Gli attacchi informatici di successo sono ancora in aumento
Leggendo il rapporto di Verizon sulle indagini relative alle violazioni dei dati nel 2022, risulta evidente - e anche triste - che il 2021 è stato ancora una volta un anno con un numero considerevole di cyberattacchi riusciti:
- Abbiamo assistito a violazioni che hanno sfruttato vulnerabilità zero-day e CVE critiche, alcune multiple in MS Exchange (Hafnium) e con Log4J.
- L'anno successivo a SolarWinds, ancora una volta si sono verificati diversi attacchi alla supply-chain, come nel caso di Kaseya.
- Molto spesso, tuttavia, molte violazioni erano ancora causate da semplici errori e configurazioni errate.
Il risultato o il "fine ultimo" di tali violazioni - molto spesso collegate a una minaccia persistente avanzata (APT), o dovremmo dire oggi APT "altamente evasiva" - è il furto di dati o l'installazione di ransomware. Molto spesso, infatti, vengono sfruttati entrambi in parallelo, la cosiddetta "doppia estorsione".
Uno sguardo più attento alla categoria del ransomware mostra che Verizon ha osservato un aumento del 13% su base annua, rendendo il ransomware responsabile del 25% di tutti gli incidenti di cybersecurity.
Per quanto riguarda il modus operandi di una APT, vediamo che un attacco di questo tipo si rivela per lo più, se non sempre, un'operazione a fasi. Ciò induce a chiedersi perché ci si concentri ancora tanto sull'esito di un attacco, il ransomware, invece di discutere le analogie che si possono osservare nel raggiungimento di questo "gioco finale".
Inoltre, tutte le aziende che subiscono una violazione dispongono già di un mix di soluzioni di sicurezza, che vanno dalla rete all'endpoint, sfruttando le firme e il "nuovo gold standard", l'AI/ML.
Il problema delle strategie preventive di cybersecurity
Allora, perché questo accade ancora e ancora? Perché non riusciamo a individuare e prevenire questi attacchi prima che abbiano successo?
Concentriamoci su alcune cifre della ricerca per aggiungere un po' di contesto. Ad esempio, esaminiamo il numero di Vulnerabilità ed Esposizioni Comuni (CVE) con cui dobbiamo confrontarci:
- L'anno scorso sono state divulgate oltre 20.000 nuove CVE, con un aumento di circa il 10% rispetto all'anno precedente.
Secondo Tanium, il più vecchio scoperto risale a 21 anni fa ed è emerso in SNMPv2, che è ancora ampiamente utilizzato per gestire i dispositivi su una rete IP. - Più del 10% di questi CVE sono classificati come "critici". Sono più di 2000! O più di 165 al mese. Anche se non sono tutti applicabili al vostro ambiente, dovrete comunque occuparvi di molti di essi.
- Nel primo trimestre del 2022, il National Vulnerability Database (NVD), che osserva le CVE, ne contiene già oltre 8.000 (con un aumento del 25% rispetto allo stesso periodo dell'anno precedente).
Le statistiche di cui sopra sono impressionanti, in quanto indicano il compito impossibile di ricercare, rilevare e applicare le patch a tutti questi problemi nel rispettivo ambiente. Questo non è semplicemente possibile a causa della quantità, ma anche del rischio di mettere offline i sistemi critici per un tempo sufficiente a patcharli. Per non parlare dei sistemi che non si possono patchare affatto perché non si osa toccarli...
Il problema delle strategie preventive e correttive diventa ancora più evidente quando si iniziano a esaminare gli attacchi che si sono effettivamente verificati, sfruttando questi CVE:
- Il 75% degli attacchi nel 2020 ha utilizzato vulnerabilità vecchie di oltre 2 anni, ha riferito Check Point nel suo Cyber Security Report 2021.
18% aveva addirittura almeno 7 anni ...
- La maggior parte di queste CVE critiche era già stata armata/sfruttata molto prima che la CVE fosse pubblicata e resa disponibile ai cacciatori di minacce.
Secondo Palo Alto Networks, si tratta dell'80% degli exploit pubblici pubblicati prima che la CVE venisse resa pubblica.
In media passano 23 giorni prima che la CVE venga pubblicata.
