 400 mila dollari a seconda che una violazione venga scoperta quasi istantaneamente o dopo una settimana.

Kaspersky Managed Detection and Response offre i vantaggi di un security operations center (SOC) in outsourcing senza che i team interni debbano avere competenze specifiche nel threat hunting e nell’analisi degli incidenti, il che può essere particolarmente rilevante per le aziende di medie dimensioni. Il servizio è arricchito da tecnologie di rilevamento e dalla vasta esperienza nel threat hunting e nella incident response di diversi team di esperti, tra cui il Global Research & Analysis Team (GReAT). È anche potenziato da AI Analyst che consente la risoluzione automatica degli alert e permette agli analisti del SOC di Kaspersky di concentrarsi sulla gestione delle segnalazioni più importanti. Questa combinazione di tecnologie e competenze offre ai clienti una protezione contro le minacce che eludono il rilevamento, ad esempio imitando programmi legittimi. Gli esperti di sicurezza IT sono in grado di controllare lo stato di protezione di tutte le risorse e la threat detections in tempo reale, di ricevere istruzioni di risposta pronte all’uso o autorizzare scenari gestiti.

Il servizio integra diversi componenti. I prodotti Kaspersky come, ad esempio, la endpoint protection o EDR, inviano la loro telemetria al Kaspersky Security Network. Questa telemetria viene poi analizzata nel SOC (Security Operations Center) interno di Kaspersky utilizzando più di 700 “hunt” proprietarie basate su TTP costantemente aggiornate e adattate alle esigenze del cliente e ai vari motori di rilevamento. Gli alert vengono raccolti da tutti gli endpoint, consentendo così al sistema di stabilire eventuali collegamenti tra una serie di attacchi a vari dispositivi. Successivamente, il team di threat hunting di Kaspersky convalida e classifica tutti i rilevamenti in ordine di importanza per garantire una risposta tempestiva. Dopo l’indagine, i clienti ricevono l’alert degli incidenti e una guida completa sulle azioni da intraprendere nel portale MDR dedicato. Le opzioni di risposta possono quindi essere avviate tramite un agente di endpoint detection and response (EDR). I clienti possono anche combinare MDR con l’Incident Response retainer di Kaspersky per esternalizzare completamente le indagini forensi sugli incidenti e la loro eliminazione.
Il livello Kaspersky MDR Optimum garantisce una protezione as-a-service chiavi in mano, mentre Kaspersky MDR Expert consente di formare e dotare di certificazioni OSCP, GCTI, SANS SEC560, SANS SEC660 gli analisti SOC del vendor, di accedere al Kaspersky Threat Intelligence Portal e a una API (Application Programming Interface) per integrare i security workflow esistenti.

Insieme a questo nuovo prodotto, Kaspersky presenta anche nuovi framework volti a soddisfare le esigenze delle aziende in termini di difesa dalle minacce e in base al livello di maturità della loro sicurezza IT. Kaspersky MDR potenzia ogni framework abilitando una funzione di sicurezza IT consolidata e consentendo ai team di esperti di sicurezza IT di focalizzarsi sulla gestione degli eventi critici evidenziati.

Kaspersky Security Foundations offre una protezione adattiva contro le minacce più diffuse che colpiscono endpoint, dispositivi mobili, infrastrutture cloud e server dei clienti. Questa solida soluzione di base aiuta le organizzazioni a valorizzare gli investimenti in sicurezza grazie alla prevenzione automatica delle minacce. Grazie al Premium Support e al portfolio rinnovato Professional Services, i clienti possono usufruire di assistenza professionale ogni volta che ne hanno bisogno.

Il framework Kaspersky Optimum Security migliora il livello di sicurezza rispetto a minacce nuove, sconosciute e difficili da rilevare, aiutando le piccole e medie imprese che dispongono di risorse di cybersecurity limitate a elaborare piani di incident response. Il framework si avvale di meccanismi di rilevamento avanzati con algoritmi basati sul machine learning e di una sandbox, e offre una maggiore visibilità delle minacce, una capacità di analisi delle cause degli incidenti e una vasta gamma di azioni di risposta. Kaspersky Optimum Security raccomanda inoltre programmi di formazione sulla security awareness per aiutare le organizzazioni a sviluppare una cultura aziendale di cybersicurezza.

Il framework Kaspersky Expert Security rappresenta una strategia olistica per aiutare ad informare e guidare gli esperti interni ad affrontare l’intera gamma delle complesse minacce odierne, come APT e attacchi mirati. Kaspersky Anti Targeted Attack Platform con Kaspersky EDR agisce come una soluzione di Extended Detection and Response (XDR), offrendo una protezione APT all-in-one con capacità di rilevamento delle minacce di rete e EDR. Gli IT security specialist sono dotati di tutte le tecnologie necessarie per gestire il rilevamento multidimensionale delle minacce di qualità superiore sia a livello di endpoint che di rete, intraprendendo indagini efficaci e una threat hunting proattiva e fornendo una risposta rapida e centralizzata attraverso un’unica soluzione. Inoltre, il framework mette a disposizione Kaspersky Threat Intelligence and training per aggiornare il personale addetto alla sicurezza IT, per accrescere la qualità dell’assistenza e il supporto immediato e per permettere di consultare gli esperti di terze parti di Kaspersky attraverso il portafoglio di servizi di cybersecurity.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

18 Marzo 2021

Kaspersky avverte: Lazarus prende di mira il settore della difesa

Tratto da BitMAT
Autore: Redazione BitMAT – 26/02/2021
 
 
 
 

I ricercatori di Kaspersky hanno identificato una nuova campagna APT a opera di Lazarus, un threat actor di minacce avanzate molto prolifico che risulta attivo almeno dal 2009 e al quale sono state attribuite una serie di campagne diverse tra loro.

