L'ambiente ibrido è destinato a rimanere. Come la maggior parte dei team SOC, è probabile che stiate aggiungendo più strumenti e gestendo più avvisi rispetto al passato, in risposta ai nuovi casi d'uso e ai progressi tecnologici. Allo stesso tempo, più strumenti generano più avvisi, più falsi positivi e rumore che non fanno altro che aumentare la pressione e appesantire il vostro team, con lo stesso numero di ore per risolverli. Noi la chiamiamo la "spirale del di più".
Peggio ancora, se non riuscite a identificare i comportamenti dannosi al di fuori della vostra copertura o non avete abbastanza tempo per esaminare ogni allarme, non potete indagare, dare priorità o addirittura rispondere a ogni minaccia. Qualcosa deve cedere.
La "spirale del di più" diventa ancora più reale con l'espansione degli ambienti ibridi
La protezione dell'organizzazione diventa ancora più impegnativa quando si espande continuamente la superficie ibrida oltre l'endpoint. La difesa di un ambiente ibrido è una responsabilità che va oltre le soluzioni legacy e persino quelle sofisticate per endpoint .
E naturalmente gli attori delle minacce ibride sono più che felici di approfittare del vostro ambiente ibrido in espansione, perché non dovrebbero? Permette loro di infiltrarsi nel vostro ambiente, di aumentare i privilegi, di spostarsi lateralmente e di portare avanti i loro attacchi senza essere scoperti.
Gli attaccanti ibridi hanno spazio per muoversi
Dal punto di vista di un attaccante, cosa c'è di strano in una superficie di minaccia ibrida in espansione? Più superfici cloud , più carichi di lavoro SaaS, più identità, più spazio per correre, nascondersi e attaccare. Sappiamo anche che gli attori delle minacce in genere sferrano più attacchi su superfici ibride, molti dei quali non vengono rilevati dalle soluzioni convenzionali.
Tempo di permanenza inosservato significa comportamento inosservato, l'opportunità per l'attaccante di esplorare e confondersi con i normali schemi comportamentali per eseguire potenziali furti di dati, danni operativi, ransomware - tutto quanto.
Per questo motivo, la protezione dell'ambiente ibrido in espansione non riguarda solo l'efficacia della difesa endpoint in sé, ma anche la priorità di una sicurezza che protegga l'organizzazione dalle minacce ibride che trovano esposizione e infine compromissione oltre l'endpoint.
Inoltre, non è un segreto che vengano sviluppati e lanciati continuamente nuovi TTP per attacchi ibridi. Gli attori delle minacce fanno quello che fanno gli attori delle minacce. Basta dare un'occhiata a tutte le tattiche e le tecniche di attacco attuali osservate nel MITRE ATT&CK di MITRE.
Cinque comuni TTP di attacco ibrido
Esistono una serie di TTP di attacco ibrido che gli aggressori utilizzano molto spesso per un semplice motivo: funzionano. La buona notizia è che una volta che avete un'idea di come funzionano, potete adattare le pratiche di sicurezza per fermarli. A tal fine, di seguito sono riportati cinque comuni TTP di attacco ibrido che potrebbero minacciare la vostra organizzazione senza mai attivare o coinvolgere le vostre difese endpoint . Esaminiamo cinque metodi che gli aggressori reali utilizzano per trovare esposizione al di là dell'endpoint.
Le TTP descritte di seguito sono frammenti dell'eBook: A Breakdown of Emerging Attacker Methods - scaricatelo gratuitamente e otterrete tutte le informazioni su ciascun attacco, compreso il modo in cui dare priorità a ciascuna tecnica post-compromissione nella vostra difesa.
1.
Bypass dell'MFA: L'MFA (autenticazione a più fattori) dovrebbe essere utilizzata da tutte le organizzazioni come un modo efficace per aiutare a prevenire l'accesso non autorizzato agli account se la password è stata compromessa, tuttavia gli aggressori continuano a lavorare per esporre le identità altrove.
