Sfruttare l’Intelligenza Artificiale per bloccare sul nascere gli attacchi nuovi e sconosciuti è fra le priorità del nuovo EDR di Acronis.
Autore: Redazione SecurityOpenLab
Si chiama Advanced Security + Endpoint Detection & Response (EDR) la nuova soluzione di cyber Protection di Acronis che offre nuove funzionalità come l'analisi degli attacchi basata su Intelligenza Artificiale. È pensata per ridurre la complessità e semplificare i flussi di lavoro, in modo da facilitare la gestione della sicurezza sia agli MSP sia alle aziende.
In occasione della presentazione ufficiale alla stampa Candid Wuest, VP of Research di Acronis, ha tracciato un quadro del panorama odierno delle minacce e delle nuove tattiche dei cybercriminali. I vettori di attacco sono sempre più numerosi: le email malevole restano il vettore più diffuso, con circa l’8% del totale, e vengono impiegate sempre di più per la diffusione di macro e allegati malevoli. In questo ambito gli attaccanti, sempre pronti a sfruttare ogni opportunità, hanno iniziato a usare ChatGPT per generare i testi in varie lingue e con esche credibili.
Il secondo vettore di attacco sono gli exploit di servizi senza patch o di configurazioni errate, oltre agli attacchi fileless. Seguono i siti web malevoli, l’abuso di credenziali mediante il brute forcing delle password, il credential stuffing o l’acquisto di elenchi dagli Initial Access Broker. Wuest non manca di sottolineare poi il rischio forte rischio degli attacchi alle supply chain che coinvolgono anche i servizi, i prodotti SaaS e la catena degli MSP.
In ultimo, è d’obbligo tenere sempre presente il fattore umano: oggi non sono più solo gli insider a costituire un fattore di rischio, ma anche i dipendenti che commettono inconsapevolmente errori che agevola l’ingresso in rete degli attaccanti.
Una volta entrati in rete, i cyber criminali svolgono poi una serie di azioni molto pericolose, che vanno dalla diffusione di malware all’escalation dei privilegi, per arrivare ai movimenti laterali. Il tutto mettendo in campo tecniche sempre più sofisticate di evasione delle difese, cancellando le copie di backup e altro.
Eric O'Neill, ex agente del controspionaggio dell'FBI, ha fornito una importante informazione che fa comprendere il giro d’affari dietro al cybercrime: l’economia globale più importante è quella USA, seguita dalla Cina; la terza economia globale più importante è il Dark Web, che viene prima in classifica di Giappone e Germania. Un dato che fa riflettere sulle previsioni degli attacchi cyber futuri, in cui vengono investiti fondi da capogiro.
Un esempio su tutti è quello degli attacchi fileless, aumenti del 900% dal 2021 ad oggi. Sono difficili da identificare perché re-iniettano codice malevolo in processi legittimi e richiedono altissime risorse per la scansione.
James Erby, Senior Solutions Engineer di Acronis ha messo in risalto l’ampia gamma di opzioni di Advanced Security + Endpoint Detection & Response (EDR) che si integrano con le capacità di backup, ripristino, gestione e sicurezza degli endpoint della suite Acronis Cyber Protect.
Nella sua disquisizione tecnica, Erby parte dallo scenario di partenza: oltre il 60% delle violazioni di dati è conseguenza di un qualche tipo di hacking. Mediamente le organizzazioni impiegano 207 giorni per identificare un breach e 70 giorni per contenerlo. Fra i motivi di questo c’è la mancanza di visibilità completa su tutti gli asset e le applicazioni.
Un comune antimalware è in grado di rilevare malware noti e relative varianti, gli exploit più diffusi, i kit standard di phishing e alcune tecniche di offuscamento. Ma solo un EDR riesce a condurre un’attività di detect e response sugli exploit e i malware zero-day, sugli attacchi fileless, sugli attacchi living-off-the-land e sulle tattiche messe in campo dagli APT.
A questi tipi di minaccia Acronis risponde fornendo l’analisi ottimizzata degli incidenti, per i quali è in grado di assegnare rapidamente una prioritizzazione senza bisogno dell’intervento di personale altamente qualificato e costoso, o di passare per procedure lunghe e complesse. La soluzione offre inoltre sicurezza integrata con backup e ripristino per la protezione completa, e si propone in definitiva come soluzione di Cyber Protection completa con un unico agent e la massima facilità di deployment, gestione e scalabilità.