Gennaio 2024: un soggetto terzo non autorizzato ha avuto accesso a dati personali sensibili di circa 16,6 milioni di clienti di LoanDepot. Agosto 2025: Allianz Life è stata vittima di un attacco informatico che ha compromesso i dati personali di oltre un milione di clienti. Febbraio 2026: un attacco ransomware ai danni di BridgePay Network Solutions ha reso inaccessibile il portale di fatturazione online della città di Palm Bay, in Florida.
Si delinea un quadro chiaro: gli istituti finanziari sono diventati un obiettivo di grande valore per gli hacker.
Queste operazioni sono spesso condotte da gruppi criminali informatici organizzati o da attori sostenuti da Stati che mirano a ottenere ingenti guadagni finanziari o a destabilizzare il mercato. Se lavori nel settore finanziario e pensi di essere al riparo dai rischi, significa che non stai prestando attenzione.
Il punto di accesso è raramente sofisticato. In molti casi, tutto inizia con un'e-mail di phishing. Da lì, gli hacker si muovono lateralmente, navigando all'interno dei sistemi, ampliando i propri privilegi di accesso e avvicinandosi sempre più al loro obiettivo iniziale: infrastrutture di pagamento, piattaforme di trading e dati dei clienti.
È proprio qui che molte organizzazioni finanziarie perdono il controllo della situazione: se la visibilità sulla rete è limitata, tale movimento può passare inosservato finché non è troppo tardi; il tempo medio necessario per individuarlo può arrivare fino a 181 giorni.
Questa era la sfida che doveva affrontare un’importante organizzazione finanziaria, che mirava a colmare le lacune nella visibilità e a potenziare i propri sistemi di rilevamento e risposta. A tal fine, ha scelto OPSWAT MetaDefender NDR, implementandolo in segmenti critici della propria infrastruttura per ottenere una visione più approfondita del traffico di rete e individuare le minacce in modo più tempestivo.
Questa è la loro storia.
La scarsa visibilità della rete ha esposto i sistemi del cliente al movimento laterale
Il cliente disponeva di strumenti di monitoraggio tradizionali, incentrati principalmente sugli avvisi relativi agli endpoint e sulle difese perimetrali. Questi strumenti funzionavano egregiamente quando si trattava di rilevare malware noti o tentativi di accesso sospetti, ma presentavano carenze in termini di visibilità della rete.
Pertanto, la rete si comportava come un'area nascosta, proprio dove i sistemi di sicurezza erano più vulnerabili e i team SOC meno preparati a gestire gli incidenti. Questi punti ciechi hanno portato a:
Latenza nel rilevamento dei movimenti laterali
Nelle banche e in altri istituti finanziari, il movimento laterale è solitamente la fase in cui gli aggressori si spostano da una postazione inizialmente compromessa (come il portatile di un impiegato di banca o un computer del back-office) verso sistemi di alto valore. Questi sistemi possono riguardare l'elaborazione dei pagamenti, l'infrastruttura SWIFT o i database bancari principali.
Per il nostro cliente, il ritardo era dovuto al fatto di fare affidamento su avvisi a livello perimetrale, che spesso arrivavano in ritardo o non venivano attivati affatto. Con oltre 50.000 dipendenti, le opportunità per gli hacker di violare i sistemi erano numerose. Un rischio che il cliente non era disposto a correre.
Flussi di lavoro forensi lenti
Negli istituti finanziari, le indagini forensi successive a una violazione sono spesso rallentate dalla frammentazione delle fonti di dati, poiché i team SOC potrebbero dover mettere in correlazione i log dei firewall, gli avvisi degli endpoint o i log di autenticazione. Anche con l'ulteriore pressione di dover agire rapidamente, questi team potrebbero comunque avere difficoltà a capire cosa sia realmente accaduto e quale sia l'approccio migliore per contenere la violazione.
In parole povere, i team SOC erano all'oscuro di tutto e i potenziali aggressori avrebbero potuto approfittarne.
In che modoMetaDefender NDR il rilevamento e le analisi forensi
Il divario di visibilità è stato colmato grazie a MetaDefender NDR; progettato appositamente per la ricerca proattiva in rete, MetaDefender NDR le funzionalità di visibilità di rete e gli strumenti analitici che mancavano nell'arsenale del nostro cliente.
MetaDefender NDR
MetaDefender NDR le organizzazioniNDR individuare, analizzare e reagire più rapidamente alle minacce di rete senza compromettere le operazioni aziendali.
Analizzando i dati di telemetria della rete per individuare modelli di traffico anomali, rileva i movimenti laterali tra i sistemi e individua le comunicazioni associate agli attacchi informatici.
