Non so voi, ma quando sento come si comportano gli odierni aggressori ibridi (di cui parleremo tra poco), la mia mente va subito al regno animale. Tattiche implacabili con spazio per correre in un ampio dominio. Sono i tassi del miele. Un morso di serpente o qualche centinaio di punture d'ape possono ritardare il loro attacco per un momento, ma troveranno un modo per abbattere l'intero alveare o aspettare che il veleno svanisca per soddisfare il loro appetito.
Fortunatamente, con me non dovrete addentrarvi troppo nella regione subsahariana, perché abbiamo analizzato da vicino ciò che gli aggressori informatici fanno effettivamente dopo la compromissione: come si muovono, quali tattiche usano per avanzare e cosa serve per fermarli una volta che hanno già ottenuto l'accesso. Le anatomie degli attacchi che abbiamo pubblicato sono un modo semplice per vedere cosa succede effettivamente durante un attacco informatico, e mi impediscono anche di discutere le progressioni degli attacchi senza usare immagini di predatori di praterie.
Per mantenere la rotta, abbiamo recentemente analizzato da vicino cinque esempi di attacchi ibridi contenuti nell'eBook: A Breakdown of Emerging Attacker Methods per vedere come gli aggressori di oggi si infiltrano, aumentano i privilegi, si muovono lateralmente e fanno progredire i loro attacchi. È possibile utilizzare i dettagli dell'attacco per farsi un'idea di ciò che gli aggressori fanno dopo la compromissione, poiché abbiamo allineato le loro tattiche a quelle di MITRE ATT&CK MITRE, mostrando anche dove ogni tattica può essere rilevata e resa prioritaria con l'opportunità di fermarsi prima nella progressione dell'attacco. Per questo blog, passiamo ad alcuni dei punti chiave.
Siamo solidali: difendersi dagli attacchi ibridi è estremamente difficile.
Innanzitutto, spieghiamo cosa intendiamo per attacco ibrido.
Il fattore principale è che, poiché le aziende sono ormai ibride, gli aggressori sfruttano questo aspetto a loro vantaggio, e quindi tutti gli attacchi sono ormai ibridi. Per saperne di più su questo concetto, il vicepresidente di prodotto di Vectra AI, Mark Wojtasiak (alias Woj), ha pubblicato un recente post.
Alcune delle caratteristiche più comuni che rendono difficile bloccare gli attacchi ibridi sono il modo in cui aggirano la prevenzione, compromettono le identità, elevano e nascondono i privilegi per muoversi lateralmente tra i domini, spesso ad alta velocità. In molti casi, gli strumenti di sicurezza aggiungono benzina al fuoco. In media, i team SOC ricevono 4.484 avvisi al giorno e oltre due terzi di essi (67%) vengono ignorati, secondo il rapporto 2023 State of Threat Detection. Come dice Mark, è come cercare di trovare "l'ago" in una pila di aghi.
In effetti, il 97% degli analisti dello stesso rapporto ha dichiarato di temere di perdere un evento rilevante perché sepolto da una marea di avvisi. Abbiamo spesso definito questa situazione come la "spirale del di più": più superficie di attacco, più esposizione, più lacune, più punti ciechi che guidano più strumenti, più rilevamenti, più avvisi e più falsi positivi. La spirale crea un volume ingestibile di rumore e di lavoro per i team SOC che gli aggressori ibridi sfruttano a loro vantaggio per nascondersi, spostarsi lateralmente e far progredire i loro attacchi. Che importanza ha il numero di rilevamenti o di avvisi se la maggior parte di essi non può essere affrontata?
Gli attacchi ibridi avvengono su più superfici
Poiché gli ambienti sono ormai ibridi, l'esposizione alle minacce è presente ovunque. Oltre al data center, forse sono il cloud pubblico, SaaS, IaaS, PaaS, le istanze di identità, gli endpoint e così via ad aprire vie di compromissione per gli aggressori? Ogni attacco che abbiamo evidenziato nell'eBook comprendeva più superfici di attacco. Ad esempio, se disponete di un EDRendpoint detection and response), un aggressore verrà fermato nel tentativo di compromettere un endpoint , ma ciò non significa che non tenterà di entrare attraverso un'altra via o di aggirare completamente la protezione endpoint . Potrebbe trattarsi di credenziali rubate, di un accesso VPN, forse di entrambe le cose o di qualcosa di completamente diverso: la chiave per fermarli sarà la tempestività con cui riuscirete a vederli una volta che sono già entrati.
