Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso

Entrare nella mente di un aggressore

13 maggio 2021
Henrik Davidsson
Direttore senior per la strategia globale dei partner, i programmi e l'abilitazione, Vectra
Entrare nella mente di un aggressore

Gli attacchi informatici stanno facendo notizia in tutto il mondo e sembra che non ci sia fine al clamore che questi attacchi stanno suscitando. Peggio del clamore è ovviamente il danno che questi attacchi stanno causando alle organizzazioni colpite, che evidentemente devono modificare alcuni dei loro comportamenti e delle loro strategie per contribuire a colmare il divario.

Tenendo presente questo, e per comprendere meglio in che modo un'organizzazione aumenta le probabilità di subire una violazione, ho raccolto alcune riflessioni:

  • Concentrati sull'ampliamento dei tuoi ambienti complessi con nuovi tipi di endpoint e cloud . Dove inizia la tua rete? Dove finisce? Chi può connettersi ad essa? Bring your own device (BYOD)? Varietà di dispositivi. COVID-19. Esistono numerosi punti di accesso insieme a servizi cloud SaaS in cui vengono scambiati i dati.
  • Hacker più sofisticati spinti da incentivi monetari provenienti da organizzazioni criminali, hacktivismo motivato da ragioni politiche, furti di proprietà intellettuale sponsorizzati da Stati nazionali. Come proteggersi da aggressori sponsorizzati dallo Stato che dispongono di tempo e risorse illimitati? Riusciranno a entrare!
  • Gli attacchi a bassa intensità e altamente sofisticati sono notoriamente difficili da individuare. L'utilizzo di diversi meccanismi malware occultamento malware e delle fonti di attacco rende difficile avere una visione completa della situazione. Avete una visione olistica della vostra posizione di sicurezza?
  • Cercare di decifrare malware posteriori e tentare di apprendere nuovi modelli di attacco è un approccio reattivo. Anche l'analisi dei log e delle sandbox richiede un modello noto e istruzioni su cosa cercare. Abbiamo assistito a nuovi tipi di attacchi rivoluzionari come SolarWinds/SUNBURST, Hafnium, Sodinikibi e Stuxnet con un approccio completamente nuovo, che abbraccia ambienti on-premise, cloud SaaS.
  • Codice scritto male/vulnerabile, backdoor non divulgate e certificati di firma rubati/violati. I certificati root sono stati rubati e utilizzati per firmare malware pacchetti legittimi. Anche Windows Update è stato compromesso.

Entrare nella mente di un aggressore

Consideriamo questo scenario: un hacker attacca un endpoint casuale endpoint tua organizzazione. Qual è il suo primo obiettivo? Innanzitutto, dovrà identificare la sua posizione all'interno dell'organizzazione, quindi cercare informazioni memorizzate endpoint . Queste potrebbero includere:

  • Credenziali temporaneamente memorizzate nella memoria e salvate nel browser
  • Condivisioni file collegate
  • Controller di dominio connessi
  • Cronologia di navigazione delle risorse SharePoint (che può includere credenziali salvate)
  • Vulnerabilità da sfruttare per diventare amministratore locale

Prima di fare la loro prossima mossa, dovranno ovviamente evitare di far scattare l'antivirus o di lasciare tracce di alcun tipo.

La furtività è la chiave, ma quale sarà la prossima mossa?

Devono stabilire diversi modi per rimanere all'interno della rete aziendale al fine di muoversi lateralmente. Vale anche la pena notare che attaccare cloud di rete e cloud ibride può essere molto efficace per mantenere la persistenza. Una volta stabilito questo, il gioco ha inizio! Saranno in grado di:  

  • Credenziali di raccolta, in particolare credenziali amministrative
  • Prova a connetterti ai servizi utilizzati dall'utente
  • Evitare la scansione, specialmente tra segmenti con firewall
  • Trova servizi vulnerabili accessibili da sfruttare
  • Utilizzare credenziali rubate per agire con strumenti IT comuni, quali desktop remoto, SSH, PowerShell, ecc. Eseguire attacchi di forza bruta offline e online su credenziali quali Azure AD, ecc.

Ora, ricognizione attraverso l'osservazione e l'apprendimento, ma quali sono gli obiettivi principali dell'aggressore?  

  1. Ottieni un accesso privilegiato all'infrastruttura, alla rete locale, cloud al SaaS. Ciò potrebbe fornire opportunità per lanciare truffe phishing di ingegneria sociale e persino consentire loro di stabilire un accesso ad altri dipendenti o partner.
  2. Espandersi nell'infrastruttura, il che potrebbe significare diffondere malware, ottenere un accesso privilegiato e stabilire un ulteriore controllo sugli account compromessi.
  3. Eseguono l'obiettivo e rubano o distruggono risorse chiave. Oltre a individuare le risorse chiave, lavorano per aggregare dati, rubare proprietà intellettuale, trasferire fondi o persino interrompere la continuità aziendale lanciando attacchi DDoS o ransomware. E, prima di uscire dalla rete, potrebbero persino minare alcuni Bitcoin, se l'occasione lo consente.

Lo so, è un danno notevole nell'ultima fase. Ma la buona notizia è che se riusciamo a individuare e fermare un aggressore prima di arrivare a questo punto, abbiamo ottime possibilità che non si verifichi alcun danno effettivo.  

Ma cosa succede se l'autore dell'attacco non viene individuato o ha raggiunto i propri obiettivi?

Beh, possono cancellare le prove, i backup, i registri e i file dannosi. Tieni presente che il ransomware è efficace per distogliere l'attenzione e crittografare le prove. Non solo, ma l'accesso futuro può anche essere venduto sul dark web.

Come abbiamo visto tutti nei titoli dei giornali, spesso è "troppo poco e troppo tardi" e tutto ciò che rimane sono un sacco di domande.

  • Qual era il punto di ingresso?
  • Erano lì per rubare, sabotare o estorcere?
  • Chi mi sta attaccando, di quali risorse dispone e quali sono le sue motivazioni?
  • Posso migliorare le mie protezioni, i miei sistemi di rilevamento, le mie routine o la consapevolezza degli utenti per evitare che ciò accada?

Allora, di cosa hai bisogno?

Le operazioni di sicurezza devono iniziare a costruire il centro operativo di sicurezza (SOC) di nuova generazione, o SOC v2.0 se preferite. La logica alla base del concetto SOC v2.0 è che le misure attuali, e il modo in cui SecOps è costruito con un continuo ricambio di risorse chiave, sovraccarico di informazioni e strumenti tecnologici isolati, rappresentano un rischio per la sicurezza, anche se alcuni degli strumenti sono adeguati.

Costruire un SOC v2.0 significa adottare un approccio più conveniente, meno dipendente da un numero elevato di persone, in grado di rilevare gli attacchi più rapidamente, introdurre l'automazione e nuove tecniche analitiche ed essere pronti a combattere attacchi mai visti prima. Restate sintonizzati per un prossimo post in cui approfondiremo i dettagli del SOC v2.0.

Per ulteriori informazioni su come aiutare la tua organizzazione a evitare costose violazioni, sfrutta le nostre risorse sulla protezione dal ransomware, scopri come Vectra può migliorare la visibilità del tuo SOC oppure contattaci per fissare una demo.

Domande frequenti