Vectra® Networks, leader nella gestione automatizzata delle minacce, ha annunciato oggi i risultati del suo ultimo "Post-Intrusion Report", uno studio basato su casi reali che analizza le minacce in grado di eludere le difese perimetrali e le azioni intraprese dagli aggressori una volta penetrati all'interno della rete.
Il rapporto ha analizzato i dati provenienti da 120 reti di clienti Vectra, per un totale di oltre 1,3 milioni di host, relativi al primo trimestre del 2016, con un aumento di tre volte rispetto al rapporto precedente, che aveva analizzato 40 organizzazioni clienti.
Nel presente rapporto, tutte le organizzazioni hanno mostrato segni di attacchi mirati, tra cui ricognizione interna, spostamenti laterali o esfiltrazione di dati. Delle 120 organizzazioni partecipanti, 117 hanno rilevato almeno uno di questi comportamenti in ciascuno dei mesi oggetto dello studio.
Sebbene quasi il 98% delle organizzazioni abbia rilevato almeno un comportamento al mese nel corso del trimestre, i ricercatori hanno riscontrato che, man mano che ci si addentra nella kill chain, il numero di rilevamenti diminuisce. Ad esempio, l'esfiltrazione di dati – che è di gran lunga il comportamento più pericoloso – ha registrato il dato più basso tra tutte le categorie, pari al 3%.
«Questi dati dimostrano che i team di sicurezza che concentrano la propria attenzione sulla fase attiva di un attacco alla rete riescono a ridurre efficacemente il rischio di furto di dati», ha affermato Günter Ollmann, CSO di Vectra Networks. «Rispondono più rapidamente e bloccano gli attacchi prima che i dati critici vengano sottratti dalle loro reti e si verifichino danni concreti».
Aumento delle tecniche di C&C e dei tunnel nascosti
I ricercatori hanno scoperto che non solo gli attacchi di tipo "command-and-control" (C&C) sono in aumento, rappresentando il 67% dei casi rilevati, ma anche che quest'anno si è registrato un notevole aumento nell'uso di protocolli HTTP e HTTPS C&C per la creazione di tunnel nascosti.
Il C&C HTTP e HTTPS è una tecnica emergente che consente agli hacker più esperti di trasmettere messaggi nascosti e sottrarre dati all'interno di protocolli che, in genere, non vengono bloccati dai firewall perimetrali.
Complessivamente, i tunnel HTTP e HTTPS hanno rappresentato il 7,6% di tutti i rilevamenti di C&C, risultando la terza tecnica C&C più diffusa in assoluto. Questa tendenza è rimasta costante anche dopo la normalizzazione in base al numero di host monitorati. I tunnel C&C nascosti sono stati rilevati 4,9 volte ogni 1.000 host, in aumento rispetto alle 2,1 volte ogni 1.000 host registrate nel rapporto precedente.
Gli hacker scelgono metodi più discreti per spiare all'interno della rete
I movimenti laterali, che consentono agli hacker di spostarsi da est a ovest per raccogliere informazioni, sono diminuiti in modo significativo, passando dal 34% del totale dei rilevamenti nel 2015 a circa l'8,6% del totale dei rilevamenti quest'anno.
Tuttavia, una volta entrati nella rete, gli autori degli attacchi sembrano diventare più cauti. Tra i casi rilevati di movimento laterale, gli attacchi di forza bruta – la tecnica più diffusa lo scorso anno – sono diminuiti in modo significativo, mentre i comportamenti relativi ai client Kerberos e alla replica automatizzata sono aumentati rispetto allo scorso anno, raggiungendo entrambi il 36,3% dei casi rilevati di movimento laterale.
«Poiché le tecniche di forza bruta sono molto evidenti, gli hacker più esperti e abili tendono a provare prima altre tecniche di accesso, preferibilmente tecniche automatizzabili che siano difficili da distinguere dal normale traffico di rete e che difficilmente diano luogo a segnalazioni in caso di fallimento», ha affermato Ollmann.
«Ad esempio, come dimostrano i nostri risultati, la divulgazione pubblica delle vulnerabilità di Kerberos e dei nuovi strumenti di attacco in grado di automatizzare lo sfruttamento di tali vulnerabilità fa ormai parte dell’arsenale degli hacker», ha proseguito. «Una volta create le chiavi Kerberos adeguate e compromessi gli account amministrativi, il processo di compromissione degli altri host nella rete della vittima è semplice e meccanico».
Tendenze nella monetizzazione delle botnet
Per quanto riguarda i comportamenti delle botnet, la frode dei clic rimane la tecnica più diffusa, con una percentuale del 58,1%. Sebbene le infezioni da botnet possano rappresentare un rischio minore per le organizzazioni rispetto a un attacco mirato, non sono affatto prive di rischi.
Quest'anno si è registrato un aumento proporzionale degli attacchi denial-of-service, degli attacchi brute force in uscita e delle scansioni delle porte. Questi comportamenti delle botnet sono rilevanti per le aziende, poiché possono avere un impatto significativo sulla reputazione della rete. Nel loro insieme, questi rilevamenti rappresentano il 27% degli eventi legati alle botnet, più del doppio rispetto al 12% osservato in precedenza.
È possibile scaricare una copia del rapporto post-intrusione all'indirizzo info.vectranetworks.com/post-intrusion-report-2016.
Informazioni su Vectra Networks
Vectra® Networks è leader nelle soluzioni automatizzate di gestione delle minacce per il rilevamento in tempo reale degli attacchi informatici in corso. La soluzione dell'azienda mette automaticamente in relazione le minacce con gli host sotto attacco e fornisce un contesto unico sulle azioni degli aggressori, consentendo alle organizzazioni di prevenire o mitigare rapidamente le perdite. Vectra assegna la priorità agli attacchi che comportano il rischio maggiore per l'azienda, permettendo alle organizzazioni di decidere rapidamente su dove concentrare tempo e risorse. Nel 2015, Gartner ha nominato Vectra "Cool Vendor" nel settore della sicurezza informatica per aver affrontato le sfide del rilevamento delle minacce post-violazione. Gli American Business Awards hanno inoltre selezionato Vectra come vincitrice del Gold Award per la categoria Tech Startup del 2015. Tra gli investitori di Vectra figurano Khosla Ventures, Accel Partners, IA Ventures, AME Cloud e DAG Ventures. La sede centrale dell'azienda si trova a San Jose, in California, mentre la sede regionale europea è a Zurigo, in Svizzera. Maggiori informazioni sono disponibili all'indirizzo www.vectranetworks.com.
###
Vectra e il logo di Vectra Networks sono marchi registrati, mentre "Security that thinks", "Vectra Threat Labs" e "Threat Certainty Index" sono marchi di Vectra Networks. Gli altri nomi di marchi, prodotti e servizi sono marchi, marchi registrati o marchi di servizio dei rispettivi titolari.
