Il crimine informatico già da anni si muove molto più velocemente ed agilmente delle difese informatiche. La prova più recente è Aikido Wiper che è in grado di usare a suo favore ai fini di un attacco alcuni degli strumenti più recenti della cybersecurity: gli EDR e XDR.
In generale i wiper sono già conosciuti. Essi, una volta entrati in un end-point, sono in grado di aprire qualsiasi file, sovrascriverlo o cancellarlo, quindi di rendere inutile quel computer. Per fare ciò usano proprio gli EDR (Endpoint Detection and Response) in esecuzione sugli endpoint, trasformandoli in tool di cancellazione e sovrascrittura. La novità di Aikido Wiper è di poter cancellare i file senza utilizzare chiamate API evidenti e di muoversi come utente non privilegiato.
Quindi Gartner sottolinea che la difesa informatica tramite EDR o XDR è utile a patto che non sia l’unico strumento e che non si utilizzi un pacchetto di strumenti mono-vendor. Gartner, infatti, consiglia una modalità multivendor, spiegando che un approccio stratificato che coinvolge anche strumenti votati all’Identity Threat Detection. La strategia migliore è quella di prevedere l’utilizzo di un mosaico di tool che siano in grado di essere complementari e possano sovrapporsi al fine di una difesa completa. Un buon esempio di tale mosaico multi-vendor, anche in rispetto dell’approccio Zero Trust è un prodotto come CYNET affiancato dalla protezione degli end-point con la deception (la soluzione israeliana e brevettata DECEPTIVE BYTES) e dall’applicazione del MFA per la verifica dell’identità su tutta la rete grazie ad un’altra soluzione Made in Israel ZERO NETWORKS (in grado anche di micro-segmentare la rete)
Aikido Wiper, quindi, permette una lesson learned importante: gli strumenti EDR e XDR, sono una parte importante della strategia di difesa informatica, tuttavia la migliore difesa è una difesa a strati. Non si può fare affidamento su di un solo strumento di sicurezza per proteggersi, per quanto eccellente possa essere.
Dato che Aikido Wiper opera su un endpoint, senza fare affidamento sui privilegi del sistema di identità, e dato che nessuna protezione EDR/XDR potrà essere di aiuto una volta che gli aggressori avranno violato l’endpoint, allora è importante rendere impossibile il suo accesso agli end-point aziendali. Da qui l’utilizzo di una soluzione come DECEPTIVE BYTES.
Aggiungiamo che anche un backup AD sicuro e privo di malware può essere molto utile nel caso non si abbiamo difese multi-strato e multi-vendor.