Zpedia 

/ In cosa consiste la protezione dalle minacce avanzate?

In cosa consiste la protezione dalle minacce avanzate?

La protezione dalle minacce avanzate (ATP) consiste in un sottoinsieme di soluzioni per la sicurezza sviluppato per difendere i dati sensibili dagli attacchi informatici complessi, come quelli dovuti a malware, campagne di phishing e altro. L'ATP spesso combina la sicurezza sul cloud, la sicurezza delle e-mail, la sicurezza degli endpoint e altro, per intensificare le difese di un'organizzazione e consentirle di contrastare un panorama di minacce in continua evoluzione. Ma se da un lato vediamo superfici di attacco sempre più estese e il continuo emergere di nuove minacce informatiche e vettori di attacco, dall'altro, fortunatamente, la tecnologia di sicurezza si sta evolvendo oltre i firewall e la sicurezza di rete tradizionale.

Guarda il nostro video
Protezione dalle minacce informaticheSecOps e Endpoint Security
  1. Vantaggi
  2. Perché le minacce si definiscono "avanzate"
  3. Come funziona
  4. Zscaler Advanced Threat Protection
  5. Risorse suggerite
  6. Argomenti correlati

Quali sono i vantaggi della protezione dalle minacce avanzate?

Nel moderno panorama delle minacce, l'ATP ti consente di combattere ad armi pari. A differenza dei prodotti tradizionali per la sicurezza, che tendono a essere soluzioni isolate e non integrate, gli strumenti più efficaci di oggi collaborano per offrire:

  • Visibilità in tempo reale sulle minacce: dato l'elevato volume di minacce esistenti oggi, non si può aspettare che le scansioni programmate confermino il livello di sicurezza. A differenza delle soluzioni antivirus tradizionali, una protezione efficace dalle minacce avanzate monitora tutto il traffico in ogni momento.
  • Intelligence cloud condivisa: nel migliore dei casi, l'applicazione di patch alle soluzioni di protezione è un'operazione complessa, mentre nel peggiore è praticamente impossibile. Con l'intelligence sulle minacce fornita sul cloud, non appena una soluzione blocca una nuova minaccia in un qualsiasi luogo, è in grado di bloccarla ovunque.
  • Contesto e correlazione centralizzati: le misure di sicurezza reattive, in tempo reale e predittive supportate dall'AI avanzata offrono al team di sicurezza un quadro completo, che a sua volta si traduce in una maggiore rapidità di rilevamento, prevenzione e correzione delle minacce.

Cosa rende una minaccia "avanzata"?

Una minaccia può essere avanzata se:

  • Gli aggressori dispongono di risorse o strumenti illimitati per portare a termine un attacco e mantenere l'accesso alla rete
  • Gli aggressori dispongono di un accesso immediato a risorse finanziarie che consentono di adattare l'attacco in base alle necessità
  • Un attacco viene creato per colpire un'organizzazione specifica

Passiamo ora ad analizzare più approfonditamente le minacce avanzate nelle loro varie forme.

Le minacce avanzate persistenti (APT)

Una minaccia persistente avanzata (Advanced Persistent Threat, APT), da non confondere con l'ATP (Advanced Threat Protection), è un attacco in cui un utente malintenzionato acquisisce l'accesso alla rete di un'organizzazione e instaura un punto di ingresso che permette di rimanere nella rete senza essere rilevati per un periodo prolungato. Le APT, spesso, hanno come obiettivo una specifica azienda e tendono a sfruttare malware avanzati in grado di bypassare o ostacolare le misure di sicurezza più comuni. Si tratta di attacchi sofisticati che devono essere affrontati con difese altrettanto sofisticate.

Una volta che un aggressore ha ottenuto l'accesso a una rete target, solitamente tramite malware o attacchi di phishing per il furto delle credenziali, è in grado di visualizzare i file aziendali, le conversazioni, i dati e altro materiale sensibile. Se non viene individuato per un periodo di tempo sufficientemente lungo, ad esempio per settimane, mesi o persino anni, è in grado di raccogliere enormi quantitativi di dati da utilizzare per scopi dolosi.

Quali sono i metodi di attacco avanzato più diffusi?

