Operazione “Eye Pyramid” : contromisure possibili con la nuova Microsoft Security platform

[This blog post has been republished as-is on February 2019]

[English readers: you can find English [EN] links in this post for your convenience]

Dopo avervi condiviso ieri una personale riflessione sull’operazione in oggetto (che alla luce delle ultime news potrebbe rivelare una compromissione effettiva molto più limitata di quanto prospettata inizialmente), credo sia più utile approfittare di questo ennesimo caso di cyber cronaca per potervi mostrare che non si è disarmati di fronte a queste tipologie di attacchi e che esistono soluzioni di sicurezza avanzate in grado di contrastarli, anche per chiarire la notevole mole di disinformazione che sta serpeggiando sui media in questi giorni, in particolare quando le analisi finiscono con il dichiarare l’impossibilità di difesa e l’ineluttabilità di essere compromessi: non è assolutamente così, ci sono contromisure possibili !!

Andiamo dritti al cuore del problema: l’attacco #EyePyramid ha potuto essere efficace per lo sfruttamento di 2 debolezze critiche

  1. L’attacco rivolto all’anello debole, cioè alla persona, indotta in modo convincente ad aprire una email perché proveniente da un indirizzo degno di fiducia (un ufficio legale o di professionisti con cui si hanno regolarmente contatti di lavoro – a parte l’anomalia della email ricevuta dall’ ENAV da parte di contatti inusuali che ha appunto fatto insospettire il responsabile di sicurezza e permesso di far partire l’indagine) e ad aprire il relativo allegato (si parla di un file PDF)
  2. L’attacco portato con una variante malware
    sconosciuta ai sistemi antivirus in grado di infettare e prendere il pieno controllo del PC ad insaputa dell’utente stesso.

Due veloci considerazioni su ciascuna debolezza.

In passato si diceva che in virtù della debolezza intrinseca degli utenti un’azione fondamentale fosse il miglioramento della cultura di base sulla sicurezza, la loro sensibilizzazione sui rischi cyber. Se la cosiddetta security awareness continua a rimanere un pilastro fondamentale per migliorare i livelli di protezione, è indubbio che non ci si può affidare solo ad essa: come dimostra il caso in oggetto, chi attacca si attrezza appunto per usare le tecniche di social engineering per carpire la buona fede anche dei più tecnicamente preparati.

Sul tema antimalware è ormai pienamente assodato che queste soluzioni da sole non riescono più a stare al passo della facile possibilità da parte di chi attacca di realizzare varianti in grado di non essere rilevate dal meccanismo signature-based (=scopro un nuovo malware, creo la firma che permette di riconoscerlo e la distribuisco >> c’è evidentemente un gap temporale che può essere usato per non essere rilevati con una variante nuova).

L’evoluzione delle soluzioni di sicurezza ha dovuto necessariamente trovare contromisure ad entrambe le debolezze citate per riuscire a proteggere gli utenti anche se incauti o abilmente ingannati e per contrastare malware cosiddetto 0-day, ossia non ancora catalogato come tale e quindi non incluso in firme di rilevamento.

Nell’ambito della nuova Microsoft Security platform che vi ho velocemente mostrato in slide nel mio recente post-manifesto di rilancio del blog NonSoloSecurity, esiste una specifica soluzione pensata a questo scopo rispetto a minacce 0-day che possano giungere come allegati di email o come link pericolosi all’interno delle stesse:

Office 365 Advanced Threat Protection (ATP)
[EN version]: avrò modo di tornare in un prossimo post per darvi maggiori dettagli sulle sue funzionalità, ma per l’applicabilità al caso in oggetto serve sapere che tale soluzione (che Microsoft ha rilasciato nell’estate 2015 [EN]) avrebbe sottoposto il PDF allegato ad un meccanismo di detonation, di verifica della sua reale pericolosità su un sistema virtuale isolato (sandbox), prima di di cestinarlo (se pericoloso) o di veicolarlo nella casella di posta dell’utente (se sicuro).

Una volta installatosi nel PC delle vittime questo malware si è attrezzato per modificare in più parti la configurazione del sistema operativo e delle applicazioni presenti per poter effettuare indisturbato una serie di azioni pericolose (recuperare i documenti e i file più disparati, spedire i più piccoli come allegati via email, salvare i più grandi su servizi di storage cloud, rubare credenziali eventualmente memorizzate sul sistema, carpire i tasti digitati sulla tastiera, sottrarre i preferiti e le history di search & navigazione sul web, …).

