Che cosa hanno in comune il furto di identità, WhatsApp e un documento Microsoft Word creato ad arte? Per rispondere a questa domanda, permettetemi di tornare indietro di un po'.
Sono passati diversi anni dall'inizio della pandemia COVID-19 e le aziende farmaceutiche continuano a subire forti pressioni per la protezione dei propri dati, poiché il settore sanitario rimane un obiettivo primario per la criminalità informatica organizzata. Il passaggio diffuso al lavoro remoto e ibrido ha portato alla continua crescita dell'adozione cloud in tutti i settori, in particolare per le organizzazioni sanitarie, dove si è registrato un aumento della telemedicina e dei nuovi requisiti di lavoro remoto.
Poiché tutti gli occhi sono ancora puntati sulla sanità, abbiamo visto che i cyberattaccanti sono diventati ancora più creativi nell'infiltrarsi nelle organizzazioni in modo nascosto.
Ecco un aggressore che si finge un reclutatore sfruttando un profilo LinkedIn fraudolento basato su una persona reale con un ampio background nel campo del reclutamento. L'attore della minaccia contatta le persone con l'esca di un'offerta di lavoro vantaggiosa, stabilendo un rapporto con l'obiettivo via WhatsApp per diversi giorni. Infine, l'obiettivo riceve un documento Word infetto che, una volta aperto, consente all'aggressore di accedere al sistema dell'organizzazione. Questo social engineering ha permesso agli hacker di colpire e compromettere il personale dell'azienda, proprio come l'ignaro dipendente Zero di Sanofi, una multinazionale farmaceutica. È qui che inizia la nostra storia.
Ho avuto il privilegio di incontrare Jean-Yves Poichotte, Group Head of Cybersecurity di Sanofi, e Richard Webster, Head of Cyber Security Operations Center diSanofi, per discutere di come si è svolto l'attacco e del motivo per cui la collaborazione con Vectra è stata fondamentale per prevenire la violazione dei dati.
"Abbiamo molti fornitori", ha detto Jean-Yves. "Sono rari quelli che dedicano un certo livello di partnership. Vectra e il suo team stanno portando una mentalità di partnership".
Valore aggiunto con Vectra
Cosa succede quando gli account sono compromessi e un aggressore si infiltra nella vostra organizzazione attraverso strumenti e processi del tutto legittimi? Il comportamento dannoso dell'aggressore si nasconde tra il rumore "normale" e non risalta nelle scansioni endpoint . In casi come questo, le soluzioni di rilevamento e risposta endpoint (EDR) sono già state infettate e non sono più in grado di combattere la minaccia. È proprio questo il problema che Sanofi ha risolto con Vectra.
Abbiamo colmato una lacuna specifica nel percorso di sicurezza di Sanofi, offrendole visibilità e copertura complete tra le implementazioni aziendali e quelle cloud , compresa l'infrastruttura AWS. Durante i test del red team, Sanofi ha richiesto una soluzione in grado di rilevare gli attacchi che eludono gli strumenti esistenti, come l'EDR, e che sono impossibili da trovare nei sistemi di gestione degli eventi e delle informazioni di sicurezza (SIEM).
La piattaforma Vectra applica algoritmi di apprendimento automatico derivati dall'AI per rilevare automaticamente, dare priorità e rispondere ai comportamenti di cyberattacco in corso. Vectra AI fornisce una visibilità ad alta fedeltà dell'intera rete e del cloud, nonché di tutte le applicazioni, i sistemi operativi e i dispositivi, compresi i dispositivi BYOD (Bring Your Own Device) e IoT (Internet of Things).
Per questo motivo, l'estensione del rilevamento a tutti gli ambienti, compreso il cloud, era una parte fondamentale della strategia di Sanofi. Nell'ambito di questo impegno, Sanofi ha utilizzato Vectra AI per analizzare il comportamento del proprio ambiente AWS, un'attenzione che è stata riaffermata con un rinnovato impegno alla copertura AWS nel 2024.
La visibilità su AWS si è rivelata essenziale. Ha permesso a Sanofi di individuare i comportamenti che altri strumenti non avevano notato e di rispondere in tempo reale prima che l'attacco potesse intensificarsi. Facendo emergere i segnali direttamente dall'infrastruttura AWS, il team ha potuto indagare su attività che sarebbero rimaste invisibili con i soli strumenti endpoint . Questo livello di approfondimento è stato fondamentale per rintracciare i movimenti dell'aggressore e intervenire in modo decisivo.
