Max Havey [00:00:00] Benvenuti a Security Visionaries, un podcast sviluppato da Netskope focalizzato su conversazioni con dirigenti senior del mondo della cybersecurity, della tecnologia, della fiducia e del networking. Questo episodio presenta una conversazione con Ray Canzanese, direttore di Netskope Threat Labs. Ray si siede a parlare con noi del suo ultimo rapporto trimestrale su Cloud and Threat. Parlando del motivo per cui ha scelto di concentrarsi sull'avversario questa volta, cosa ti ha sorpreso di più delle sue scoperte e di come il personale della sicurezza e di altri possano utilizzare i risultati di questo rapporto. Ecco la nostra conversazione con Ray. Ciao e benvenuti a Security Visionaries. Sono il vostro conduttore, Max Harvey. E oggi ci sediamo per una conversazione sul rapporto di ottobre Cloud and Threat con Ray Canzanese, direttore di Netskope Threat Labs. Ray, benvenuto allo show. Come va oggi?
Ray Canzanese [00:00:44] Sto bene, Max. Il meglio che posso un lunedì. E tu?
Max Havey [00:00:47] Sto facendo qualcosa di solido. Sono così felice di avere questa conversazione. Così? Quindi, come direttore di Netskope Threat Labs, Ray è responsabile della stesura del nostro rapporto trimestrale sulle minacce cloud. Per iniziare, Ray, puoi darci un po' di contesto sul rapporto intermedio, da quanto tempo lo fai e perché lo facciamo?
Ray Canzanese [00:01:06] Certo. Abbiamo iniziato a scrivere questi rapporti nel 2020, quindi questo sarà il nostro terzo anno completo di scrittura. Pubblichiamo un New ogni trimestre e ogni volta che pubblichiamo un rapporto New copriamo un argomento o un aspetto leggermente diverso. L'obiettivo di questi rapporti è fornire al lettore informazioni strategiche e azionabili sulle minacce. Quindi è questo che speriamo si manifesti in tutti questi documenti, ma soprattutto nell'ultimo rapporto che abbiamo appena pubblicato.
Max Havey [00:01:38] Assolutamente. Quindi può dirci quale è stato il focus di questo ultimo rapporto e quale è stato il suo approccio nella stesura di questo rapporto?
Ray Canzanese [00:01:45] Certo. Quindi i rapporti precedenti hanno trattato argomenti come il fatto che vediamo malware scaricare dalle vittime. Abbiamo parlato di dove incontrano link di phishing. Abbiamo parlato dei rischi con l'intelligenza artificiale, giusto. Abbiamo parlato dei rischi di minacce interne. Quindi abbiamo preso tutte queste opinioni diverse, molte delle quali su un avversario esterno. E per questo ultimo rapporto, abbiamo deciso di concentrarci su quell'avversario. A destra. Quindi, invece di concentrarci su una cosa specifica come phishing, malware o exploit, guardiamo agli avversari. Guardiamo agli avversari più attivi contro i clienti Netskope. Vediamo se possiamo imparare qualcosa da questo. Vediamo se possiamo imparare, ad esempio, quali sono le principali tattiche e tecniche utilizzate, indipendentemente dall'avversario di cui stiamo parlando? Oppure vediamo se, se lavoro in un settore specifico, in una geometria specifica, c'è un avversario particolare di cui dovrei preoccuparmi e quindi un insieme specifico di tattiche e tecniche che quell'avversario preferisce su cui concentrarmi per le mie difese.
Max Havey [00:02:59] Sicuramente. Quindi una sensazione di, sai, conoscere il proprio nemico così da poter fare meglio le cose da parte tua.
Ray Canzanese [00:03:05] Esatto. E a volte mi sembra che diventiamo un po' astratti quando parliamo di cybersecurity, come se parlassimo di dove proviene il malware e dove si incontrano. E questo è un po' come fare un passo indietro e ricordarci che c'è qualcun altro che lo fa, giusto? C'è qualcuno che sta inviando quei link, giusto? C'è qualcuno che cerca di convincere i tuoi utenti a fare queste cose che hanno compromesso i tuoi sistemi. Quindi concentriamoci davvero su chi è. A destra. Chi è quell'avversario dall'altra parte di questa sorta di battaglia offensiva e difensiva che affrontiamo nella cybersecurity.
Max Havey [00:03:45] Come ha cambiato il modo in cui hai affrontato la stesura di questo rapporto rispetto ai precedenti rapporti che hai fatto?
