Non sarebbe fantastico se gli attori malintenzionati firmassero tutti per una sorta di Convenzione di Ginevra sulla guerra informatica che stabilisca le regole di guerra e imponga che gli attacchi debbano essere eseguiti contro una singola unità operativa di un'azienda?
Già che ci siamo, ecco altre regole che potremmo aggiungere:
- Prima di qualsiasi azione è necessario dare un avvertimento, una dichiarazione di guerra informatica, se così si può dire.
- L'attaccante deve annunciare il luogo dell'attacco con almeno 24 ore di anticipo.
- Il difensore può contrassegnare alcune infrastrutture chiave come off limits e non possono essere attaccate.
Questo renderebbe la vita molto più semplice alle squadre blu!
Ahimè, questo non accade, il che significa che i team di sicurezza hanno bisogno di visibilità su come gli utenti interagiscono con la loro infrastruttura IT attraverso ogni mezzo.
Rimanere all'erta durante tutto il ciclo di vita dell'attacco
Se individuate un malintenzionato che sta cercando di esfiltrare dati importanti dal vostro database di produzione, non potete limitarvi a chiuderlo, pulirvi le mani e passare all'attività successiva. Dovete capire come e dove si sono infiltrati gli aggressori e bloccare il loro accesso. Non è possibile farlo se non si riesce a collegare i punti tra il cloud e l'infrastruttura di rete.
Ecco perché gli ingegneri della sicurezza di Vectra hanno creato una soluzione innovativa che offre una visione unificata degli account sulla rete e nel cloud.
Se un utente è vittima di spearphishing su Office 365 e le credenziali rubate vengono utilizzate per accedere a infrastrutture critiche, mostreremo queste informazioni in un unico account unito con un contesto completo su cosa ha fatto l'utente, quando e perché dovreste preoccuparvi.
Se qualcuno sta effettuando operazioni di Exchange non corrette su Office 365, possiamo mostrare rapidamente quali host questo account ha visto sulla rete, in modo da poter vedere se ci sono state attività sospette su questi host.
Dall'esame di alcuni attacchi recenti è chiaro che gli aggressori non vedono la rete cloud come una barriera anche minima nella progressione del loro attacco.
Sfruttamento di strumenti legittimi per azioni dannose
Considerate le azioni intraprese dall'APT 33: gli aggressori hanno iniziato il loro attacco con il brute forcing di credenziali deboli e poi hanno sfruttato le regole di posta elettronica per passare all'endpoint. Una volta sull'endpoint, le credenziali dello stesso utente sono state sfruttate per spostarsi lateralmente e far progredire l'attacco. Se i portafogli di rilevamento della rete e del cloud non sono collegati, la portata dell'attacco può essere completamente ignorata.
La superficie di attacco di Office 365 non si limita all'accesso iniziale. Gli aggressori con accesso a Office 365 possono abusare di SharePoint per corrompere le cartelle condivise e diffondersi lateralmente agli endpoint utilizzando tecniche di dirottamento delle DLL o caricando malware. La stessa funzionalità di SharePoint utilizzata per sincronizzare i normali file degli utenti può essere eseguita su ogni endpoint per sincronizzarsi su una singola condivisione, evitando così le tecniche standard di raccolta in rete. Un attacco può quindi, con pochi clic, impostare canali di esfiltrazione persistenti tramite flussi Power Automate in grado di caricare quotidianamente i dati da ogni endpoint infetto. Opportunità come questa sono vaste e in crescita.
Potreste riscontrare un problema sul cloud in cui le credenziali di un account sono state forzate brutalmente, seguite dalla creazione di nuove regole di posta elettronica, il che è negativo, ma non terribile. Questo perché avete anche visto un movimento laterale sulla vostra rete, che è molto più preoccupante, poiché non avete idea di come gli hacker siano entrati. In Cognito, unire queste viste significa che gli analisti hanno una visibilità precoce e completa, che consente loro di fermare l'attacco prima che i dati vengano spostati o che si verifichino danni.
Per scoprire come gli aggressori stanno sfruttando Office 365, leggete il nostro ultimo report e scoprite come la Cognito Platform di Vectra vi consente di integrare la visibilità per rilevare e rispondere agli aggressori nelle vostre reti e nelle implementazioni di Office 365.