Rapporto: l'aumento degli accessi da parte di malintenzionati ad account e servizi con privilegi mette a rischio le aziende

SAN JOSE, California, 3 marzo 2020 — Vectra AI, leader nel settore del rilevamento e della risposta alle minacce di rete (NDR), ha annunciato oggi l'esistenza di una grave lacuna di sicurezza, evidente, rilevante e urgente: la capacità di stabilire se gli account e i servizi privilegiati siano stati compromessi. Ciò dimostra ancora una volta che gli approcci tradizionali basati sull'accesso, che si affidano a decisioni di sicurezza una tantum o a elenchi predefiniti di identità privilegiate, continuano a fallire.

Pubblicati nell'edizione dedicata alla RSA Conference 2020 di Vectra, nell'Attacker Behavior Industry Report e nello Spotlight Report on Privilege Access Analytics, i risultati forniscono un'analisi diretta dei comportamenti attivi e persistenti degli aggressori, ricavata da oltre cinque milioni di carichi di lavoro e dispositivi provenienti da ambienti cloud, data center e aziendali dei clienti.

Principali risultati emersi dall'edizione 2020 del "RSA Conference" del Rapporto di settore sul comportamento degli aggressori e del Rapporto approfondito sull'analisi degli accessi privilegiati:

• L'accesso privilegiato potenzialmente dannoso proveniente da un host sconosciuto è stato il comportamento anomalo più comune rilevato in materia di accessi privilegiati, rappresentando il 74% di tutti i casi individuati. Si tratta di comportamenti simili a quelli riscontrati nella violazione subita da Capital One.
• Le organizzazioni operanti nei settori della finanza e delle assicurazioni, della sanità e dell'istruzione hanno registrato il maggior numero di anomalie relative all'accesso con privilegi. Questi tre settori rappresentano complessivamente quasi la metà (47%) di tutti i casi rilevati di anomalie relative all'accesso con privilegi.
• In tutti i settori sono stati rilevati 215 casi di comportamenti di attacco ogni 10.000 host. Si tratta di un dato inferiore rispetto ai 282 casi registrati nella prima metà del 2019.
• Il settore tecnologico (138 rilevamenti ogni 10.000) e quello dell'istruzione (102 rilevamenti ogni 10.000) rimangono i settori in cui si riscontrano più frequentemente comportamenti di comando e controllo, con un numero quasi tre volte superiore alla media degli altri settori.
• Le piccole imprese (da 0 a 5.000 dipendenti) sono maggiormente esposte al rischio di attacchi di tipo "lateral movement". In queste aziende sono stati rilevati 112 casi di "lateral movement" ogni 10.000 host, quasi il doppio rispetto alle medie e grandi imprese.

In particolare, il rapporto sottolinea l'importanza dell'accesso privilegiato come elemento chiave del movimento laterale negli attacchi informatici. Gli aggressori sfruttano gli account privilegiati per ottenere un accesso non autorizzato alle risorse più critiche su cui fa affidamento un'organizzazione. Ciò evidenzia l'importanza di un monitoraggio continuo degli account utente, dei servizi e degli host una volta che questi hanno ottenuto l'accesso alla rete e operano al suo interno, in modo che i team di sicurezza dispongano delle informazioni necessarie per intervenire rapidamente contro l'uso malevolo dei privilegi negli ambienti cloud ibridi.

«Le osservazioni contenute in questo rapporto ribadiscono l’importanza di monitorare gli accessi privilegiati e altri comportamenti degli aggressori», ha affermato Chris Morales, Head of presso Vectra. «L’integrazione delle fonti di dati nel cloud i dati di rete consente di creare una potente combinazione di informazioni che aumenta le probabilità di individuare e classificare per priorità le attività successive alla compromissione, prima che si verifichi una violazione catastrofica».