Il rapporto post-intrusione di Vectra mostra che gli autori degli attacchi informatici stanno diventando più silenziosi all'interno delle reti

Vectra® Networks, leader nella gestione automatizzata delle minacce, ha annunciato oggi i risultati del suo ultimo rapporto post-intrusione, uno studio reale sulle minacce che eludono le difese perimetrali e sulle azioni intraprese dagli aggressori una volta penetrati nella rete.

Il rapporto ha analizzato i dati provenienti da 120 reti di clienti Vectra, composte da oltre 1,3 milioni di host, nel primo trimestre del 2016, con un aumento di tre volte rispetto al rapporto precedente che analizzava 40 organizzazioni clienti.

Nel rapporto attuale, tutte le organizzazioni hanno mostrato segni di attacchi mirati, tra cui ricognizione interna, movimento laterale o esfiltrazione di dati. Delle 120 organizzazioni partecipanti, 117 hanno rilevato almeno uno di questi comportamenti durante ogni mese dello studio.

Nonostante quasi il 98% delle organizzazioni abbia rilevato almeno un comportamento al mese durante il periodo di tre mesi, i ricercatori hanno scoperto che più in profondità nella catena di attacco sono stati osservati meno rilevamenti. Ad esempio, l'esfiltrazione dei dati, che è di gran lunga il comportamento più pericoloso, è stata la più bassa di tutte le categorie con il 3%.

"Questi dati dimostrano che i team di sicurezza che si concentrano esclusivamente sulla fase attiva di un attacco alla rete riescono a ridurre efficacemente il rischio di furto di dati", ha affermato Günter Ollmann, CSO di Vectra Networks. "Rispondono più rapidamente e bloccano gli attacchi prima che i dati critici vengano estratti dalle loro reti e si verifichino danni reali".

Tecniche C&C e tunnel nascosti in aumento

I ricercatori hanno scoperto che non solo gli attacchi di tipo command-and-control (C&C) sono in aumento, rappresentando il 67% dei rilevamenti, ma anche l'uso di HTTP e HTTPS C&C per tunnel nascosti ha registrato un aumento significativo quest'anno.

HTTP e HTTPS C&C è una tecnica emergente che consente agli hacker più esperti di trasmettere messaggi nascosti e rubare dati all'interno di protocolli che generalmente non vengono bloccati dai firewall perimetrali.

Insieme, i tunnel HTTP e HTTPS hanno rappresentato il 7,6% di tutti i rilevamenti C&C, rendendoli la terza tecnica C&C più comune in assoluto. Questa tendenza è rimasta costante anche normalizzando il numero di host monitorati. Sono stati osservati tunnel C&C nascosti 4,9 volte ogni 1.000 host, in aumento rispetto alle 2,1 volte ogni 1.000 host rilevate nel rapporto precedente.

Gli aggressori optano per metodi più discreti per spiare all'interno della rete

Il movimento laterale, che consente agli aggressori di diffondersi da est a ovest per raccogliere informazioni, è diminuito significativamente dal 34% del totale dei rilevamenti nel 2015 a circa l'8,6% del totale dei rilevamenti quest'anno.

Tuttavia, una volta entrati nella rete, gli aggressori sembrano diventare più silenziosi. Tra questi rilevamenti di movimenti laterali, gli attacchi di forza bruta, la tecnica più diffusa lo scorso anno, sono diminuiti in modo significativo, mentre i comportamenti dei client Kerberos e della replica automatizzata sono aumentati rispetto allo scorso anno, raggiungendo il 36,3% dei rilevamenti di movimenti laterali.

"Poiché le tecniche di forza bruta sono molto rumorose, gli hacker più esperti e abili tendono a provare prima altre tecniche di accesso, preferibilmente tecniche automatizzabili che sono difficili da distinguere dal normale traffico di rete e che difficilmente causano allarmi in caso di fallimento", ha affermato Ollmann.

"Ad esempio, come dimostrato dai nostri risultati, la divulgazione pubblica delle vulnerabilità di Kerberos e dei nuovi strumenti di attacco in grado di automatizzare lo sfruttamento di tali vulnerabilità fanno ormai parte dell'arsenale degli hacker", ha continuato. "Una volta create le chiavi Kerberos adeguate e violati gli account amministrativi, il processo di compromissione di altri host nella rete della vittima è semplice e meccanico".

Tendenze nella monetizzazione delle botnet

Nel campo dei comportamenti delle botnet, la frode dei clic rimane la tecnica principale con il 58,1%. Sebbene le infezioni da botnet possano rappresentare un rischio minore per le organizzazioni rispetto a un attacco mirato, non sono affatto prive di rischi.

Quest'anno si è registrato un aumento proporzionale dei casi di denial-of-service, attacchi brute force in uscita e scansione delle porte. Questi comportamenti delle botnet sono importanti per le aziende in quanto possono avere un impatto significativo sulla reputazione della rete. Nel complesso, questi rilevamenti rappresentano il 27% degli eventi botnet, più del doppio rispetto al 12% osservato in precedenza.

Una copia del rapporto post-intrusione è disponibile per il download all'indirizzo info.vectranetworks.com/post-intrusion-report-2016.

Informazioni su Vectra Networks

Vectra® Networks è leader nelle soluzioni automatizzate di gestione delle minacce per il rilevamento in tempo reale degli attacchi informatici in corso. La soluzione dell'azienda correla automaticamente le minacce contro gli host sotto attacco e fornisce un contesto unico sulle azioni degli aggressori, consentendo alle organizzazioni di prevenire o mitigare rapidamente le perdite. Vectra assegna la priorità agli attacchi che rappresentano il rischio maggiore per l'azienda, consentendo alle organizzazioni di prendere decisioni rapide su dove concentrare tempo e risorse. Nel 2015, Gartner ha nominato Vectra "Cool Vendor" nella categoria Security Intelligence per aver affrontato le sfide del rilevamento delle minacce post-violazione. L'American Business Awards ha inoltre selezionato Vectra come vincitore del Gold Award per la Tech Startup del 2015. Tra gli investitori di Vectra figurano Khosla Ventures, Accel Partners, IA Ventures, AME Cloud e DAG Ventures. La sede centrale dell'azienda si trova a San Jose, in California, mentre la sede regionale europea è a Zurigo, in Svizzera. Maggiori informazioni sono disponibili all'indirizzo www.vectranetworks.com.

###

Vectra e il logo Vectra Networks sono marchi registrati, mentre Security that thinks, Vectra Threat Labs e Threat Certainty Index sono marchi commerciali di Vectra Networks. Altri nomi di marchi, prodotti e servizi sono marchi commerciali, marchi registrati o marchi di servizio dei rispettivi proprietari.