Con l’aumento di ransomware, compromissioni della supply chain e altri attacchi complessi, l’attenzione si sposta dal semplice rilevamento delle minacce all’eliminazione delle vulnerabilità che esse sfruttano. Bitdefender in questo contesto ha portato la capacità proattiva in primo piano, con PHASR offrendo un modo automatico e basato sull’intelligence per ridurre la superficie d’attacco prima che gli avversari colpiscano.
I cybercriminali non hanno sempre bisogno di malware sofisticati per infiltrarsi nelle reti dei nostri clienti. Sempre più spesso, utilizzano strumenti legittimi di amministrazione di sistema già presenti su ogni macchina che siano Windows, Linux o macOS. Questi attacchi, noti come “Living Off the Land” (LOTL), sono notoriamente difficili da rilevare perché gli aggressori si mimetizzano tra le normali attività di sistema, utilizzando strumenti affidabili e con firma digitale per raggiungere i propri obiettivi.
Per i Managed Service Provider, che gestiscono ambienti clienti eterogenei, questa rappresenta una sfida significativa. Come ci si difende, infatti, da minacce che sfruttano gli stessi strumenti su cui i clienti fanno affidamento per le operazioni quotidiane.
Un modo per capire gli attacchi LOTL è immaginare un intruso in ufficio che, invece di portare con sé strumenti sospetti come piedi di porco, entri con un badge rubato, proprio come un normale dipendente, e utilizzi i sistemi e gli accessi disponibili per raggiungere i propri scopi. Gli aggressori sfruttano strumenti legittimi presenti nei sistemi IT, come PowerShell, CertUtil e BitsAdmin, oltre a più di 130 altri strumenti nativi inclusi in una nuova installazione di Windows 11.
Questi attacchi sono estremamente efficaci perché sfruttano la fiducia intrinseca negli strumenti legittimi con firma digitale per eludere le difese che cercano file sconosciuti o non firmati e consentono l’esecuzione di malware fileless, che opera interamente in memoria senza creare file rilevabili. Evitano i metodi di rilevamento tradizionali, poiché i software di sicurezza standard fanno fatica a distinguere tra uso legittimo e abuso malevolo e consentono catene di attacco complesse, utilizzando solo strumenti integrati nel sistema.
Le statistiche sono allarmanti: il 99% delle aziende non utilizza il comando BitsAdmin di Windows, eppure questo rimane abilitato e accessibile per potenziali sfruttamenti. In molte organizzazioni, strumenti potenti ma inutilizzati rimangono pronti per essere abusati dagli attori delle minacce.
Bitdefender GravityZone PHASR e il suo approccio
Bitdefender GravityZone PHASR, invece di limitarsi a rilevare e bloccare comportamenti malevoli definisce e applica in modo proattivo modelli di comportamento legittimi, personalizzati per le esigenze operative di ciascun utente. Utilizza algoritmi di machine learning, personalizzati per ogni combinazione utente-endpoint e monitora oltre 200 regole in cinque categorie chiave cme gli strumenti di amministrazione remota, binari LOTL, hacktools, cryptominer e strumenti di manomissione.
Phasar rileva i comportamenti anomali di utenti e gruppi, collegandoli a metodi di attacco noti e creando profili comportamentali dettagliati. Gli utenti simili vengono raggruppati e le loro attività analizzate per identificare azioni e applicazioni che possono essere limitate senza impattare l’uso legittimo. Apprende e si adatta ai cambiamenti nei modelli comportamentali come ad esempio, variazioni nei ruoli utente, regolando automaticamente i permessi.
A differenza degli strumenti di hardening tradizionali, che si limitano a consentire o negare interamente l’uso di uno strumento, PHASR applica restrizioni mirate. Ad esempio, può consentire PowerShell per compiti legittimi, ma bloccare parametri o comandi potenzialmente malevoli.
Integrazione con l’intelligence sulle minacce
PHASR si basa su intelligence costantemente aggiornata riguardo schemi di attacco e strumenti rischiosi, assicurando protezione contro le più recenti tecniche LOTL. Questo approccio guidato dai dati permette ai clienti di beneficiare della scoperta di oltre 400 nuove minacce al minuto e della validazione di 30 miliardi di query sulle minacce al giorno da parte dei laboratori Bitdefender.
Gli MSP che desiderano ridurre la superficie di attacco dei propri clienti possono ottenere miglioramenti significativi adottando PHASR.
Le principali aree di vantaggio includono:
Conformità normativa – Con l’introduzione della direttiva NIS2, le organizzazioni irlandesi affrontano requisiti di cybersecurity più stringenti. PHASR aiuta a dimostrare una gestione proattiva della postura di sicurezza e della riduzione della superficie d’attacco.
Riduzione del carico operativo – L’approccio automatico e adattivo di PHASR riduce il tempo speso in attività manuali di hardening e limita i falsi positivi.
Protezione contro minacce avanzate – Le tecniche LOTL sono sempre più usate da gruppi di ransomware e APT (Advanced Persistent Threat). PHASR offre una difesa in profondità contro queste tattiche evolute.
Implementazione del modello Zero Trust – PHASR applica in modo dinamico e intelligente il principio del “minimo privilegio”, garantendo che gli utenti possano eseguire solo le azioni necessarie ai propri ruoli.
Minimo impatto operativo – A differenza dei metodi tradizionali che possono ostacolare i flussi di lavoro, l’approccio di PHASR, basato sul machine learning, mantiene la produttività e riduce le richieste di supporto.
Miglioramenti misurabili – PHASR fornisce metriche chiare sulla riduzione della superficie d’attacco, aiutando gli MSP a comunicare il valore della sicurezza ai clienti.
Tecnologia premiata e affidabile
Bitdefender è stata riconosciuta da enti indipendenti per la sua efficacia:
AV-TEST Award 2023 per Migliore Protezione e Migliori Prestazioni nella categoria business.
Copertura analitica del 100% per Linux e macOS, con zero falsi positivi.
Customers’ Choice in Gartner Peer Insights Voice of the Customer per le piattaforme di protezione degli endpoint.
Punteggi costantemente ai vertici nei test di protezione reale, protezione da malware, minacce avanzate e risposta degli endpoint (gennaio 2021 – gennaio 2025).