Il 2020 ha presentato una marea di sfide per le aziende di ogni settore, dall'assistenza sanitaria all'ospitalità all'aviazione. Ogni organizzazione è stata costretta ad adattare alcuni aspetti della propria strategia, riducendo le spese, tagliando il personale, assumendo freneticamente o modificando i modelli operativi.
La trasformazione digitale di fronte a una forza lavoro remota
Sebbene l'impatto della pandemia di COVID-19 del 2020 sul settore tecnologico sia stato minore rispetto ad altri settori, i cambiamenti sono stati comunque significativi. Molte organizzazioni sono state costrette ad attuare e accelerare iniziative di trasformazione digitale per soddisfare le esigenze di una forza lavoro remota rapidamente implementata.
Le organizzazioni che avevano investito molto nello sviluppo e nella creazione di solide architetture di sicurezza on-premise hanno dovuto trasformare e aggiornare in modo significativo la loro strategia di sicurezza per proteggersi dalle minacce alle risorse utilizzate al di fuori degli uffici. Infatti, una delle più importanti consapevolezze e lezioni apprese nel 2020 in materia di sicurezza è che la protezione dei dispositivi dei dipendenti, delle loro interazioni con Internet e dell'accesso alle applicazioni aziendali deve poterli seguire ovunque si trovino, indipendentemente dal luogo in cui si trovano in un dato momento.
Impatto sul panorama della sicurezza con l'adozione Cloud del SaaS
Come conseguenza diretta dell'accelerazione delle iniziative di lavoro da casa, nel 2020 l'adozione e l'uso quotidiano delle applicazioni cloud SaaS (software-as-a-service) hanno registrato un'impennata, presentando molte nuove minacce. Gli attacchi che prendono di mira gli account cloud SaaS e cloud sono stati tra i problemi in più rapida crescita e più diffusi per le organizzazioni, anche prima che il COVID-19 costringesse al passaggio massiccio e rapido al lavoro da remoto.
Con l'aumento dell'utilizzo cloud da parte delle organizzazioni, applicazioni come Office 365 hanno dominato il settore della produttività. La piattaforma Office 365 ha registrato oltre 250 milioni di utenti attivi ogni mese ed è diventata la base per la condivisione, l'archiviazione e la comunicazione dei dati aziendali, trasformandosi anche in un tesoro incredibilmente ricco per gli aggressori.
Non sorprende quindi che Office 365 sia diventato il bersaglio principale degli hacker nel 2020, causando ingenti perdite finanziarie e danni alla reputazione, nonostante la maggiore diffusione dell'autenticazione a più fattori e di altri controlli di sicurezza volti a ostacolare gli hacker. Tra le violazioni che hanno coinvolto Office 365, l'appropriazione degli account è stata la tecnica più diffusa e in più rapida crescita utilizzata dagli hacker.
Strumenti sfruttati dagli aggressori nell'ambiente Office 365
Gli aggressori ora si concentrano sul furto di account piuttosto che sulla compromissione delle e-mail per ottenere l'accesso iniziale a un ambiente. Secondo un recente studio, il movimento laterale è la categoria più comune di comportamento sospetto all'interno degli ambienti Office 365, seguito da vicino dai tentativi di stabilire una comunicazione di comando e controllo. Due strumenti di Office 365 che si sono rivelati preziosi per gli aggressori sono Power Automate ed eDiscovery Compliance Search.
Microsoft Power Automate, precedentemente noto come Microsoft Flow, automatizza le attività quotidiane degli utenti sia in Office 365 che in Azure ed è abilitato per impostazione predefinita in tutti i tenant di Office 365. Consente di ridurre il tempo e lo sforzo necessari per eseguire determinate attività per gli utenti, ma, analogamente a PowerShell, anche gli aggressori tendono a voler automatizzare le attività. Con oltre 350 connettori di applicazioni disponibili, le opzioni per i cybercriminali che utilizzano Power Automate sono infinite. Office 365 eDiscovery Compliance Search consente di cercare informazioni in tutti i contenuti di Office 365 utilizzando un semplice comando. Tutte queste tecniche sono attualmente utilizzate attivamente e vengono spesso impiegate insieme durante l'intero ciclo di vita dell'attacco.
Il numero di minacce rivolte agli utenti di Office 365 e altre piattaforme simili continuerà senza dubbio a crescere nel 2021. L'identificazione degli abusi nell'accesso degli utenti è stata tradizionalmente affrontata utilizzando approcci basati sulla prevenzione e incentrati sulle politiche o facendo affidamento su avvisi che identificavano le potenziali minacce nel momento in cui si verificavano, lasciando poco tempo per rispondere in modo adeguato. Questi approcci tradizionali continueranno a fallire, poiché mostrano solo che un account approvato viene utilizzato per accedere alle risorse e non forniscono alcuna informazione più approfondita su come o perché le risorse vengono utilizzate e se il comportamento osservato potrebbe essere utile a un aggressore.
Nel 2021, i team di sicurezza dovranno concentrarsi sull'implementazione di misure che forniscano una panoramica più dettagliata di come gli utenti utilizzano le azioni privilegiate, note come privilegi osservati, all'interno delle applicazioni SaaS come Office 365. Ciò significa comprendere come e da dove gli utenti accedono alle risorse di Office 365. Si tratta di comprendere i modelli e i comportamenti di utilizzo, non di definire politiche di accesso statiche.
L'importanza di tenere sotto controllo l'uso improprio dell'accesso degli utenti ai dati SaaS non può essere sottovalutata, data la sua prevalenza negli attacchi reali. Le piattaforme SaaS sono un paradiso per i movimenti laterali degli aggressori, rendendo fondamentale monitorare l'accesso degli utenti agli account e ai servizi.
Misure di sicurezza e considerazioni per il futuro
Guardando al 2021, quali sono alcune delle altre considerazioni in materia di sicurezza che le organizzazioni dovrebbero prepararsi ad affrontare? L'inversione della rete aziendale rimarrà predominante, poiché molte imprese in tutto il mondo si concentrano sull'adozione di una struttura di lavoro ibrida più permanente o completamente remota per aumentare la produttività, ridurre i costi generali e offrire ai dipendenti una maggiore flessibilità. Non è più vero che i dati altamente sensibili e riservati vengono conservati solo in loco, dove vengono fatte poche eccezioni nelle politiche di protezione del firewall per consentire la comunicazione in uscita.
Nel 2021, la deperimetrizzazione delle reti aziendali sarà finalmente accettata come norma, un fenomeno previsto da anni e accelerato dalla pandemia. Uno degli indicatori principali di questo cambiamento è rappresentato dalle aziende che stanno abbandonando Active Directory (architettura legacy on-premise) e trasferendo tutte le loro identità su Azure AD (una moderna tecnologia cloud).
Una delle cose migliori che un'organizzazione può fare per prepararsi alle sfide di sicurezza nel 2021 è investire nel rilevamento e nella risposta di rete (NDR) e fornire l'accesso agli utenti tramite Zero Trust . Le aziende dovrebbero riflettere su dove si trovano i loro dati più importanti (probabilmente nel cloud nelle applicazioni SaaS) e determinare quanto sia efficiente il loro team di sicurezza nell'individuare gli aggressori da tutti questi luoghi prima che causino danni sostanziali.
Per scoprire in che modo NDR e Zero Trust le organizzazioni a raggiungere questi obiettivi, prenota oggi stesso una demo.