Gli attacchi avanzati condividono alcune tecniche di base che, sempre più spesso, consentono agli utenti malintenzionati di raggiungere le proprie mete. Le più diffuse sono:

  • Il phishing, che convince l'utente a seguire un link proveniente da una fonte apparentemente affidabile per ottenere l'accesso a credenziali o informazioni aziendali. Questo è il metodo più utilizzato dagli aggressori che lanciano APT per ottenere l'accesso a una rete interna.
  • L'installazione di malware che, una volta ottenuto l'accesso, aiuta i criminali informatici a penetrare più a fondo in una rete per monitorarne l'attività e raccogliere i dati aziendali. La maggior parte delle volte l'installazione del malware avviene attraverso il phishing.
  • Il cracking delle password, che consente agli aggressori di ottenere l'accesso amministrativo e di muoversi liberamente agendo indisturbati all'interno di una rete.
  • La creazione di una backdoor, che consente a un utente malintenzionato di abbandonare la rete sapendo di avere a disposizione una strada per riaccedervi in futuro.

Quote

Il costo medio globale di una violazione dei dati nel 2023 è stato di 4,45 milioni di dollari, un incremento del 15% rispetto ai 3 anni precedenti.

IBM, Report del 2023 sul costo delle violazioni dei dati

Report del 2023 sul costo delle violazioni dei dati

Come funziona la protezione dalle minacce avanzate?

Le soluzioni per la protezione dalle minacce avanzate vengono sviluppate per eseguire le attività di rilevamento e risposta prima che queste possano causare la perdita di dati o danneggiare in altro modo l'organizzazione. In base al provider, queste soluzioni possono essere molto diverse tra loro in termini di funzionalità di base, ma in genere includono:

  • Analisi del traffico di rete, per monitorare la rete alla ricerca di anomalie operative e nella sicurezza
  • Condivisione dell'intelligence sulle minacce, per offrire a tutti i clienti di un determinato provider lo stesso livello di protezione
  • Sandbox, per rilevare e isolare i file sospetti ed eseguire le attività di analisi e risposta

I problemi delle soluzioni legacy di sandboxing

Con l'evoluzione degli ambienti moderni e i progressi nel machine learning e nell'automazione che hanno reso l'ATP ancora più rapida e precisa, le sandbox rimangono strumenti fondamentali per una sicurezza avanzata. Tuttavia, negli ambienti di oggi, gli approcci legacy al sandboxing presentano tre problemi principali:

  1. Le sandbox legacy impiegano il backhauling, cioè forzano i dati a passare attraverso una rete centrale, perché sono vincolate all'hardware del data center e, per questo motivo, sono troppo lente per proteggere efficacemente l'attuale forza lavoro da remoto in continua crescita.
  2. Le sandbox legacy utilizzano la modalità Terminal Access Point (TAP) per ispezionare i file sospetti ed eseguono l'analisi mentre i file viaggiano verso una destinazione. La sandbox invia un'allerta quando rileva una minaccia, ma poiché l'ispezione TAP non blocca i file, le allerte tendono ad arrivare quando è ormai troppo tardi.
  3. Le sandbox legacy non sono quindi in grado di ispezionare efficacemente il traffico cifrato senza rallentarlo significativamente. Inoltre oggi, la maggior parte dei malware viene trasmessa attraverso canali cifrati, e alcune organizzazioni avrebbero bisogno di un numero di apparecchi sandbox di otto volte superiore per ottenere una potenza di elaborazione sufficiente.

Zscaler Advanced Threat Protection

Zscaler Cloud Sandbox è un motore di prevenzione dai malware con base cloud e basato su AI ed ML, concepito per bloccare le minacce emergenti e proteggere tutti i dipendenti, ovunque si trovino. Invece di lavorare in modalità TAP, opera inline, ispezionando tutto il traffico, compreso quello cifrato, prima di inoltrare un qualsiasi file sospetto. Grazie alla protezione 0-day sempre attiva, alla difesa contro i ransomware e alla visibilità in tempo reale sul comportamento dei malware, rileva e blocca costantemente le minacce nuove e in evoluzione non appena emergono.

Zscaler Cloud Sandbox è una funzionalità completamente integrata di Zscaler Internet Access™, che fa parte di Zscaler Zero Trust Exchange™. Questa piattaforma viene fornita come servizio cloud e, grazie all'assenza di hardware da acquistare o software da gestire, consente di eliminare la complessità e di essere operativi in pochi minuti.

promotional background

Zscaler Advanced Threat Protection offre una protezione sempre attiva ed ermetica contro i ransomware e previene le minacce 0-day e i malware sconosciuti.

Scopri di più

Risorse suggerite

Combattere le minacce avanzate persistenti (APT) con il cloud sandboxing
Leggi il white paper
Zscaler Advanced Threat Protection
Scopri di più