Ray Canzanese [00:03:52] Certo. Quindi, innanzitutto, ha cambiato l'approccio di, chiamiamoci, i 12 mesi fino alla stesura di questo rapporto. In altre parole, ciò che dovevamo cambiare prima per scrivere questo rapporto, giusto, era cercare di tracciare l'avversario in modo più ravvicinato e accurato. A destra. Quindi la prima cosa che cambia per noi è che iniziamo a dedicare ancora più tempo quando rileviamo malware, quando vediamo qualcuno visitare una pagina di phishing, quando vediamo traffico di comando e controllo uscire da un endpoint, cercando di raccogliere quante più informazioni possibili su quello, per poi attribuirle a uno o più dei gruppi avversari che stiamo monitorando. A destra. Quindi tutto quel lavoro, sai, e risparmio circa un anno, giusto. Che è più o meno ciò che questo rapporto tratta. Abbiamo iniziato a parlare di, sai, l'inizio del 23 fino ad oggi. Quindi è da qui che iniziamo, giusto, il tracciamento. E poi, quando arriva il momento di iniziare a scrivere il rapporto, quello che stai valutando è che ci sono avversari più attivi di altri? A destra. Ce ne sono alcuni che erano più attivi all'interno di una certa popolazione rispetto ad altri? E poi inizia a guardare quelle tattiche che stanno emergendo, giusto. Per vedere quali sono queste tendenze interessanti, quelle cose che spiccano e che poi ci guideranno nella nostra strategia difensiva per il futuro.
Max Havey [00:05:18] Decisamente un approccio più qualitativo lì. Bene, con questo in mente, quali sono stati alcuni dei punti principali e delle scoperte che hai avuto da questo rapporto?
Ray Canzanese [00:05:27] Certo. Quindi la grande lezione, la prima e forse la più semplice, è che tra tutti gli avversari che stavamo seguendo, giusto. E credo che ci siano stati circa 50 gruppi totali che abbiamo monitorato per questo rapporto. Ci sono state alcune tecniche che si sono distinte tra tutti che le usano. A destra. Quindi, se devo adottare questo approccio conosci il tuo avversario, giusto. C'è questo aspetto che, beh, non mi interessa quale dei 50 avversari sia. Probabilmente faranno queste sei cose e queste sei cose in volume piuttosto consistente. A destra. E quelle sei cose le abbiamo tracciate secondo il framework MITRE ATT&CK. Quindi il framework MITRE ATT&CK ci offre un linguaggio davvero interessante per parlare tra di noi nella cybersecurity di tattiche, tecniche e dei gruppi che le utilizzano. Quindi abbiamo scelto quel linguaggio comune per scrivere questo rapporto e in quel linguaggio comune parliamo di accesso iniziale, delle tecniche che gli avversari usano per entrare in un sistema target. Parliamo di esecuzione, cioè di come esegueno codice malevolo una volta dentro quel sistema, parliamo di comando e controllo, ovvero una volta compromesso il sistema, come comunicano con esso? E infine, esfiltrazione dati, giusto. Come fanno loro, se il loro obiettivo finale è, per esempio, cercare di ricattarti, dovranno rubare qualcosa per ricattarti, giusto? Quindi devono esfiltrare alcuni dati nei loro sistemi. Quindi analizziamo sei tecniche specifiche in queste categorie e che si trovano praticamente in tutti i settori. Ogni avversario che stavamo seguendo le stava facendo. E si concentravano sul phishing, incentrati sul far eseguire malware agli utenti, e poi si concentravano su tutti i comando, controlli e l'esfiltrazione su HTTP e HTTPS, fondamentalmente per mimetizzarsi con tutto il resto della rete.
Max Havey [00:07:40] Quindi, essenzialmente, suddividendo quali sono le tattiche chiave e i consigli che vedi in molti di questi diversi avversari, tutti applicano e poi li suddividono per industria, geo e molti altri fattori, una volta che li hai espressi. A destra.
Ray Canzanese [00:07:55] Giusto. E abbiamo iniziato con questi perché, se stai solo cercando di ottenere da questo rapporto, cosa dovrei fare diversamente? Sono quelli con cui tutti vengono presi di mira, giusto? Quindi, se devi partire da qualche parte, inizia con quelli comuni perché la tua strategia difensiva funzionerà contro praticamente ogni gruppo. A destra. Il passo successivo, dopo aver passato in rassegna queste sei tattiche e tecniche, è osservare cosa sta succedendo nel tuo settore e nella tua geografia.
Max Havey [00:08:22] Decisamente. E scavando più a fondo in questi settori geografici e industrie, c'è qualcosa che ti ha colpito particolarmente in questi risultati?
