È umano concentrarsi sulle minacce esterne al proprio benessere. Questo vale spesso anche per le organizzazioni e il loro approccio alla sicurezza; ecco perché in genere si dedica così tanta energia alla sicurezza perimetrale. Tuttavia, questo approccio è in antitesi con la metodologia zero-trust: le organizzazioni devono prestare attenzione al traffico interno-interno e interno-esterno tanto quanto al traffico in entrata.
La missione del team Sidekick MDR è quella di monitorare le minacce su tutti e tre questi assi. L'impatto sulla reputazione di un'organizzazione sorpresa a essere fonte di attività dannose è grave tanto quanto quello di essere il bersaglio. Le organizzazioni possono ritrovarsi rapidamente inserite in liste nere che bloccano le comunicazioni, ostacolando la loro capacità di condurre affari. E se l'attacco ha successo, possono essere esposte a responsabilità legali o ritorsioni tecniche. Queste situazioni richiedono una risposta rapida.
Come gli eventi esterni diventano minacce interne
Recentemente, il team MDR di Vectra Sidekick ha scoperto un traffico interno che ha portato proprio a tale scoperta. Un dipendente di una società di servizi, che chiameremo Acme Inc., ha deciso di coinvolgere Acme nel conflitto tra Russia e Ucraina. Il dipendente ha utilizzato l'infrastruttura di Acme per condurre un attacco denial of service (DoS) contro organizzazioni bielorusse e russe. Gli obiettivi dell'attacco erano una società di servizi finanziari e una società di spedizioni e logistica. Il team Sidekick ha identificato questa attività e ha informato Acme, che ha prontamente bloccato l'attacco in uscita.
Molti sono pronti a sottolineare che l'elemento umano è l'anello più debole della catena di sicurezza, ma non riescono a vedere le cose dalla prospettiva che le persone sono anche lo strumento più potente a loro disposizione (o a disposizione dei loro avversari). In questo caso, un singolo utente disonesto avrebbe potuto avere un impatto molto significativo. In questi conflitti, i dipendenti tendono a provare emozioni molto forti. E a causa di queste emozioni, le loro azioni possono essere più forti della politica aziendale o delle misure di sicurezza esistenti.
Anche prima del recente conflitto, Sidekick MDR aveva identificato diversi casi di utenti (talvolta anche amministratori) che installavano cryptominer su risorse aziendali. Questo fenomeno è tipico delle università e degli ambienti di laboratorio con macchine condivise e aperte. La motivazione finanziaria, unita alla percezione di utilizzare solo risorse gratuite, ha spinto gli utenti ad abusare di tali risorse. Cosa sarebbero disposti a fare gli utenti se sentissero un effettivo obbligo morale e avessero accesso a "risorse gratuite"?
Scopri la tua rete e segui le regole di base
Abbiamo bisogno di una comprensione olistica e di un approccio adeguato alla mitigazione delle minacce. Notizie, feed di minacce ad alta fedeltà e post sui blog sono ancora il modo migliore per rimanere informati sulle minacce esterne. Tuttavia, proprio come l'apprendimento non supervisionato è necessario per apprendere le specifiche della propria rete, queste fonti di notizie non possono dirvi come reagiranno le persone.
Seguire alcune misure di base, come quelle delineate dalla CISA, può contribuire notevolmente a proteggere le organizzazioni dagli attacchi informatici. Tuttavia, è importante ricordare che non tutte le minacce provengono dall'esterno dell'organizzazione e che quelle provenienti dall'interno del proprio ambiente sono ancora molto reali. In momenti come questo è fin troppo facile concentrarsi esclusivamente sulle minacce esterne e considerare le grandi campagne DDoS come qualcosa che capita solo agli altri. Ma le reti che proteggiamo possono diventare, volontariamente o meno, strumenti di tali campagne. È fondamentale garantire un monitoraggio affidabile per fornire la migliore copertura possibile.