Il 2020 ha presentato un'ondata di sfide per le aziende di ogni settore, dalla sanità all'ospitalità all'aviazione. Ogni organizzazione è stata costretta ad adattare qualche aspetto della propria strategia, riducendo le spese, tagliando il personale, assumendo follemente o cambiando i modelli operativi.
Trasformazione digitale di fronte a una forza lavoro remota
Sebbene l'impatto della pandemia COVID-19 del 2020 sull'industria tecnologica sia in ritardo rispetto ad altri settori, si sono comunque verificati cambiamenti significativi. Molte organizzazioni sono state costrette a implementare e accelerare le iniziative di trasformazione digitale per far fronte alla rapida diffusione della forza lavoro remota.
Le organizzazioni che avevano investito molto nello sviluppo e nella creazione di solide architetture di sicurezza on-premise hanno dovuto trasformare e aggiornare in modo significativo la loro strategia di sicurezza per proteggere dalle minacce le risorse utilizzate al di fuori delle mura dell'ufficio. Infatti, una delle più grandi realizzazioni e lezioni di sicurezza apprese nel 2020 è che la sicurezza della protezione del dispositivo di un dipendente, dell'interazione con Internet e dell'accesso alle applicazioni aziendali deve essere in grado di viaggiare con lui, indipendentemente dal luogo in cui si trova in un determinato momento.
Impatto sul panorama della sicurezza con l'adozione di Cloud e SaaS
Come conseguenza diretta dell'accelerazione delle iniziative di lavoro da casa, l'adozione e l'uso quotidiano di applicazioni cloud e SaaS (software-as-a-service) sono aumentati nel 2020, presentando molte nuove minacce. Gli attacchi che prendono di mira gli account degli utenti SaaS e cloud sono stati tra i problemi più diffusi e in rapida crescita per le organizzazioni, anche prima che il COVID-19 imponesse il vasto e rapido passaggio al lavoro da remoto.
Con l'aumento dell'utilizzo di software cloud da parte delle aziende, applicazioni come Office 365 hanno dominato lo spazio della produttività. La piattaforma Office 365 conta più di 250 milioni di utenti attivi al mese ed è diventata la base della condivisione, dell'archiviazione e della comunicazione dei dati aziendali, diventando anche un tesoro incredibilmente ricco per gli aggressori.
Non sorprende quindi che Office 365 sia stato al centro dell'attenzione degli aggressori nel 2020, causando ingenti perdite finanziarie e di reputazione, nonostante la maggiore adozione dell'autenticazione a più fattori e di altri controlli di sicurezza destinati a ostacolare gli aggressori. Tra le violazioni che hanno coinvolto Office 365, l'acquisizione di account è stata la tecnica di attacco più diffusa e in rapida crescita.
Strumenti sfruttati dagli aggressori nell'ambiente Office 365
Gli aggressori si concentrano ora sull'acquisizione di account piuttosto che sulla compromissione delle e-mail per ottenere l'accesso iniziale in un ambiente. Secondo un recente studio, il movimento laterale è la categoria più comune di comportamento sospetto all'interno degli ambienti Office 365, seguito da vicino dai tentativi di stabilire comunicazioni di comando e controllo. Due strumenti di Office 365 che sono emersi come preziosi per gli aggressori sono Power Automate e eDiscovery Compliance Search.
Microsoft Power Automate, in precedenza Microsoft Flow, automatizza le attività quotidiane degli utenti sia in Office 365 che in Azure ed è abilitato per impostazione predefinita in tutti i tenant di Office 365. Può ridurre il tempo di esecuzione di determinate attività per gli utenti. Può ridurre il tempo e lo sforzo per svolgere determinate attività per gli utenti, ma come PowerShell, anche gli aggressori tendono a voler automatizzare le attività. Con oltre 350 connettori di applicazioni disponibili, le opzioni per i cyberattaccanti che utilizzano Power Automate sono vaste. Office 365 eDiscovery Compliance Search consente di cercare informazioni in tutti i contenuti di Office 365 con un semplice comando. Tutte queste tecniche vengono utilizzate attivamente e spesso insieme nel ciclo di vita dell'attacco.
Il numero di minacce rivolte agli utenti di Office 365 e di altre piattaforme simili continuerà senza dubbio a crescere nel 2021. L'identificazione dell'uso improprio degli accessi da parte degli utenti è stata tradizionalmente affrontata utilizzando approcci basati sulla prevenzione e incentrati sulle policy, oppure affidandosi ad avvisi che identificavano le potenziali minacce nel momento in cui si verificavano, lasciando poco tempo per rispondere in modo appropriato. Questi approcci tradizionali continueranno a fallire, in quanto si limitano a mostrare che un account approvato viene utilizzato per accedere alle risorse e non forniscono una visione più approfondita di come o perché le risorse vengono utilizzate e se il comportamento osservato potrebbe essere utile a un attaccante.
Nel 2021, i team di sicurezza devono concentrarsi sull'implementazione di misure che forniscano una panoramica più dettagliata di come i loro utenti utilizzano azioni privilegiate - note come privilegi osservati - all'interno di applicazioni SaaS come Office 365. Ciò significa capire come gli utenti accedono alle risorse di Office 365 e da dove. Si tratta di comprendere i modelli e i comportamenti di utilizzo, non di definire politiche di accesso statiche.
L'importanza di tenere sotto controllo l'uso improprio dell'accesso degli utenti ai dati SaaS non può essere sopravvalutata, data la sua prevalenza negli attacchi del mondo reale. Le piattaforme SaaS sono un paradiso per gli attacchi laterali, per cui è fondamentale monitorare l'accesso degli utenti agli account e ai servizi.
Misure di sicurezza e considerazioni per il futuro
In vista del 2021, quali sono le altre considerazioni sulla sicurezza a cui le organizzazioni devono prepararsi? L'inversione della rete aziendale rimarrà predominante, poiché molte aziende in tutto il mondo si concentrano sull'adozione di una struttura di lavoro ibrida o completamente remota per aumentare la produttività, ridurre le spese generali e offrire ai dipendenti una maggiore flessibilità. Non è più detto che i dati altamente sensibili e confidenziali siano conservati solo in sede, con un piccolo numero di eccezioni nelle politiche di protezione del firewall per consentire le comunicazioni in uscita.
Nel 2021, la de-perimetrazione delle reti aziendali sarà finalmente accettata come la norma, cosa che è stata anticipata da anni e che la pandemia ha accelerato. Uno degli indicatori principali è rappresentato dalle aziende che stanno abbandonando Active Directory (architettura legacy on-premises) e spostando tutte le loro identità su Azure AD (una moderna tecnologia cloud).
Una delle cose migliori che un'organizzazione possa fare per prepararsi alle sfide della sicurezza nel 2021 è investire nel rilevamento e nella risposta di rete (NDR) e fornire l'accesso agli utenti tramite un'architetturaZero Trust . Le aziende dovrebbero pensare a dove si trovano i loro dati più importanti (molto probabilmente nel cloud e nelle applicazioni SaaS) e determinare quanto sia efficiente il loro team di sicurezza nell'individuare gli aggressori da tutti questi luoghi prima che facciano danni sostanziali.
Per scoprire come NDR e Zero Trust possono aiutare le aziende a raggiungere questi obiettivi, programmate una demo oggi stesso.