- Infine, il Mean Time To Remediation (MTTR) è ancora di circa 58 giorni, secondo Edgescan.
E non dimenticate di aggiungere la media di 23 giorni prima della pubblicazione del CVE.
Uno sguardo sobrio a questi dati rivela, oserei dire, che gli approcci basati sulle firme, sia per prevenire le minacce che per rilevarle (a posteriori), semplicemente non sono sufficienti per mantenere il vostro patrimonio libero da attacchi informatici.
È chiaro che molte violazioni iniziali non sono rilevabili dalle capacità di prevenzione principali, o perché non sono note o perché riescono a eludere le capacità di prevenzione esistenti.
Inoltre, una recente ricerca condotta da SRLabs, con sede a Berlino, ha rivelato che l'elusione dell'EDR è un problema reale e che ora può essere semplificato. I ricercatori sottolineano che non si tratta più di un "mestiere". La loro conclusione è piuttosto sorprendente e dovrebbe essere letta come un campanello d'allarme: "Complessivamente, gli EDR aggiungono circa il 12% o una settimana di sforzi di hacking quando si compromette una grande azienda, sulla base del tempo di esecuzione tipico di un'esercitazione di un red team".
In altre parole, l'EDR non è il Santo Graal: Non è altro che un componente necessario di una strategia di sicurezza a più livelli.
Rivediamo le nostre migliori pratiche di sicurezza informatica
Per mitigare il problema, dobbiamo rivedere le nostre best practice di cybersecurity:
- I concetti di fiducia zero non sono sufficienti, anche a causa della complessità che comporta la loro completa implementazione.
- La sicurezza a più livelli è d'obbligo.
- Anche le capacità preventive da sole sono insufficienti: Ci sarà sempre almeno un labirinto nella rete.
- È necessario investire in una capacità di rilevamento della rete non invasiva, combinata con una pratica di orchestrazione completa per rispondere.
Ogni azienda che si preoccupa della continuità operativa deve considerare la scienza dei dati efficace come uno strumento per scalare le pratiche operative di sicurezza informatica e garantirne l'efficacia.
La scienza dei dati, tuttavia, non è in grado di elaborare facilmente un sovraccarico di indicatori di minaccia. L'implementazione economica consiste nello sfruttare la scienza dei dati per passare dall'elaborazione rapida di molti indicatori all'ottenimento del valore reale, rivelando solo un numero limitato di incidenti di sicurezza altamente preziosi e affidabili.
Questo è l'unico modo per individuare gli incidenti significativi prima che diventino una violazione. In realtà è molto semplice.
Tutti conoscono la sfida di trovare un ago in un pagliaio. Farsi strada tra il fieno è il fattore limitante, anche se la scienza dei dati può aiutare a elaborare più fieno. Ma non sarebbe meglio non produrre un pagliaio da elaborare, in modo da vedere l'ago davanti a sé?
Sfruttare la scienza dei dati significa non concentrarsi sugli elementi costitutivi, come trovare una vulnerabilità zero-day o un exploit che la utilizzi. Sono troppo numerosi e infiniti. La scelta migliore è quella di utilizzare il potenziale della scienza dei dati per capire e vedere cosa potrebbe fare un attaccante una volta che applica una di queste vulnerabilità a un sistema. In altre parole, usarla per identificare le TTP e applicarla insieme a un buon framework, come quello del MITRE.
Le azioni o tattiche disponibili dopo lo zero-day non sono numerose ma molto costanti.
Come Hansel, che si sforzò di creare un sentiero per tornare a casa per lui e Gretel usando dei ciottoli, anche un attaccante crea un sentiero all'interno della vostra rete. Vectra può aiutare a identificare tale percorso e a trasformare i ciottoli in briciole di pane, in modo che l'attaccante si perda e possa essere identificato.
Conclusione
Non cercate di impedire il gioco finale dell'attaccante; piuttosto, concentratevi sul rilevamento e sul blocco del percorso creato prima che il gioco finale possa verificarsi.
Fonti:
https://www.verizon.com/business/resources/reports/dbir/
https://www.comparitech.com/blog/information-security/cybersecurity-vulnerability-statistics/