Secondo il “Managed Detection and Response Analytics Report” di Kaspersky, nella prima metà del 2019 solo una piccola percentuale (1,26%) degli avvisi IoA (Indicators of Attack) sugli endpoint dei dispositivi è stata ricondotta a incidenti di sicurezza informatica. Dei 40.806 avvisi generati tramite gli indicatori di attacco, infatti, solo 515 hanno dato luogo ad incidenti rilevati. La maggior parte di questi incidenti, però, dipendevano da attacchi mirati sofisticati che utilizzavano le cosiddette tecniche “Living Off The Land” (LotL), implementate dagli autori della minaccia per occultare le attività malevole nell’ambito di un utilizzo legittimo da parte di utenti e amministratori.
A differenza dei metodi di rilevamento basati sugli indicatori di compromissione (IoC), gli IoA (Indicators of Attack, indicatori di attacco) consentono l’identificazione degli attacchi non sulla base di file malevoli o altri oggetti noti, ma sulla base delle tattiche, tecniche e procedure messe in atto dagli autori delle minacce. In altre parole, a partire dall’analisi dei modi tramite i quali particolari autori di minacce tendono ad attaccare le loro vittime. Con attacchi che utilizzano tecniche “Living Off The Land” (LotL), sempre più popolari, i metodi di rilevamento basati sugli IoA si rivelano i più efficaci.
Questa deduzione viene confermata anche da altri risultati presenti nel “Managed Detection and Response Analytics Report” di Kaspersky, un report che si basa su molteplici livelli di analisi dei risultati del Kaspersky Managed Protection Service, forniti da diverse organizzazioni di vari settori: finanziario, governativo, industriale, dei trasporti, dell’IT e delle telecomunicazioni.
Mentre gli incidenti di sicurezza informatica sono stati rilevati in quasi tutte le tattiche del modello “Cyber-Kill Chain”, il maggior numero di attacchi è stato riscontrato nelle fasi che sono considerate tra le più “rumorose” (quelle con la presenza di falsi positivi relativamente più alta): “execution” (37%), “defense evasion” (31%), “lateral movement” (16%) e “impact” (16%). Nel combattere queste tattiche, i ricercatori hanno osservato che le soluzioni per la protezione degli endpoint (EPP) si sono rivelati uno strumento efficace di risposta alle minacce nel 97% degli incidenti identificati: il 47% di questi sono stati classificati come incidenti di media gravità e comprendevano malware come Trojan e Cryptor; il 50% come incidenti di bassa gravità, con implicazione di programmi indesiderati come adware o riskware.
Tuttavia, quando si tratta di minacce di tipo avanzato, sconosciute o classificate come di alta gravità (3%), le soluzioni EPP tradizionali da sole si rivelano meno efficaci. Questo tipo di minacce – come quelle derivanti da attacchi mirati o da malware complessi, spesso lanciati attraverso tecniche “Living Off The Land” (LotL) – richiedono un ulteriore livello di rilevamento, “TPP-based”, con threat hunting manuale e analisi.