"Siamo clienti di lunga data di AWS e Vectra. Utilizzato per monitorare la nostra rete aziendale e il nostro piano di gestione cloud , la capacità di Vectra di rilevare le minacce e il suo profondo bacino di dati per la forensics e le indagini conferiscono un contesto e ne fanno una capacità potente. Offre una visibilità critica dei comportamenti di attacco attraverso la rete, l'identità e il cloud. In particolare, abbiamo riscontrato, nel corso di test aggressivi del Red Team, potenti capacità di rilevamento cloud . Inoltre, la pagina di indagine istantanea mostra tutte le azioni intraprese da un account nel nostro tenant, una funzionalità di indagine efficiente. In caso di incidenti reali e complessi, questa funzione offre un contesto enorme".
La capacità di Vectra di fornire questo tipo di copertura, oltre all'aggiunta dei dati di AWS VPC Traffic Mirror, rende quasi impossibile per gli aggressori aggirarli. La prioritizzazione delle minacce a più alto rischio con un elevato grado di certezza consente un approccio sicuro all'automazione della sorveglianza delle minacce. Secondo Richard, la tecnologia Vectra ha permesso alla loro organizzazione di rilevare e bloccare l'attacco.
L'NDR aumenta il SOC
Anche se l'architettura di sicurezza di Sanofi è costruita per gestire operazioni complesse, questo particolare attacco è riuscito a eludere gli strumenti già esistenti. Richard ha rivelato: "Dico sempre al mio team che dobbiamo costruire sempre nuove reti di rilevamento. Stiamo aggiungendo strati su strati di reti di rilevamento, ma solo due di esse hanno funzionato per questo attacco". Le due in questione? Il rilevamento e la risposta Endpoint (EDR) e l'NDR.
Quando ho chiesto a Jean-Yves e Richard di scegliere tra EDR e NDR, Richard ha risposto che entrambi sono fondamentali per mantenere un ambiente sicuro. "Per me non si tratta di uno o dell'altro: ho bisogno di entrambi. Voglio la massima visibilità possibile e voglio fare una forensics approfondita con EDR e NDR". L'esperto ha spiegato che gli avversari possono compromettere il dispositivo endpoint e disattivare la soluzione EDR, mentre non possono fare lo stesso con l'NDR. "È più difficile sconfiggere l'NDR",", ha detto.
Mentre l'EDR è importante per gli endpoint, l'NDR è fondamentale per la rete. Sanofi ha utilizzato Detect e Recall in tandem per rilevare le minacce e tracciare la progressione dell'attacco. Mentre Detect ha fornito assistenza in tempo reale, Recall ha assistito il team di Sanofi in seguito per condurre le indagini forensi. Richard ha osservato: "In questo particolare attacco, potevamo entrare in Recall e vedere riga per riga quale fosse esattamente l'enumerazione delle azioni. Potevamo vedere le aperture dei file, la lettura dei file, i nomi dei file, il conteggio dei byte". Una visibilità così completa della progressione dell'attacco ha quindi istruito e informato il team, che ha creato framework di rilevamento per prevenire tattiche simili in futuro.
Sanofi e Vectra: meglio insieme
Jean-Yves, Richard e io abbiamo concluso rafforzando la forza della partnership tra le nostre organizzazioni. Questo attacco ha dimostrato che quando un aggressore riesce a rubare le credenziali e a bypassare le soluzioni endpoint tradizionali, NDR riesce a colmare efficacemente il divario.
Sventare questo attacco esemplifica anche i vantaggi collaborativi derivanti da una cooperazione entusiasta tra i nostri team. Vectra offre la piattaforma, mentre Sanofi porta i suoi casi d'uso unici, il che ci permette di innovare insieme, risolvere problemi e scambiare competenze tecniche.
Poiché Sanofi continua ad evolvere le sue operazioni di sicurezza e ad espandere la sua impronta cloud , Jean-Yves e Richard hanno condiviso che non vedono l'ora di continuare a collaborare con noi di Vectra. Jean-Yves ha commentato: "Vectra porta la sua innovazione e il suo profondo valore tecnico. Il mio team di Sanofi porta il feedback della soluzione. E la combinazione è la strada del progresso e della maturità".
La conversazione si è conclusa con un'eccellente sessione di domande e risposte, con domande presentate dal pubblico. Sebbene non sia stato possibile rispondere a tutti gli interventi in diretta, le risposte sono state inserite in questo documento, con i commenti inediti di Jean-Yves e Richard.
Scoprite i metodi utilizzati dai criminali informatici per portare a termine l'attacco sfruttando LinkedIn, WhatsApp e Microsoft Word e come Sanofi ha utilizzato Detect and Recall di Vectra per bloccare l'attacco sul nascere.