Non sarebbe fantastico se tutti gli attori malintenzionati aderissero a una sorta di Convenzione di Ginevra sulla guerra cibernetica che stabilisse le regole di guerra e imponesse che gli attacchi fossero sferrati contro una singola unità aziendale di una società?
Già che ci siamo, ecco alcune altre regole che potremmo aggiungere:
- È necessario dare un preavviso prima di intraprendere qualsiasi azione: una dichiarazione di guerra cibernetica, se volete.
- L'aggressore deve comunicare il luogo dell'attacco con almeno 24 ore di anticipo.
- Il difensore può contrassegnare alcune infrastrutture chiave come off limits e non possono essere attaccate.
Questo semplificherebbe notevolmente la vita ai team blu!
Purtroppo, ciò non avviene, il che significa che i team di sicurezza devono avere visibilità su come gli utenti interagiscono con la loro infrastruttura IT su ogni mezzo.
Rimanete vigili durante tutto il ciclo di vita dell'attacco
Se individui un malintenzionato che sta tentando di sottrarre dati importanti dal tuo database di produzione, non ti limiterai a bloccarlo, lavarti le mani della questione e passare al compito successivo. Devi capire come e dove gli aggressori si sono infiltrati e bloccare il loro accesso. Non puoi farlo se non riesci a collegare i punti tra cloud tuo cloud la tua infrastruttura di rete.
Ecco perché gli ingegneri della sicurezza di Vectra hanno creato una soluzione innovativa che offre una visione unificata degli account sulla rete e nel cloud.
Se un utente è vittima di spear phishing su Office 365 e le credenziali rubate vengono utilizzate per accedere a infrastrutture critiche, mostreremo queste informazioni in un unico account unificato con il contesto completo su ciò che l'utente ha fatto, quando e perché dovresti preoccuparti.
Se qualcuno sta effettuando operazioni Exchange sospette su Office 365, possiamo mostrare rapidamente quali host questo account ha visto sulla rete, in modo da poter verificare se ci sono state attività sospette su questi host.
Da un'analisi di alcuni attacchi recenti emerge chiaramente che gli aggressori non considerano la cloud come un ostacolo, nemmeno minimo, al progredire dei loro attacchi.
Sfruttare strumenti legittimi per azioni dannose
Consideriamo le azioni intraprese dall'APT 33: gli aggressori hanno iniziato il loro attacco forzando con la forza bruta credenziali deboli e poi hanno sfruttato le regole di posta elettronica per passare endpoint. Una volta endpoint, le credenziali dello stesso utente sono state sfruttate per muoversi lateralmente e portare avanti l'attacco. Se i vostri portafogli cloud di rete e cloud non sono collegati, la portata dell'attacco può essere completamente ignorata.
La superficie di attacco di Office 365 non si limita solo all'accesso iniziale. Gli aggressori che hanno accesso a Office 365 possono sfruttare SharePoint per corrompere le cartelle condivise e diffondersi lateralmente agli endpoint utilizzando tecniche di dirottamento DLL o caricando malware. La stessa funzionalità di SharePoint utilizzata per sincronizzare i normali file degli utenti può essere eseguita su ciascun endpoint sincronizzarsi con una singola condivisione, evitando così le tecniche standard di raccolta di rete. Un attacco può quindi, con pochi clic, impostare canali di esfiltrazione persistenti tramite flussi Power Automate in grado di caricare endpoint i dati da ogni endpoint infetto. Opportunità come questa sono vaste e in crescita.
Potresti riscontrare un problema sul cloud le credenziali di un account sono state violate con un attacco di forza bruta, seguito dalla creazione di nuove regole di posta elettronica, il che è grave, ma non terribile. Questo perché hai anche riscontrato alcuni movimenti laterali sulla tua rete, il che è molto più preoccupante poiché non hai idea di come gli hacker siano riusciti a entrare. In Cognito, unire queste visualizzazioni significa che gli analisti hanno una visibilità tempestiva e completa, che consente loro di fermare l'attacco prima che i dati vengano spostati o che venga causato alcun danno.
Per scoprire come gli hacker stanno sfruttando Office 365, leggi il nostro ultimo rapporto in primo piano e scopri come la piattaforma Cognito di Vectra ti consente di integrare la visibilità per rilevare e rispondere agli hacker nelle tue reti e nelle distribuzioni di Office 365.