Con circa 65.000 attacchi ransomware previsti per quest'anno nei soli Stati Uniti, secondo Yahoo! Finance, diciamo che è difficile fermare questi minacciosi attacchi. Non sembra avere importanza quale sia la regione, il Paese o il settore in cui ci si trova, i criminali informatici hanno dimostrato che lanceranno attacchi ransomware contro qualsiasi organizzazione a cui possono estorcere denaro o rubare qualcosa di valore. Questo significa che è solo una questione di tempo prima che vi troviate nella situazione di dover pagare un riscatto elevato o dire addio alle risorse e ai dati critici?
Sembra un'affermazione che fa storcere il naso, e se si ascolta ciò che il CEO di Vectra, Hitesh Sheth , ha sempre detto, la soluzioneal ransomware richiede un nuovo modo di pensare. Questi attacchi non possono essere prevenuti con molte delle attuali strategie di sicurezza adottate dalle aziende. Tuttavia, è possibile rilevare quando nel vostro ambiente accade qualcosa di anomalo, in modo da consentire al team di sicurezza di contenere eventi dannosi come gli attacchi ransomware. In effetti, se diamo un'occhiata agli approfondimenti del settore tratti dal Vectra Spotlight Report, Vision and Visibility: Top 10 Threat Detections for Microsoft Azure AD and Office 365, si capisce bene come i rilevamenti possano tenere informato il team sui comportamenti all'interno dell'ambiente.
Abbiamo fatto un ulteriore passo avanti e abbiamo suddiviso le informazioni per settore, in modo da fornire una visione dei problemi di sicurezza cloud per alcuni settori e di come i rilevamenti siano riconducibili al comportamento degli aggressori, come nel caso del ransomware o degli attacchi alla catena di approvvigionamento. Tutto questo inizia con la capacità di raccogliere i dati giusti e di disporre di un'intelligenza artificiale (AI) orientata alle minacce che consenta di individuare i dettagli degli attacchi e di concentrarsi sulle minacce che devono essere fermate. Le informazioni di settore riportate di seguito si basano tutte su dati reali e anonimizzati dei clienti: si tratta dei rilevamenti che i clienti ricevono per ratificare gli attacchi su Office 365 e Azure AD. Vediamo alcuni dei punti salienti:
Assistenza sanitaria
Come abbiamo visto con l'attacco all'Health Service Executive (HSE) irlandese, gli attacchi ransomware alle organizzazioni sanitarie possono significare il furto di dati e cartelle cliniche, ma vanno anche ben oltre il semplice problema tecnologico, in quanto hanno il potenziale di diminuire la qualità della vita e delle cure di cui le persone hanno bisogno per sopravvivere.
Il rilevamento più frequente riscontrato tra i clienti di Vectra healthcare è stato O365 Suspicious Power Automate Flow Creation, che potrebbe indicare che un aggressore sta configurando un meccanismo di persistenza. Microsoft Power Automate è senza dubbio uno strumento utile per automatizzare attività banali, ma il rischio è che sia attivo per impostazione predefinita in Office 365 e che sia fornito di serie con centinaia di connettori. È interessante per gli aggressori perché, anche con un accesso di base non privilegiato, può essere utilizzato come canale per vivere di rendita e raggiungere i propri obiettivi. Leggete altri approfondimenti sul settore sanitario per scoprire come i clienti del settore sanitario di Vectra ratificano gli attacchi nei loro ambienti.
Produzione
In un settore che dà priorità ai tempi di attività, il ransomware è in grado di bloccare le operazioni in tempi brevi, rendendo le organizzazioni manifatturiere un obiettivo primario per i cyberattacchi. Un attacco di ransomware che ha un impatto sulle operazioni metterebbe sotto pressione una struttura che reagisce pagando il riscatto per limitare l'arresto delle apparecchiature. Sebbene molte aziende manifatturiere utilizzino una rete distribuita fisicamente, come altri settori stanno adottando il cloud per ottenere velocità, scala e connettività, il che aggiunge un ulteriore livello alla superficie di attacco.
Esaminando i rilevamenti frequenti che i clienti del settore manifatturiero di Vectra ricevono, due dei tre principali erano correlati all'attività di condivisione di Office 365. Qualsiasi attività di condivisione sospetta dovrebbe essere esaminata dai team di sicurezza per assicurarsi che le azioni siano compiute da utenti autorizzati e non da un aggressore che tenta di esfiltrare dati o qualsiasi cosa che possa aiutare i criminali ad avanzare nella progressione di un attacco. Per saperne di più sulle attività sospette che le organizzazioni dovrebbero tenere sotto controllo, consultate l'approfondimento completo sul settore manifatturiero.
Servizi finanziari
Se c'è un bersaglio più appetibile per i criminali informatici degli istituti di servizi finanziari (ISF), ci piacerebbe saperlo. Questo è uno dei motivi per cui il settore rimane uno dei più regolamentati e, ora che l'adozione del cloud è in aumento, i criminali informatici hanno più possibilità di sfruttare gli attacchi. In particolare, per quanto riguarda Office 365 e Azure AD, i clienti di Vectra FSI hanno citato un'alta percentuale di operazioni di Exchange rischiose in O365 e di creazione di accessi ridondanti in Azure AD. Indipendentemente dalla possibilità che un aggressore manipoli Exchange per ottenere l'accesso o tenti di rilevare un account, questa attività è preoccupante e deve essere indagata dai team di sicurezza quando viene rilevata. Per ulteriori dettagli sul significato di questi rilevamenti, leggete gli approfondimenti completi sul settore su FSI.
Istruzione
La pandemia ha lasciato le istituzioni scolastiche alla ricerca di soluzioni per mantenere studenti ed educatori al sicuro, connessi e produttivi, il che in molti casi ha significato ricorrere al cloud. Che si tratti di strumenti di comunicazione o di produttività, il cloud si è dimostrato all'altezza del compito e in molti modi ha reso possibile l'apprendimento in questo periodo. Ma, come nel caso degli altri settori sopra citati, il cloud ha cambiato anche il concetto di sicurezza per le istituzioni scolastiche. Abbiamo visto che le attività di posta elettronica e di condivisione hanno innescato i rilevamenti delle minacce negli istituti di istruzione superiore, il che non è una sorpresa, poiché questo consente l'apprendimento e la collaborazione, ma rende anche più difficile individuare le fughe di dati dannose. Per vedere quali rilevamenti utilizzano i clienti del settore dell'istruzione (EDU) per ratificare gli attacchi, date un'occhiata agli approfondimenti del settore EDU.
È ora di iniziare a capire il comportamento del vostro account
Se si guarda a uno qualsiasi degli approfondimenti di settore qui citati o al report completo, si capisce perché è fondamentale per le organizzazioni implementare una visione chiara di ciò che sembra essere l'uso autorizzato, insieme alla visibilità per monitorare e misurare le deviazioni da tale visione. Senza questi due elementi, il rilevamento delle minacce diventa una sfida difficile, perché non si può sapere se l'attività che si sta vedendo proviene da un utente autorizzato o da un aggressore. E se si pensa a quanto sia improbabile prevenire un attacco ransomware con i tradizionali strumenti di sicurezza endpoint che i criminali informatici aggirano regolarmente, non c'è mai stato un momento migliore per conoscere davvero il comportamento del proprio account.
Scoprite il rapporto Spotlight, ora!