Possibile che tutto questo gran da fare possa essere fatto in modo da non essere rilevato? Le moderne soluzioni di sicurezza a livello di PC/endpoint intendono proprio agire per tenere sotto stretto controllo tutto quanto avvenga sul sistema per riconoscere pattern di azioni pericolose sintomo di un attacco / compromissione non ancora catalogate come malware:

La nuovissima soluzione di Windows Defender Advanced Threat Protection (WD-ATP) [EN version], rilasciata nell’ultima major release di Windows 10 del luglio 2016 (l’Anniversary Update – build 1607), svolge proprio il ruolo di soluzione di post-breach detection per individuare nel modo più rapido possibile ogni indicatore di attacco/compromissione (IoA/IoC) grazie all’uso della potente granularità della telemetria in Windows 10, in modo che non serva installare alcun agent ma solo abilitare funzionalità native del sistema operativo.

Un passo ulteriore di possibile contromisura per una efficace detection multi-livello: vi ho segnalato che l’attacco ha attrezzato il malware a trafugare dati (exfiltration) utilizzando servizi di cloud storage americani per i file di grosse dimensioni: esistono soluzioni di tipo Cloud Access Security Broker (CASB)

La soluzione Microsoft in questo ambito si chiama Cloud App Security [EN version], disponibile dall’aprile del 2016 [EN] è parte della nuova suite di soluzioni di Enterprise Mobility + Security (EMS) [EN version], e pemette la supervisione del traffico in uscita verso il cloud per poter rilevare anomalie di traffico dati, violazioni di policy aziendali, condivisione non autorizzata di documenti sensibili.

Ultimo passaggio: anche se non si ha al momento evidenza che chi abbia perpetrato questo attacco abbia agito con delle azioni di cosiddetto lateral movement per tentare di compromettere sistemi aziendali a cui il PC compromesso potrebbe essere stato connesso in qualche momento, si ha evidenza che il malware ha permesso di “esfiltrare” anche credenziali di rete/aziendali … e in ogni caso su PC appartenenti a domini aziendali questa compromissione crea le condizioni per usare tale sistema come testa di ponte per l’escalation di attacco verso risorse aziendali che potrebbero esporre ulteriori dati ed identità altamente sensibili. Di fronte a questo scenario pericolosissimo, ma ahimè altamente riscontrato nelle azioni di contrasto che come Microsoft effettuiamo ogni giorno a supporto dei nostri clienti, è opportuno sappiate della disponibilità di una innovativa soluzione della tipologia che Gartner ha chiamato UEBA “User and Entity Behavior Analytics

Microsoft Advanced Threat Analytics (ATA) [EN version] è la soluzione (disponibile dall’agosto 2015 [EN], ora giunta alla versione 1.7 [EN]) che si propone di essere leader in questo segmento UEBA grazie alla possibilità di combinare l’approccio di Behavioral Analytics (che i clienti più avveduti staranno sicuramente già valutando) con una esclusiva capacità di detection deterministica di ogni fase di cui sono composti i più recenti e sofisticati attacchi rivolti alla compromissione delle identità gestite da Active Directory (per citare i più temuti: Pass-the-Hash (PtH), Pass-the-Ticket (PtT), Overpass-the-Hass, Skeleton key malware, Golden ticket…)

Se avessi voluto cercare un caso reale per iniziare a raccontarvi l’efficacia concreta offerta dalle soluzioni di Threat Detection e Protection incluse nella nuova Microsoft Security platform



… non avrei potuto trovare nulla di meglio dell’evento #EyePyramid

P.S. vi segnalo alcune utili risorse per approfondire i dettagli dell’attacco

A presto!

Feliciano

@felicianointini
(mostly in Italian – technical & non technical tweets)

@NonSoloSecurity
(English only – technical only)


 

NonSoloSecurity reloaded

[This blog post has been republished as-is on February 2019]

10 anni: sì, il blog che state leggendo ha appena compiuto 10 anni ! Come si può facilmente immaginare 10 anni in ambito informatico equivalgono ad almeno 3-4 ere geologiche e quindi ne sono successe di cose nel frattempo… Questo stesso blog, con i suoi 824 post (a ieri), ha vissuto diversi alti e bassi, diversi stop ed altrettante ripartenze, più o meno coincidenti con il mio percorso di crescita professionale attraverso i vari ruoli ricoperti in Microsoft Italia e la relativa possibilità di essere totalmente o solo indirettamente focalizzato sui temi Security.

