Aspettare di rispondere a un attacco spesso significa reagire troppo tardi. Gli avversari moderni utilizzano metodi sempre più sofisticati per aggirare le difese tradizionali, lasciando le organizzazioni vulnerabili. La recente valutazione del red team della Cybersecurity and Infrastructure Security Agency (CISA) sottolinea le sfide tecniche che le organizzazioni devono affrontare per proteggere le loro infrastrutture. Attraverso simulazioni di attacchi avanzati, il team della CISA è riuscito a compromettere sistemi critici, mettendo in luce le lacune nelle strategie di rilevamento e risposta.
In questo articolo metteremo in evidenza gli insegnamenti chiave tratti dai risultati della CISA e spiegheremo come i test di sicurezza offensivi continui possano rafforzare le difese della vostra organizzazione contro le minacce reali.
Cosa ha rivelato la valutazione del Red Team della CISA
Il red team della CISA è riuscito a compromettere il dominio e i sistemi aziendali sensibili di un'organizzazione che gestisce infrastrutture critiche. I punti chiave sono stati:
- Eccessiva dipendenza dall'Endpoint and Response (EDR): l'affidamento dell'organizzazione a soluzioni basate su host ha lasciato significative lacune a livello di rete.
- Mancanza di protezioni a livello di rete: una segmentazione e un monitoraggio insufficienti hanno consentito agli aggressori di muoversi lateralmente e mantenere la persistenza senza essere rilevati.
- Opportunità di rilevamento mancate: tecniche come Kerberoasting, golden ticket e movimenti laterali utilizzando credenziali rubate hanno aggirato i controlli esistenti.
Questi risultati evidenziano l'urgente necessità di test di sicurezza offensivi continui che simulino le moderne tecniche di attacco.
I vantaggi dei test di sicurezza offensivi continui
Mentre gli strumenti di sicurezza tradizionali si concentrano sulla difesa, i test offensivi verificano la preparazione della tua organizzazione a rilevare e rispondere agli attacchi reali. Ecco perché è importante:
- Simula attacchi reali: i test riproducono le tecniche utilizzate dagli avversari, quali canali di comando e controllo (C2), ricognizione, movimento laterale ed esfiltrazione dei dati.
- Esporre le vulnerabilità nascoste: identificare le configurazioni errate e le lacune, come quelle nella segmentazione della rete o nella gestione delle identità, prima che lo facciano gli aggressori.
- Migliorare le capacità di rilevamento: i test continui aiutano a mettere a punto gli strumenti di rilevamento per individuare tecniche che in passato eludevano le difese tradizionali.
Come Vectra AI ti Vectra AI a rimanere all'avanguardia
Vectra AI soluzioni avanzate su misura per affrontare le vulnerabilità evidenziate dalla valutazione della CISA:
Capacità di rilevamento complete
Sfruttando i nostri meccanismi di rilevamento avanzati, Vectra AI le minacce nascoste nei canali di comando e controllo, nei movimenti laterali e nell'esfiltrazione dei dati. Ad esempio:
- Rilevamento di tunnel nascosti, come tunnel basati su HTTP, DNS e HTTPS, utilizzati dagli avversari per comunicazioni segrete.
- Monitoraggio delle operazioni anomale di Active Directory, comprese le richieste di replica indicative di attacchi DCSync.
- Approfondimenti sull'uso improprio dei privilegi, come attività insolite sugli account degli host, che consentono il rilevamento tempestivo dei movimenti laterali.
- Identifica Kerberoasting avvisa in caso di richieste di ticket di servizio Kerberos dannose che potrebbero compromettere gli account con privilegi.
Servizi di sicurezza offensiva
Il Vectra AI Security Hub è una raccolta di strumenti, risorse e ambienti protetti per valutare e testare la resilienza della sicurezza informatica dei clienti come organizzazione e come individui. Comprendete dove le vostre attuali difese sono carenti e identificate le aree di miglioramento con le nostre analisi Offensive Gap:
- Analisi delle lacune della rete: verifica la resilienza dei controlli di rete rispetto alle metodologie di attacco reali, tra cui movimenti laterali, configurazioni C2 ed esfiltrazione dei dati.
- MAAD-AF e Halberd: strumenti open source di emulazione degli attacchi per l'analisi delle lacune cloud nell'identità, che simulano attacchi su Azure AD, AWS e altre piattaforme con una configurazione minima.
Lezioni chiave per i team SOC
Sulla base dei risultati ottenuti dal CISA, ecco cosa può fare il tuo team oggi stesso:
- Adotta Rilevamento e risposta di rete (NDR): integrare l'EDR con un monitoraggio di rete affidabile per rilevare le minacce che si muovono lateralmente o che prendono di mira i livelli di rete.
- Convalida continua: testate regolarmente le vostre difese contro MITRE ATT&CK e perfezionate le regole di rilevamento.
- Investite nella formazione e nelle risorse: dotate il vostro team degli strumenti e delle conoscenze necessari per identificare e affrontare le minacce in continua evoluzione.
Adotta un approccio proattivo per rafforzare la tua sicurezza
La posta in gioco è alta, ma la soluzione è a portata di mano. Adottando un approccio proattivo alla sicurezza informatica, le organizzazioni possono passare da difese reattive a strategie resilienti e adattive.
Attraverso la Vectra AI , che sfrutta funzionalità di rilevamento avanzate come l'identificazione Kerberoasting , le organizzazioni possono individuare le lacune nelle loro difese e rafforzare la loro risposta ai moderni metodi di attacco.
Combinando questi rilevamenti con i nostri servizi di sicurezza offensiva, consentiamo ai team SOC di testare, convalidare e migliorare in modo proattivo le loro difese contro minacce sofisticate.
Fai il passo successivo: guarda le nostre demo autoguidate per vedere Vectra AI azione, oppure richiedi un'analisi delle lacune per individuare le vulnerabilità e rafforzare subito le tue difese.