Gli attacchi ibridi sono tattiche basate sull'identità
Analogamente al modo in cui ciascuno dei cinque attacchi valutati include più superfici di attacco, tutti e cinque gli attacchi hanno anche sfruttato credenziali di amministrazione o password rubate. Per coincidenza, il rapporto Threat Horizons 2023 di Google Cloud ha rilevato che "i problemi legati alle credenziali continuano a essere una sfida costante, rappresentando oltre il 60% dei fattori di compromissione". Mentre continuiamo a conoscere meglio gli attacchi basati sull'identità, l'espansione dell'impresa ibrida ha un impatto anche sulla nostra capacità di difensori di proteggere ogni identità. Anche con l'MFA (autenticazione a più fattori), che è un modo efficace per impedire l'accesso non autorizzato agli account se la password è stata compromessa, gli aggressori stanno trovando altri modi per esporre le identità. Scattered Spider è uno di quelli che ha risolto efficacemente questo problema. Indipendentemente dal modo in cui un'identità viene compromessa, che si tratti di spear phishing o di metodi più recenti basati sull'intelligenza artificiale, per fermarli sarà necessario individuare e dare priorità alla compromissione dell'identità.
Il diagramma che segue mostra alcuni punti di vista diversi delle tecniche di identità cloud documentate.Per saperne di più su questo argomento, potete consultare il recente blogScattered Spider threat briefing di Vectra AI.
Gli aggressori ibridi si nascondono per prosperare dopo la compromissione
Woj, vicepresidente di prodotto di Vectra AI , dice spesso: "La sicurezza pensa in termini di superfici di attacco individuali, ma gli aggressori pensano a una gigantesca superficie di attacco ibrida". È stato riportato che il 25% di tutti i cyberattacchi comporta un movimento laterale. Ciò significa che un attaccante si muove all'interno del vostro ambiente ibrido. Secondo questa definizione, la statistica è probabilmente molto più alta del 25%. La maggior parte degli attacchi che valutiamo contiene una qualche forma di movimento laterale. In generale, gli aggressori trovano il modo di spostarsi da una superficie di attacco a un'altra, di ottenere credenziali che li aiutino a mimetizzarsi, di vivere sul territorio o di spostarsi dove possono con qualsiasi accesso a loro disposizione, in modo da poter condurre una ricognizione e imparare a conoscere l'ambiente. Il movimento laterale è solo un esempio, ma il punto di partenza è che per fermare gli aggressori ibridi è necessario - indovinate un po' - essere in grado di individuarli, dare loro priorità e fermarli una volta che sono già all'interno, indipendentemente dal luogo in cui si trovano.
Gli attacchi ibridi possono essere fermati... nelle fasi iniziali della loro progressione.
Sappiamo perché sono difficili da trovare, sappiamo cosa vogliono fare (ottenere l'accesso, rubare le credenziali, spostarsi lateralmente per progredire e infine causare danni) e sappiamo che aggiungere altri avvisi alla coda degli analisti SOC non risolverà il problema, perché già non riusciamo a risolvere tutti quelli che abbiamo (chi potrebbe dimenticare il numero 4.484?). A volte gli strumenti di cui disponiamo ci fanno sentire sicuri di essere coperti, ma non è detto che sia vero, visto che il 71% degli analisti SOC ammette che la propria organizzazione potrebbe essere stata compromessa e non ne è ancora a conoscenza. Questo non è esattamente un segnale di fiducia.
È interessante notare, tuttavia, che se si esaminano gli esempi di attacco ibrido che sono stati suddivisi, si può notare che, pur essendoci ancora dei rilevamenti che segnalano vari metodi di attacco, essi vengono classificati in base alla priorità, in modo che i difensori abbiano le informazioni giuste per rispondere con sicurezza con l'azione giusta al momento giusto. C'è una differenza tra un altro rilevamento e un segnale di attacco che consente ai difensori SOC di sapere come, quando e dove sta accadendo qualcosa che richiede attenzione, tempo e talento urgenti.
Per uno sguardo più approfondito su ciò che fanno gli aggressori ibridi, date un'occhiata all'eBook gratuito o scoprite come andare oltre i rilevamenti con un segnale di attacco guidato dall'intelligenza artificiale.