Ma a dispetto del passare del tempo, di tutto, e di tutti coloro che hanno pensato potesse essere una perdita di tempo occuparsi di Sicurezza, ho cercato di non far spegnere mai la profonda PASSIONE per questi temi nell’attesa di poter tornare presto da un lato ad occuparmene di nuovo come responsabilità primaria, dall’altro, se possibile, di riuscire a ritagliare del tempo personale per rivitalizzare questo blog.

Ecco credo che oggi ci possano finalmente essere le condizioni affinché questo avvenga: sono già 15 mesi che ricopro il ruolo di Technical Specialist delle soluzioni di “Enterprise Mobility and Security” all’interno della divisione di Microsoft Italia che segue i grandi clienti e questo sta implicando la tanto desiderata possibilità di rioccuparmi a tempo pieno dei temi Security, Privacy, Compliance, in particolare applicati ai contesti mobility & cloud.

Detto questo vi starete domandando: ma ha senso rilanciare oggi un blog sulla Sicurezza con particolare focalizzazione sulle tecnologie Microsoft? Ecco, il punto che lega il mio ruolo attuale alla possibilità, e io penso anche opportunità, di rilanciare il blog stia proprio nella rinnovata condizione che mi spinse 10 anni fa ad aprire quello che allora si chiamava solo “Security Blog di Feliciano Intini” poi ribattezzato in “NonSoloSecurity”: siamo di nuovo di fronte ad una tale imponente evoluzione strategica dell’investimento Microsoft sulle tecnologie di sicurezza che credo possa servire aiuto per, spero, farvi apprezzare la rapidissima progressione delle innovazioni e l’utilità delle soluzioni messe a vostra disposizione per proteggere gli asset IT nel contesto moderno caratterizzato dall’uso sempre più diffuso della mobilità e delle tecnologie cloud.

10 anni fa esordivo infatti con questo post “Ciao e benvenuti sul mio nuovo blog!” e il giorno dopo vi proponevo un vero e proprio “Piano dell’opera” per allettarvi sulle numerose tecnologie di sicurezza utili per implementare un modello di Defense In-Depth basato su soluzioni/tecnologie/prodotti Microsoft:

image

Oggi mi ritrovo nella possibilità di rilanciare questo blog per condividervi quanto i diversi investimenti sulle tecnologie di sicurezza stiano permettendo a Microsoft di riproporvi una nuova Security platform:

image

in grado di offrirvi un nuovo set di soluzioni di sicurezza che attraversa i diversi ambiti di protezione, a partire dall’endpoint, passando per l’infrastruttura e includendo le soluzioni applicative:

image

Se tanto è cambiato nella capacità di Microsoft di comunicare le innovazioni tecnologiche (siti, blog, canali twitter), temo possa esserci ancora bisogno di un pizzico di aiuto per orientarvi nell’onda anomala di novità, specialmente quando fanno capo a diversi gruppi di prodotto: eccomi qua!

Spero ritroverete utile tornare o iniziare a seguirmi, sia tramite il blog e relativo feed RSS, che tramite i due canali twitter che vi riporto in firma.

A presto!

Feliciano

@felicianointini (mostly in Italian – technical & non technical tweets)

@NonSoloSecurity (English only – technical only)

“Piano dell’opera”

[This blog post has been republished as-is on February 2019]

So bene di non essere l’Oxford English Dictionary (… sapevate che la terza edizione verrà completata tra 20-25 anni e passerà dagli attuali 20 volumi a 40 tomi per un totale di circa 1.000.000 di parole ???), ma oggi parlare di Microsoft Security vuol dire toccare una serie di tecnologie, funzionalità, servizi e prodotti che spaziano a 360° sullo spettro del tema Sicurezza Informatica. Ritengo quindi opportuno dare un ordine ai temi che toccherò via via, e per farlo utilizzerò la tassonomia che utilizziamo nel nostro gruppo Premier Center for Security (il PCfS è il gruppo operativo di sicurezza di Microsoft Italia di cui faccio parte…seguirà post di approfondimento!), diretta estensione del modello Defence-In-Depth (DiD), il quale prevede di operare delle attività di hardening a tutti i livelli che devono essere attraversati da un intrusore per tentare di accedere all’informazione da carpire/compromettere.