Utilizzo di un attaccante ibrido: L'attore della minaccia Lapsus$ è un gruppo di criminalità informatica ben finanziato che si concentra su ransomware e dati con tecniche contenute nei playbook ransomware. Lapsus$ utilizza credenziali compromesse, in alcuni casi acquistando un accesso VPN per aggirare l'MFA. Può tentare di connettersi a un endpoint, effettuare una ricognizione della rete, spostarsi lateralmente su RDP (desktop remoto) e aumentare i privilegi locali. Dopo aver aggirato l'MFA, i rapporti mostrano che Lapsus$ cerca di ottenere credenziali privilegiate, accedendo ad Azure AD (ora Entra ID), M365 e SharePoint mentre lavora all'esfiltrazione. Per bloccare questo tipo di attacco è necessario essere in grado di dare priorità ai metodi di attacco successivi alla compromissione.
Ecco un modo semplice per calcolare il rischio di esposizione all'identità della vostra organizzazione. Calcolatore dell'esposizione all'identità di Vectra.
2.
Spear Phishing: una tecnica comune in cui gli aggressori utilizzano come esca informazioni che potrebbero interessare un gruppo o un individuo, in modo che l'obiettivo agisca aprendo un allegato o cliccando su un link, esponendo così la propria organizzazione.
Utilizzo di attacchi ibridi: Attori di minacce come Lazarus, un gruppo di criminalità informatica nordcoreano sponsorizzato dallo Stato che in passato ha preso di mira aziende farmaceutiche per il furto di brevetti, è stato anche associato ad attacchi di alto profilo come la violazione di Sony Pictures del 2014 e l'utilizzo di Log 4j Exploit per sfruttare una vulnerabilità di esecuzione di codice remoto. I rapporti mostrano che Lazarus ha raccolto informazioni sui dipendenti dagli account LinkedIn e poi ha usato WhatsApp per nascondersi nel traffico criptato e aggirare la sicurezza della prevenzione per compromettere un computer portatile aziendale. Da lì la potenziale progressione potrebbe essere qualsiasi cosa, dall'accesso al centro dati all'installazione di un sistema di comando e controllo (C2) per l'accesso persistente e lo spostamento laterale. Il rilevamento precoce e la prioritizzazione delle attività e dei modelli comportamentali degli aggressori sono fondamentali per il vostro team di sicurezza per impedire che un attacco simile progredisca.
3.
Living Off the Land (LOTL): tattica comunemente utilizzata per confondersi con la normale attività di rete e operare in modo discreto, gli aggressori ibridi sfruttano le tecniche LOTL per avanzare attraverso gli ambienti e soffermarsi più a lungo dopo la compromissione.
Utilizzo di un attaccante ibrido: Volt Typhoon, un attore di minacce sponsorizzato dallo Stato cinese, è attivo dal 2021 con obiettivi che includono piccole apparecchiature di rete domestiche come router, firewall e hardware VPN. Volt Typhoon si concentra sulla raccolta delle credenziali degli utenti per ottenere e mantenere l'accesso senza essere rilevato il più a lungo possibile attraverso una serie di tecniche LOTL. Una volta all'interno, le tattiche includono, ma non solo, tecniche di comando e controllo (C2) e di ricognizione per raccogliere informazioni. Un segnale di attacco integrato con rilevamento comportamentale e prioritizzazione guidata dall'intelligenza artificiale è la chiave per fermare questo tipo di attacco.
Come funzionano comando e controllo (C2) tecniche di controllo?
4.
Credential Stuffing: Gli aggressori sono sempre alla ricerca di modi per autenticarsi e le credenziali rubate consentono loro di farlo. Il credential stuffing è una tecnica di forza bruta che può verificarsi quando gli aggressori ottengono le credenziali dell'utente (magari quando vengono scaricate e/o vendute online dopo una compromissione) e utilizzano strumenti automatizzati per facilitare l'autenticazione e l'accesso. Poiché il credential stuffing di solito implica più tentativi di autenticazione, i team di sicurezza hanno l'opportunità di rilevare i tentativi di accesso falliti con gli strumenti giusti.
