Esempio di analisi di un grafico della catena di sviluppo delle minacce

Questa sezione contiene un esempio di grafico della catena di sviluppo delle minacce e illustra come è possibile utilizzarlo per analizzare un attacco nei dispositivi degli utenti.

Esaminiamo ad esempio un attacco tramite un messaggio e-mail di phishing contenente un allegato. L'allegato è un file eseguibile.

L'utente salva ed esegue il file nel proprio dispositivo. Kaspersky Endpoint Security for Windows rileva il tipo di oggetto dannoso rilevato.

Un rilevamento in Kaspersky Endpoint Security for Windows

Il widget di Endpoint Detection and Response mostra fino a 10 avvisi.

Widget di Endpoint Detection and Response

Facendo clic sul collegamento Esamina nella riga desiderata del widget, è possibile passare a un grafico della catena di sviluppo delle minacce.

Un grafico della catena di sviluppo delle minacce

Il grafico della catena di sviluppo delle minacce fornisce informazioni sull'avviso, ad esempio: azioni che si sono verificate nel dispositivo durante l'avviso, categoria della minaccia rilevata, origine del file (in questo esempio, un messaggio e-mail), l'utente che ha scaricato il file (in questo esempio, un amministratore). Il grafico della catena mostra inoltre che nel dispositivo sono stati creati file aggiuntivi, che sono state stabilite diverse connessioni di rete e che alcune chiavi del Registro di sistema sono state modificate.

Sulla base di queste informazioni, è possibile procedere come segue:

• Verificare le impostazioni del server di posta.
• Aggiungere il mittente del messaggio e-mail alla lista vietati (se il mittente è esterno) o rivolgersi direttamente al mittente (se è interno).
• Verificare se altri dispositivi sono collegati agli stessi indirizzi IP.
• Aggiungere questi indirizzi IP alla lista vietati.

Quando si fa clic su un collegamento nei campi SHA256, MD5, indirizzo IP o URL nelle informazioni dettagliate su un file, si viene indirizzati al Kaspersky Threat Intelligence Portal https://opentip.kaspersky.com/. Il portale mostra che il file rilevato non è né una minaccia né un file noto.

Kaspersky Threat Intelligence Portal

Questo esempio mostra l'importanza della funzionalità Endpoint Detection and Response. Il file principale del file rilevato non è attendibile, ma non è dannoso. Questo significa che non è stato rilevato da Kaspersky Endpoint Security for Windows. Questo file è ancora presente nel dispositivo e si trova all'interno dell'organizzazione. Se nell'organizzazione sono presenti dispositivi in cui alcuni componenti della protezione sono disabilitati (ad esempio Rilevamento del Comportamento) o in cui i database anti-malware non sono aggiornati, l'attività dannosa del file principale non verrà rilevata e i criminali potrebbero riuscire a penetrare nell'infrastruttura dell'organizzazione.

Inizio pagina