Vi è mai capitato che un fornitore di sicurezza vi chiedesse quali sono i 16.000 asset principali che volete proteggere? Un fornitore che, quando gli viene chiesto perché lo chiede, vi informa con calma che è perché è l'unica cosa che può coprire per voi?
Tutti noi abbiamo già abbastanza lunghi elenchi di "cose" da produrre e mantenere aggiornati per volerne aggiungere altri. Anche se si tratta di un'iniziativa che si vuole intraprendere, la maggior parte delle organizzazioni non è in grado di dire cosa c'è nel proprio ambiente. Forse non pensano di avere un server Windows 2000 collegato alla rete nell'armadio del laboratorio, ma è così. Gli aggressori troveranno questi sistemi e sfrutteranno qualsiasi cosa presente nella rete per ottenere ciò che vogliono.
La gestione delle risorse è una delle sfide più difficili che le organizzazioni IT possano affrontare. Sebbene risalga a un paio d'anni fa, questo blog sulle risorse fantasma terrificanti offre un'eccellente panoramica delle complessità e delle sfide di sicurezza che comporta, molte delle quali possono essere affrontate da tutti noi. In molti casi, durante le attività di risposta agli incidenti, vengono identificate risorse compromesse che sono elencate negli inventari di gestione delle risorse come dismesse anni prima. Nessuno ha messo offline il server. Era ancora acceso, connesso, non sottoposto a manutenzione e sfruttato con successo dall'aggressore.
Anche se si dispone di un inventario perfetto di tutti i sistemi, è improbabile che si sappia con precisione quali di questi 16.000 asset sono critici per l'azienda. Se le aziende faticano a capire quali sistemi sono presenti nella loro rete, come possono aspettarsi di individuare quali di questi sono esplicitamente critici?
A questo proposito, cosa si intende esattamente per "critico"? Si tratta di qualcosa che contiene dati importanti per l'azienda? Questa definizione comprende praticamente tutti i sistemi del vostro ambiente. A titolo di esempio, si pensi a tutte le fughe di dati personali dovute alla perdita di computer portatili nel corso degli anni. Questi sistemi sono stati etichettati come critici? Oppure si trattava di "un portatile come tanti" che qualcuno aveva portato a casa per finire una lunga settimana? Che cosa succede quando un sistema dev viene messo in piedi per convalidare l'elaborazione dei dati, viene caricato con dati sensibili e poi lasciato in rete e dimenticato?
Se siete come molte persone e pensate che la vostra infrastruttura di rete principale supporti la maggior parte dei dispositivi critici, questo rapporto di FireEye del marzo 2020 su APT41 è una lettura obbligatoria. Il rapporto mostra che APT41 sfrutta attivamente l'infrastruttura di routing Cisco di un'organizzazione. Se si riesce a controllare l'instradamento del traffico, si è in grado di accedere a tutti i dati che attraversano un dispositivo senza dover compromettere l'endpoint critico.
Per quanto riguarda l'Internet delle cose (IoT) e le risorse non critiche che vengono sfruttate dalle minacce persistenti avanzate, l'esempio migliore è ancora APT28, noto anche come Fancy Bear o Strontium, che viene descritto in dettaglio in questo articolodi ZDNet su un rapporto pubblicato da Microsoft. Un aspetto importante da sottolineare è l'ampiezza dei dispositivi IoT sfruttati da APT28, tra cui telefoni VoIP (Voice over Internet Protocol), stampanti e decodificatori video, per portare a termine l'attacco. Ciò rivela il desiderio dei criminali informatici di utilizzare i dispositivi IoT in modo più ampio in un attacco organizzato e dimostra che gli aggressori si preoccupano poco di ciò che è "critico" secondo la vostra definizione, concentrandosi invece sullo sfruttamento di tutto ciò che consente loro di raggiungere i propri obiettivi.
Il mio punto finale è questo: Come difensori, non dovreste essere costretti a prendere decisioni arbitrarie basate su informazioni imperfette su quali risorse potrete o non potrete difendere con le capacità di sicurezza che portate in battaglia. Le vostre soluzioni di sicurezza dovrebbero consentirvi di rilevare tempestivamente le minacce senza vincoli arbitrari e con grande sicurezza, indipendentemente dal luogo in cui gli aggressori scelgono di operare. Meritate di monitorare e proteggere l'intero ambiente, non solo alcuni endpoint selezionati.
È il mese della consapevolezza della sicurezza informatica, proteggete la vostra rete e riducete i rischi aziendali con il rilevamento e la risposta di rete (NDR). Se volete vedere come, programmate una demo.