La defense evasion è l'insieme delle tecniche che gli attaccanti usano per evitare di essere rilevati: offuscare o codificare il codice, disattivare o manomettere gli strumenti di sicurezza e nascondere payload dentro processi legittimi. Nel framework MITRE ATT&CK è la tattica TA0005, ed è particolare perché non descrive un singolo obiettivo come il furto di dati. Avvolge invece quasi tutto il resto di ciò che fa un attaccante, trasformando un'azione rumorosa in una silenziosa.
Perché la defense evasion conta
Ogni altra tattica, dal furto di credenziali al movimento laterale, diventa molto più pericolosa quando passa inosservata. Un attaccante che può agire senza far scattare un allarme guadagna la risorsa che conta di più: il tempo. Per questo l'elusione è trattata meno come un passo opzionale e più come un requisito di base delle intrusioni serie.
La portata del fenomeno colpisce. Nell'analisi di attacchi reali di Anthropic la defense evasion è stata la tattica più usata, presente nell'84,4% degli attori, come puoi leggere nel nostro approfondimento su come gli hacker usano l'IA. Quando più di quattro avversari su cinque danno priorità al restare nascosti, il rilevamento diventa il problema centrale della difesa moderna.
Tecniche comuni di defense evasion
La defense evasion comprende decine di metodi distinti, ma la maggior parte rientra in poche famiglie riconoscibili.
Queste tecniche sono potenti proprio perché attaccano le ipotesi su cui contano i difensori. Gli scanner basati sulle firme presumono che il codice malevolo sia riconoscibile, e l'offuscamento rompe questa ipotesi. Il monitoraggio presume che i log siano completi, e la cancellazione dei log rompe l'altra.
Rilevare e contrastare l'elusione
Poiché l'elusione attacca proprio gli strumenti che sorvegliano gli attacchi, nessun prodotto da solo la ferma. La risposta difensiva è lavorare a strati. Le moderne piattaforme di rilevamento e risposta sugli endpoint si concentrano sul comportamento anziché sulle firme, segnalando iniezioni sospette, manomissioni dei servizi di sicurezza e righe di comando anomale che l'offuscamento non riesce a nascondere facilmente.
Oltre al rilevamento automatico, il threat hunting guidato dalle persone parte dal presupposto che un attore evasivo possa essere già dentro e va a cercare le tracce che lascia: log cancellati, difese disattivate o un processo che si avvia dove non dovrebbe. La lezione di una prevalenza dell'84,4% è semplice. I difensori non possono presumere che il silenzio significhi sicurezza, perché gli avversari più capaci dedicano il loro primo sforzo ad assicurarsi che tu non senta nulla.
Come insegniamo Defense Evasion (Elusione delle Difese)
Nel nostro Cybersecurity Bootcamp, non imparerai solo la teoria su Defense Evasion (Elusione delle Difese). Praticherai con strumenti reali in laboratori pratici, guidato da professionisti del settore che usano questi concetti quotidianamente.
Trattato in:
Modulo 10: Penetration Testing e Hacking Etico
360+ ore di formazione esperta • CompTIA Security+ incluso