La piattaforma mira a potenziare le competenze specialistiche di un tipico analista SOC. Grazie ai suoi modelli di rilevamento basati sull'intelligenza artificiale, analizza costantemente i comportamenti della rete per individuare anomalie sottili che potrebbero indicare l'attività di un aggressore nelle prime fasi del ciclo di vita dell'attacco.
Per il nostro cliente, la piattaforma ha risolto i principali problemi che compromettevano le prestazioni del SOC.
Rilevamento del movimento laterale
Anziché basarsi sugli endpoint per segnalare l'attività, MetaDefender NDR costantemente il traffico east-west a livello di rete, analizzando al contempo i flussi di traffico tra i sistemi interni. In questo modo, è in grado di rilevare modelli ricorrenti quali tentativi ripetuti di autenticazione, connessioni insolite o comunicazioni tra sistemi che normalmente non interagiscono tra loro.
La latenza viene ridotta grazie alla combinazione tra la definizione di un modello di riferimento comportamentale delle normali comunicazioni interne e il rilevamento delle anomalie applicato quasi in tempo reale.
Indagini forensi più rapide
MetaDefender NDR registraNDR i metadati del traffico e consente un'analisi retrospettiva. Una volta individuato un IOC (indicatore di compromissione), il sistema può risalire indietro nel tempo e verificare se in passato qualche sistema interno abbia comunicato con esso.
Ora, i team SOC non devono più cercare di ricostruire il traffico del giorno in cui si è verificato un incidente o recuperare i log precedenti; gli analisti possono interrogare direttamente i dati di telemetria di rete archiviati, il che risulta particolarmente utile nel settore finanziario, dove un intervallo di tempo prolungato dopo un attacco può comportare violazioni normative.
Inoltre, i flussi di lavoro di indagine assistiti dall'intelligenza artificiale hanno aiutato gli analisti a mettere in relazione gli avvisi, a dare priorità agli incidenti ad alto rischio e a ridurre i tempi delle indagini manuali, consentendo all'istituzione di passare da un rilevamento reattivo a un monitoraggio proattivo della rete.
Impatto misurabile sulla visibilità del SOC e sul rilevamento delle minacce
MetaDefender NDR l'attenzione sul livello di rete e ha applicato l'analisi comportamentale al traffico interno, una strategia particolarmente efficace negli ambienti finanziari segmentati. Inoltre, ha consentito agli analisti di dedicare meno tempo alla raccolta dei dati e più tempo al processo decisionale.
Ecco come si presenta il risultato in tutti i settori:
| Area di impatto | Risultato quantificabile |
|---|---|
| Visibilità della rete | Ha fornito una visione approfondita delle comunicazioni all'interno del sistema finanziario. |
| Velocità di rilevamento delle minacce | L'analisi assistita dall'intelligenza artificiale ha consentito di individuare tempestivamente attività sospette e movimenti laterali. |
| Efficienza delle indagini | Riduzione del tempo necessario agli analisti SOC per esaminare gli avvisi. |
| Protezione operativa | Maggiore capacità di individuare minacce avanzate all'interno della rete. |
| Risposta agli incidenti | Risposta rapida a potenziali attacchi prima che la situazione degeneri. |
| Preparazione alla conformità | Sono necessarie maggiori capacità di monitoraggio per soddisfare i requisiti di vigilanza in materia di regolamentazione finanziaria. |
Se le minacce agiscono nell'ombra, la visibilità diventa fondamentale
L'abbiamo visto nei film di rapine e l'abbiamo visto nella vita reale. Per gli istituti finanziari, la violazione iniziale non è di per sé pericolosa. Se viene individuata in tempo, non può causare gravi danni, se non quello di mettere in luce i punti deboli dell'azienda.
Tuttavia, il pericolo reale si presenta quando gli hacker riescono a penetrare in un sistema ma non si affrettano a rivelare la propria presenza. Al contrario, osservano, si muovono con discrezione e si avvicinano a ciò che conta di più: i pagamenti o i dati sensibili dei clienti.
Ecco perché la sicurezza non può limitarsi al perimetro. Altrimenti, gli IOC passano inosservati finché non è troppo tardi.
Con l'introduzione MetaDefender NDR, il nostro cliente è passato da un livello di monitoraggio limitato a una sorveglianza continua della rete. I team del SOC sono ora in grado di individuare comportamenti sospetti non appena si verificano, collegare i segnali di rete per individuarne gli schemi ricorrenti e intervenire prima che le anomalie si trasformino in incidenti.
Se la vostra organizzazione sta rivalutando il modo in cui individua e risponde alle minacce al di fuori del perimetro, potrebbe essere il momento di andare oltre i controlli tradizionali e prendere in considerazione un approccio a livello di rete. Contattateci per scoprire come MetaDefender NDR fare al caso vostro.