Utilizzo di un attaccante ibrido: Il team di Vectra MXDR ha recentemente risposto a un attacco in cui un aggressore con sede in Russia ha ottenuto credenziali rubate e ha effettuato diversi tentativi di autenticazione non riusciti. L'attore della minaccia ha infine ottenuto l'accesso tramite una VPN con sede negli Stati Uniti e si è rapidamente spostato lateralmente per accedere ai sistemi SaaS. Anche in questo caso, un segnale di attacco integrato per rilevare e dare priorità al comportamento dell'attaccante dopo la compromissione, insieme a un piano di risposta, è il fattore chiave per fermare questo tipo di attacco.
5.
ExploitZero-Day : Uno dei modi più comuni in cui gli aggressori cercano sempre di esporre gli ambienti ibridi è attaccando i sistemi con una vulnerabilità non identificata o non patchata. Per fare un ulteriore passo avanti, se una vulnerabilità è sconosciuta o esiste senza una patch esistente, gli aggressori che utilizzano la vulnerabilità hanno maggiori probabilità di successo nel loro attacco.
Uso ibrido dell'attaccante: Le vulnerabilitàZero-Day sono al di là della tipica copertura IT quando non vengono patchate o sono sconosciute. Quando ciò accade, gli aggressori hanno una via facile per sfruttarle e quindi compromettere l'ambiente ibrido, rubare dati o avanzare verso un obiettivo. A causa della natura sconosciuta di una vulnerabilità Zero-Day , le misure di sicurezza di prevenzione non rileveranno un aggressore che sfrutta la falla, evidenziando ulteriormente la necessità di rilevare e dare priorità al comportamento degli aggressori già attivi nei vostri sistemi prima che si verifichino danni.
Scoprite esattamente come una vulnerabilità zero-day può essere utilizzata dagli aggressori ibridi nel Vectra AI Threat Briefing: Attacchi al Cloud ibrido:
Come difendersi dagli attacchi ibridi che vanno oltre l'endpoint?
In ogni scenario di attacco descritto in precedenza e descritto in dettaglio nell'eBook, una difesa efficace comprende tre elementi cruciali:
Copertura: Gli attaccanti ibridi non cercano di esporre solo una superficie, il che significa che il vostro segnale di attacco deve estendersi a tutte le superfici di attacco ibride.
Chiarezza: Un segnale di attacco integrato guidato dall'intelligenza artificiale è in grado di rilevare e dare priorità ai metodi di attacco successivi alla compromissione, in modo che il team sappia cosa è dannoso e quali eventi richiedono attenzione.
Controllo: Uno degli esempi di attacco ha mostrato come un attacco di credential stuffing sia stato fermato da un team di rilevamento e risposta gestito. La chiave è avere controlli di risposta 24x7x365, che siano gestiti internamente o da un team esterno.
Ogni ambiente presenta una serie di sfide uniche per i difensori, ma fermare gli aggressori non deve essere eccessivamente complicato. Sappiamo infatti che gli aggressori ibridi cercheranno di sfruttare le debolezze degli strumenti di sicurezza esistenti, attaccheranno su più superfici, cercheranno di avanzare nascondendosi tra le normali attività, utilizzeranno credenziali rubate e sfrutteranno qualsiasi altro mezzo possibile: i difensori devono solo assicurarsi di avere un piano che consenta loro di dare priorità alle attività successive alla compromissione.
Non dimenticate di scaricare l'eBook gratuito : A Breakdown of Emerging Attacker Methods (Una ripartizione dei metodi di attacco emergenti ) per vedere come i team di sicurezza riescono a dare priorità al comportamento degli aggressori dopo la compromissione. Oppure date un'occhiata all'infografica correlata.