Ray Canzanese [00:08:30] Sì, c'è stata una cosa che mi ha davvero sorpreso. Quindi, se guardi solo agli avversari che stiamo seguendo, sono molto grossolanamente divisi in due gruppi. Sono motivati finanziariamente o sono motivati geopoliticamente. A destra. O sono criminali informatici. A destra. Oppure sono una sorta di attore geopolitico sponsorizzato o affiliato allo stato. E quindi, guardando a questi due gruppi e in quasi tutta la nostra rete, non sorprende, credo, per chiunque lavori nella cybersecurity che il volume schiacciante sia il crimine informatico, giusto? Si tratta principalmente di attività criminale informatica. L'attività geopolitica come percentuale del volume totale dell'attività degli attaccanti è molto più bassa. Ora, c'erano alcuni pezzi che si sono distinti, vero? Quindi, dal lato industriale, nei servizi finanziari e nella sanità, gli avversari geopolitici erano più attivi che in altri settori. Allo stesso modo, ci sono stati dei punti di rilievo nelle regioni geografiche dove è praticamente l'opposto. Ci sono stati due eventi di rilievo, tra i quali l'Australia e il Nord America, che hanno avuto un'attività di avversario geopolitico molto inferiore rispetto ad altre regioni. Quindi, in realtà, sono stati quegli aspetti più evidenti a sorprendere qui, giusto, in termini di crimini informatici o attività geopolitica che stavamo osservando.
Max Havey [00:10:06] Assolutamente. E quindi, quali sono stati quegli aspetti specifici di tanto interessanti, e perché le persone che sono leader della cybersecurity o altre persone all'interno delle organizzazioni di sicurezza dovrebbero prendere nota di queste anomalie e outlance all'interno di questo tipo di ricerca?
Ray Canzanese [00:10:22] Giusto. Quindi, se lavori in una di queste regioni eccezionali. A destra. Questo ti dice qualcosa sull'avversario che ti trovi ad affrontare. A destra. E quindi non è scorretto. Guarda se è geopolitica o criminale. A destra. Ma poi si può usare il quadro MITRE ATT&CK per esaminare quei principali avversari geopolitici in quelle regioni. Quali sono le tattiche e le tecniche che stanno usando? A destra. E quanto sono ben calibrate le tue difese contro di essi? In altre parole, ciò che impari guardando è ciò che rende speciale il tuo settore o la tua regione, è che forse dovresti fare qualcosa di leggermente diverso, e più mirato all'avversario che ti trovi ad affrontare. E spesso dove puoi ottenere informazioni su questo è parlando con organizzazioni pari, giusto? Quindi parla con altre persone del tuo settore, altre persone che operano nella tua stessa regione. Spesso puoi, sai, trovare un ISAC o qualche altro gruppo, giusto, a cui unirti e condividere tra di voi cosa sta succedendo. Come i tuoi coetanei stanno rafforzando le loro difese. Cosa puoi fare diversamente, imparare da loro per difenderti dagli avversari particolari che affronti.
Max Havey [00:11:37] E questa è una buona conclusione generale, soprattutto ora che siamo, sai, nel mezzo del Mese della Consapevolezza sulla Sicurezza, e ci stiamo riflettendo, spingendo un po' di più, se dovessi offrire una tattica chiave o un suggerimento che arriva da questo rapporto alle organizzazioni di sicurezza più ampie, Persone della sicurezza che sono tecniche, non tecniche, non minacciose, sai, persone là fuori nella sicurezza. Qual è una lezione che offriresti a loro?