 

Quindi i post saranno strutturati secondo le seguenti categorie, in modo da agevolarvi la consultazione a posteriori (vi aggiungo delle idee su cosa potranno contenere):

Network Security

Esempi: ISA Server, IPSEC, Soluzioni di Server&Domain Isolation, Wireless Security, VPN, NAP,…

Host Security

Esempi: hardening del sistema operativo di base, Security Update Management,Soluzioni Anti-Malware,…

Application Security

Esempi: hardening di applicazioni server (Exchange, SQL,…), …

Data Security

Esempi: Rights Management Services, Encrypted File System, Bitlocker, Secure Messaging, …

Security Foundations (Technology)

Esempi: Active Directory Security, Infrastrutture PKI (Smart Card, CLM, …), Soluzioni di Identity Management,Forensic Analysis …

Security Foundations (Processes)

Esempi: Security Policy aziendali e Compliance Management, Security Risk Management,Security Monitoring e Auditing, Security Incident Response

Bene, direi che gli argomenti non mancano… Che ne dite ? Non esitate a segnalarmi i temi che sono di vostro maggior interesse, in modo che possa privilegiarli nella scelta. Ciao ciao

Ciao e benvenuti sul mio nuovo blog!

[This blog post has been republished as-is on February 2019]

Per indurvi a non abbandonarmi dopo aver letto il primo post, ma anzi a raccomandare questo blog anche ad altri, devo indubbiamente soddisfare la “morbosa” curiosità iniziale che vi ha spinto fin qui…:  vi riconoscerete sicuramente in uno dei due gruppi seguenti

  1. siete una delle centinaia di persone tra parenti, amici, colleghi, clienti e affini che conosco direttamente ma CHE NON SI INTERESSANO DI SICUREZZA (… non sorridete alla apparente esagerazione: ho una parentela così sterminata che sto meditando di mettermi in politica…con la speranza di essere eletto senza spendere in spese elettorali e assicurarmi la pensione…), a cui ho fatto letteralmente spam selvaggio per avvisarli di questo blog con il preciso intento di aumentare le hit sul primo post:

in questo caso grazie della cortesia (ricambierò in qualche modo,magari con prodotti tipici pugliesi …;-)), e non mancate di fare un buon passaparola !

  1. Siete tra coloro che SI INTERESSANO DI SICUREZZA, in modo saltuario, costante o addirittura in modo viscerale come me, e qualcuno di cui vi fidate vi ha consigliato di dare un occhiata a stò sito…

in questo caso riconsiderate la fiducia che riponete in chi vi ha suggerito il mio blog…

Scherzi a parte, cosa potrete aspettarvi dal mio security blog ?

Nel mio lavoro quotidiano di Security Advisor per Microsoft a supporto delle maggiori realtà aziendali italiane mi ritrovo spesso a considerare, ogni volta con nuova meraviglia, quanto beneficio reciproco derivi da un atteggiamento di consulenza “bi-direzionale”:  c’è sicuramente un bisogno impellente di spiegare con semplicità e  dettaglio, con chiarezza e senza ambiguità, l’universo di tematiche connesse agli aspetti di sicurezza su tecnologia Microsoft; d’altra parte è fondamentale saper ascoltare le esigenze in continua evoluzione dell’Information Technology e confrontarsi con punti di vista diversi da quelli Microsoft.

Visto che considero il TEMPO come la risorsa più preziosa e rara che ci sia, cercherò di non sprecare il mio (purtroppo poco) tempo a disposizione e tanto meno il vostro: rispetto al mare di informazioni da cui siamo travolti, posterò se riterrò opportuno aggiungere qualcosa di utile a quanto già detto da altri, eviterò post di informazioni  ridondanti, e all’occorrenza vi rimanderò a blog di chi (colleghi e non) sia in grado di darvi un vero valore aggiunto.

Ecco, il mio security blog nasce proprio con questi propositi, e quindi il vostro contributo è essenziale: io ho sicuramente un sacco di cose da raccontarvi che credo possano interessarvi, e sarò onorato se troverete utile essere tra i miei assidui “lettori”, ma misurerò il successo di questa nuova esperienza dal grado di interazione e condivisione che i miei post cercheranno di stimolare.

Non mancate di esserci, a presto!

Feliciano