È umano concentrarsi sulle minacce esterne al proprio benessere. Questo vale spesso anche per le organizzazioni e i loro approcci alla sicurezza; ecco perché in genere si concentra tanta energia sulla sicurezza perimetrale. Tuttavia, questo approccio è antitetico alla metodologia della fiducia zero: Le organizzazioni devono prestare attenzione al traffico interno-interno e interno-esterno tanto quanto al traffico in entrata.
La missione del team MDR di Sidekick è monitorare le minacce su tutti e tre questi assi. L'impatto sulla reputazione di un'organizzazione che viene colta come fonte di attività dannose è tanto negativo quanto quello di esserne il bersaglio. Le organizzazioni possono trovarsi rapidamente inserite in liste nere che bloccano le comunicazioni, impedendo la loro capacità di condurre affari. E se l'attacco ha successo, possono essere esposte a responsabilità legali o a ritorsioni tecniche. Queste situazioni richiedono una risposta rapida.
Come gli eventi esterni si trasformano in minacce interne
Recentemente, il team MDR di Vectra Sidekick ha scoperto un traffico interno che ha portato proprio a questa scoperta. Un dipendente di un'azienda di servizi, chiamata Acme Inc, si è preso la responsabilità di coinvolgere Acme nel conflitto tra Russia e Ucraina. Il dipendente ha utilizzato l'infrastruttura di Acme per condurre un attacco denial of service (DoS) contro organizzazioni bielorusse e russe. Gli obiettivi dell'attacco erano una società di servizi finanziari e una società di spedizioni e logistica. Il team Sidekick ha identificato questa attività e ha avvisato Acme, che ha prontamente bloccato l'attacco in uscita.
Molti si affrettano a sottolineare che l'elemento umano è l'anello più debole della catena della sicurezza, ma non riescono a vedere le cose dal punto di vista che le persone sono anche lo strumento più forte che hanno (o che hanno gli avversari). In questo caso, un singolo utente disonesto avrebbe potuto avere un impatto molto significativo. In questi conflitti, è probabile che i dipendenti provino emozioni molto forti. E a causa di queste emozioni, le loro azioni possono essere più forti delle politiche aziendali o delle misure di sicurezza esistenti.
Anche prima del recente conflitto, Sidekick MDR ha identificato numerosi casi di utenti (a volte anche amministratori) che installano cryptominer sulle risorse aziendali. Questo avviene tipicamente nelle università e negli ambienti di laboratorio con macchine condivise e aperte. La motivazione finanziaria e la percezione di utilizzare solo risorse gratuite hanno spinto gli utenti ad abusare di queste risorse. Quindi, cosa saranno disposti a fare gli utenti se sentiranno un effettivo obbligo morale e avranno accesso a "risorse gratuite"?
Imparate a conoscere la vostra rete e seguite le regole di base
Abbiamo bisogno di una comprensione e di un approccio olistico alla mitigazione delle minacce. I notiziari, i feed di minacce ad alta fedeltà e i post sui blog sono ancora il modo migliore per essere informati sulle minacce esterne. Tuttavia, proprio come l'apprendimento non supervisionato è necessario per apprendere le specifiche della vostra rete, queste fonti di notizie non possono dirvi come reagiranno le persone.
Seguire i passi fondamentali, come quelli delineati dalla CISA, può contribuire in modo significativo a proteggere le organizzazioni dagli attacchi informatici. Ma dobbiamo ricordare che non tutte le minacce avvengono all'esterno dell'organizzazione e che le minacce provenienti dall'interno del vostro ambiente sono ancora molto reali. È fin troppo facile concentrarsi esclusivamente sulle minacce esterne in periodi come questo e vedere le grandi campagne DDoS come qualcosa che accade solo ad altre persone. Ma le reti che proteggiamo possono, volenti o nolenti, diventare strumenti di una simile campagna. Garantire un monitoraggio affidabile per offrire la migliore copertura possibile è fondamentale.