A partire dai primi mesi del 2020, il gruppo ha preso di mira il settore della difesa con una backdoor personalizzata e soprannominata ThreatNeedle. La backdoor esegue movimenti laterali attraverso le reti infette sottraendo informazioni sensibili.

Lazarus è uno dei threat actor più prolifici del momento. Attivo almeno dal 2009, questo gruppo è stato coinvolto in campagne di cyberspionaggio su larga scala, campagne ransomware e persino attacchi contro il mercato delle criptovalute. Negli ultimi anni il gruppo si è concentrato sulle istituzioni finanziarie ma all’inizio del 2020 ha aggiunto ai suoi obiettivi anche organizzazioni che operano nel settore della difesa.

Silente, Lazarus, si espande a macchia d’olio

I ricercatori di Kaspersky si sono resi conto dell’esistenza di questa nuova campagna nel momento in cui sono stati coinvolti in un’attività di incident response. Il team preposto alla gestione dell’incidente ha scoperto che l’organizzazione coinvolta era vittima di una backdoor personalizzata (ovvero un malware che consente il controllo da remoto completo sul dispositivo). Soprannominata ThreatNeedle, questa backdoor si muove lateralmente attraverso le reti infette ed estrae informazioni riservate.

A oggi, sono state colpite organizzazioni in più di dodici Paesi.

L’infezione iniziale avviene utilizzando una tecnica di spear phishing. Le organizzazioni prese di mira ricevono una e-mail contente un allegato Word dannoso o un collegamento ad un file ospitato sui server aziendali. I messaggi di posta, inviati da presunti centri medici affidabili, dichiarano di contenere aggiornamenti urgenti relativi alla pandemia.

Nel momento in cui si apre il documento il malware viene rilasciato dando così il via al processo di distribuzione. Il malware ThreatNeedle, utilizzato in questa campagna, appartiene a una famiglia di malware del gruppo Lazarus nota come Manuscrypt ed era stato precedentemente rilevato in attacchi rivolti alle imprese di criptovaluta. Una volta installato, ThreatNeedle è in grado di ottenere il pieno controllo del dispositivo della vittima, il che significa che può fare qualsiasi cosa, dalla manipolazione dei file all’esecuzione dei comandi ricevuti.

Una delle tecniche più interessanti di questa campagna è la capacità del gruppo di rubare dati sia dalle reti IT dell’ufficio (ovvero una rete che contiene computer con accesso a Internet) e sia dalla rete limitata di un impianto (ovvero una rete che contiene mission-critical asset e computer con dati altamente sensibili e nessun accesso a Internet). Secondo la policy aziendale, nessuna informazione dovrebbe poter essere trasferita tra queste due reti. Tuttavia, gli amministratori possono connettersi a entrambe le reti per la gestione di questi sistemi. Lazarus è stato in grado di ottenere il controllo delle workstation degli amministratori per poi impostare un gateway malevolo e attaccare la rete limitata estraendo dati riservati.

Lazarus non è solo molto prolifico, ma anche sofisticato

Come sottolineato in una nota ufficiale da Seongsu Park, senior security researcher with the Global Research and Analysis Team (GReAT): «Lazarus è stato forse il threat actor più attivo del 2020 e questo è un trend che non accenna a diminuire. Infatti, già a gennaio di quest’anno, il Threat Analysis Team di Google ha riferito che Lazarus aveva utilizzato questa stessa backdoor per colpire i ricercatori di sicurezza. In futuro, ci aspettiamo di incontrare ancora ThreatNeedle e per questo terremo gli occhi aperti».

Come aggiunto da Vyacheslav Kopeytsev, security expert di Kaspersky ICS CERT: «Lazarus non è solo molto prolifico, ma anche sofisticato. Questo gruppo, infatti, oltre a superare la segmentazione della rete, ha anche condotto ricerche approfondite per creare e-mail di spear phishing altamente personalizzate ed efficaci e ha costruito strumenti personalizzati per estrarre le informazioni rubate su un server remoto. Tenuto conto che molti settori e aziende fanno ancora molto affidamento al lavoro a distanza e che, quindi, sono ancora più vulnerabili, è importante che vengano prese ulteriori precauzioni di sicurezza per proteggersi da questo genere di attacchi avanzati».

Per proteggersi da attacchi come ThreatNeedle, gli esperti di Kaspersky raccomandano di:

  • Fornire al personale una formazione di base sulla cyber hygiene, poiché molti attacchi mirati iniziano proprio con tecniche di ingegneria sociale come il phishing.
  • Se un’azienda utilizza una tecnologia operativa (OT) o ha una infrastruttura critica, è importante assicurarsi che queste siano separate dalla rete aziendale o che non ci siano connessioni non autorizzate.
  • Assicurarsi che i dipendenti conoscano e seguano le politiche di sicurezza informatica.
  • Fornire al team SOC l’accesso alla più recente threat intelligence (TI). Il Kaspersky Threat Intelligence Portal è un punto di accesso unico per la TI dell’azienda, che fornisce dati sugli attacchi informatici e approfondimenti raccolti da Kaspersky in oltre 20 anni di esperienza.
  • Implementare una soluzione di sicurezza di livello aziendale che rilevi tempestivamente le minacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform.
  • Implementare una soluzione dedicata ai nodi e alle reti industriali che consenta il monitoraggio del traffico di rete OT, l’analisi e il rilevamento delle minacce, come Kaspersky Industrial CyberSecurity.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

4 Marzo 2021