I cyberattacchi fanno notizia in tutto il mondo e sembra che non ci sia fine al rumore che questi attacchi stanno facendo. Peggio del rumore è ovviamente il danno che questi attacchi stanno causando alle organizzazioni colpite, che evidentemente devono cambiare alcuni dei loro comportamenti e strategie per contribuire a colmare il divario.
Tenendo presente questo aspetto e per capire meglio come un'organizzazione aumenta le possibilità di subire una violazione, ho raccolto alcune riflessioni:
- Concentratevi sull'aumento degli ambienti complessi con nuovi tipi di endpoint e connessioni cloud . Dove inizia la vostra rete? Dove finisce? Chi può connettersi? Portate il vostro dispositivo (BYOD)? Varietà di dispositivi. COVID-19. Esistono numerosi punti di ingresso e servizi cloud e SaaS in cui vengono scambiati i dati.
- Hacker più sofisticati spinti da incentivi monetari da parte di organizzazioni criminali, hacktivismo a sfondo politico, furto di proprietà intellettuale sponsorizzato dallo Stato. Come si fa a proteggersi dagli aggressori sponsorizzati dallo Stato che dispongono di tempo e risorse illimitate? Entreranno!
- Gli attacchi a bassa intensità e altamente qualificati sono notoriamente difficili da rilevare. L'utilizzo di diversi oscuramenti del meccanismo di trasporto malware e della fonte dell'attacco rende difficile vedere il quadro completo. Avete una visione olistica della vostra postura di sicurezza?
- Cercare di decifrare il malware a posteriori e tentare di apprendere nuovi schemi di attacco è reattivo. Anche le sandbox e le analisi dei log richiedono uno schema noto e istruzioni su cosa cercare. Abbiamo assistito a nuovi tipi di attacchi rivoluzionari come SolarWinds/SUNBURST, Hafnium, Sodinikibi, Stuxnet con un approccio completamente nuovo, che abbraccia ambienti on-premise, cloud e SaaS.
- Codice scritto male/vulnerabile, backdoor non rivelate e certificati di firma rubati/craccati. I certificati di root sono stati rubati e utilizzati per firmare malware come pacchetti legittimi. Anche Windows Update è stato corrotto.
Entrare nella mente di un aggressore
Considerate questo scenario: Un attaccante arriva su un endpoint casuale della vostra organizzazione. Qual è il suo primo obiettivo? Innanzitutto, dovrà identificare la sua posizione all'interno dell'organizzazione e quindi effettuare lo scraping dell'endpoint alla ricerca di informazioni nella cache. Queste potrebbero includere:
- Le credenziali vengono memorizzate temporaneamente e salvate nel browser.
- Condivisioni di file collegate
- Controllori di dominio collegati
- Cronologia degli accessi alle risorse SharePoint (che può includere credenziali salvate)
- Vulnerabilità da sfruttare per diventare amministratore locale
Prima di fare la loro prossima mossa, dovranno ovviamente evitare di attivare l'antivirus o di lasciare qualsiasi tipo di traccia.
La furtività è il nome del gioco, ma dove andare dopo?
Devono stabilire più modi per rimanere all'interno della rete aziendale per potersi muovere lateralmente. Vale anche la pena di notare che l'attacco alle infrastrutture di rete e di cloud ibrido può essere molto efficace per rimanere persistenti. Una volta stabilito questo, il gioco è fatto! Saranno in grado di:
- Raccogliere le credenziali, in particolare quelle amministrative.
- Cercare di connettersi ai servizi utilizzati dall'utente
- Evitare la scansione, soprattutto tra segmenti con firewall.
- Trovare servizi vulnerabili accessibili da sfruttare
- Utilizzare le credenziali rubate per muoversi con i normali strumenti IT: desktop remoto, SSH, PowerShell, ecc. Forzare le credenziali offline e online come Azure AD, ecc.
Ora, la ricognizione consiste nell'osservare e imparare, ma quali sono gli obiettivi principali dell'attaccante?
- Ottenere un accesso privilegiato all'infrastruttura, alla rete on-premise, al cloud e al SaaS. Ciò potrebbe offrire l'opportunità di lanciare truffe phishing o di social engineering e persino consentire l'accesso ad altri dipendenti o partner.
- Espandersi all'interno dell'infrastruttura, il che potrebbe significare diffondere malware, ottenere un accesso elevato e stabilire un ulteriore controllo degli account compromessi.
- Eseguire l'obiettivo e rubare o distruggere le risorse chiave. Oltre a localizzare le risorse chiave, si adopereranno per aggregare dati, rubare proprietà intellettuale, trasferire fondi o persino interrompere la continuità aziendale lanciando attacchi DDoS o ransomware. E, prima di uscire dalla rete, potrebbero anche estrarre Bitcoin, se l'occasione lo consente.
Lo so, sono molti danni nella fase finale. Ma la buona notizia è che se riusciamo a individuare e fermare un attaccante prima di questo punto, abbiamo ottime probabilità che non si verifichi alcun danno effettivo.
Ma cosa succede se l'aggressore non viene individuato o ha raggiunto i suoi obiettivi?
Possono cancellare le prove, i backup, i registri e i file dannosi. Tenete presente che il ransomware è efficace per distogliere l'attenzione e criptare le prove. Non solo, ma gli accessi futuri possono essere venduti sul dark web.
Come abbiamo visto tutti nei titoli dei giornali, spesso è "troppo poco e troppo tardi" e tutto ciò che rimane sono molte domande.
- Qual è stato il punto di ingresso?
- Volevano rubare, sabotare o estorcere?
- Chi mi sta attaccando, di quali risorse dispone e cosa lo spinge?
- È possibile migliorare le protezioni, i rilevamenti, le routine o la consapevolezza degli utenti per evitare questo problema?
Quindi, di cosa avete bisogno?
Le operazioni di sicurezza devono iniziare a costruire un centro operativo di sicurezza (SOC) di nuova generazione, o SOC v2.0 se preferite. La logica alla base del concetto di SOC v2.0 è che le misure attuali e il modo in cui le SecOps sono costruite, con una continua rotazione delle risorse chiave, un sovraccarico di informazioni e strumenti tecnologici isolati, rappresentano un rischio per la sicurezza, anche se alcuni strumenti sono adeguati.
Costruire un SOC v2.0 significa avere un approccio più accessibile, meno dipendente da un gran numero di persone, che rileva gli attacchi più velocemente, introduce l'automazione, nuove tecniche analitiche ed è pronto per la battaglia contro gli attacchi mai visti prima. Rimanete sintonizzati per un prossimo post in cui approfondiremo i dettagli del SOC v2.0.
Per saperne di più su come aiutare la vostra organizzazione a evitare costose violazioni, sfruttate le nostre risorse sulla protezione da Ransomware, scoprite come Vectra può aumentare la visibilità del vostro SOC o contattateci per programmare una demo.