Ray Canzanese [00:12:01] Certo. So che uno dei nostri argomenti preferiti di cui si parla nel Mese della Consapevolezza sulla Cybersicurezza è il phishing. Quindi lasciate che parli un attimo di phishing, perché quando pensiamo al phishing, spesso pensiamo all'email, giusto? Gran parte della nostra formazione sul phishing si concentra su come si fa a sapere se è sicuro aprire quell'email. Quello che abbiamo scoperto è che l'email sta diventando sempre meno comune in cui le persone cadono nel phishing. A destra? E questo perché addestri tutti a diffidare delle email, e secondo, perché costruisci tutte le tue difese anti-phishing attorno all'email. E quindi quello che stiamo iniziando a vedere è che non sono email, sono messaggi di testo, sono telefonate, sono messaggi privati su Instagram, sono recensioni false su Facebook. Sono risultati di ricerca strani che hai trovato su Google quando cerchi qualcosa di molto specifico che volevi sapere su un software o hardware che usi e che un attaccante è riuscito a far apparire una pagina di phishing nei risultati di Google per quello. Quindi, in altre parole, penso che la storia del phishing sia che il phishing non è email, giusto? Il phishing è qualcun altro che cerca di ingannarti per farti cedere il tuo username o la tua password o accedere a qualcosa quando in realtà ti sta guardando alle spalle virtualmente. E questo può iniziare ovunque e può iniziare anche fuori dall'email. Quindi, se sei preoccupato per il phishing da un punto di vista tecnico perché lavori nella cybersecurity, assicurati che le tue difese contro il phishing vadano oltre l'email. Se sei solo una persona normale un po' paranoica e preoccupata per il phishing, soluzione semplice: non cliccare mai sui link. Non andare mai sui siti web che gli altri ti dicono di andare. In altre parole, se voglio accedere al sito web della mia banca, apro il browser e digito l'URL del sito della banca. Non c'è altro modo per accedere mai al sito web della mia banca. Nessun messaggio dal tono disperato. Nessun DM su Instagram, nessun Snapchat, nessun Facebook, niente. Non c'è nessuno da nessuna parte che mi convincerà mai a collegarmi a qualcosa di importante in altro modo.
Max Havey [00:14:29] Beh, ed è un buon punto, sottolineare come questo phishing si sia evoluto, come abbiamo visto anche recentemente nelle notizie con l'attacco MGM, che è stato fatto tramite phishing vocale, tramite una telefonata, fino all'helpdesk. Quindi, ci sono questi esempi di come questo continui a svilupparsi, crescere e cambiare. E penso che sia un ottimo punto da sottolineare.
Ray Canzanese [00:14:48] Sì, assolutamente. E non so quanto sia comune, ma probabilmente ricevo una dozzina di telefonate e messaggi al giorno che sono sicuramente truffe di qualche tipo. Quindi o stanno facendo phishing per ottenere credenziali o cercando di farmi mandare loro dei soldi. A destra. Ma c'è qualcosa che non va. Quindi penso che la gente possa conoscere alcune di queste opere ad alto volume. Ma quando inizi a parlare di volume più basso, sono quelli più sfumati che la gente inizia a farsi ingannare. Quindi smetti di pensare al canale e inizia a pensare a cosa sta succedendo davvero. Qualcuno sta cercando di farti andare su un sito falso. Quindi non dare a nessuno queste opportunità, giusto? Semplicemente mai, mai cliccare sui link. A destra. Soluzione semplice. Stacca quel computer.
Max Havey [00:15:37] Smettila di pensare al canale e concentrati sul risultato. Sembra che sia la vera lezione importante qui. Sento che è qualcosa che è abbastanza facile da ricordare per tutti nel nostro pubblico mentre operano da Internet.
Ray Canzanese [00:15:50] Giusto. Perché, sai, do tutti quegli esempi di cosa sia oggi, giusto? Ma domani sarà, non so, Mastodon o qualche altra piattaforma che ora non è così popolare, ma che diventerà popolare diventerà un canale dove i puffer, truffatori, i criminali informatici, attori geopolitici, tutti andranno lì.
Max Havey [00:16:13] Sì, assolutamente. Penso che questo mi porti alla fine delle mie domande qui. C'è qualcos'altro che vorresti aggiungere e che non abbiamo ancora trattato in questa conversazione?
Ray Canzanese [00:16:22] Beh, se non dovessimo fare il lancio, lo farò io. A destra. Questo rapporto è in diretta su netskope.com/threat-labs. Sul nostro sito web troverai maggiori dettagli su tutto ciò di cui abbiamo parlato oggi. E ogni mese vedrete New report mensili sul nostro sito web. Parleremo di minacce interessanti in diretta mentre accadono sul nostro blog. E ogni trimestre vedrete un altro di questi grandi reportage. Se non riesci a stare al passo con tutte queste cose entusiasmanti che stiamo facendo, ho anche una mailing list che troverai proprio su quel sito web che è netskope.com/threat-labs.
Max Havey [00:17:04] Assolutamente. E per chiunque voglia provarlo da solo, avrò un link nelle note dello show per l'episodio. Ma fino ad allora, finché non avremo un altro rapporto per te. Ray, grazie mille per aver dedicato del tempo. È sempre illuminante, parlare con te di tutte le cose interessanti New che stai scoprendo da Netskope Threat Labs.
Ray Canzanese [00:17:19] Grazie, Max.
Max Havey [00:17:20] Fantastico. Buona giornata.
){kind=icon}
