Cosa hanno in comune il furto di identità, WhatsApp e un documento Microsoft Word creato con intenti malevoli? Per rispondere a questa domanda, permettetemi di fare un piccolo passo indietro.
Sono passati diversi anni dall'inizio della pandemia di COVID-19 e le aziende farmaceutiche continuano a subire forti pressioni per proteggere i propri dati, poiché il settore sanitario rimane uno degli obiettivi principali della criminalità informatica organizzata. Il diffuso passaggio al lavoro remoto e ibrido ha portato a una crescita continua cloud in tutti i settori, in particolare per le organizzazioni sanitarie, dove si è registrato un aumento della telemedicina e dei nuovi requisiti di lavoro remoto.
Con l'attenzione ancora concentrata sul settore sanitario, abbiamo assistito a un aumento della creatività dei cybercriminali nel penetrare nelle organizzazioni senza dare nell'occhio.
Entra in scena un aggressore che si finge un reclutatore e sfrutta un profilo LinkedIn fraudolento basato su una persona reale con una vasta esperienza nel reclutamento. Questo autore della minaccia contatta le persone con la promessa di un'offerta di lavoro redditizia, instaurando un rapporto con il proprio obiettivo tramite WhatsApp nel corso di diversi giorni. Infine, la vittima riceve un documento Word infetto che, una volta aperto, fornisce all'aggressore l'accesso al sistema dell'organizzazione. Questo social engineering ha permesso agli hacker di prendere di mira e compromettere il personale dell'azienda, proprio come l'ignaro Dipendente Zero della Sanofi, una multinazionale farmaceutica. È qui che inizia la nostra storia.
Ho avuto il privilegio di incontrare Jean-Yves Poichotte, Head of del gruppo Sanofi, e Richard Webster, Head of centro operativo per la sicurezza Head of di Sanofi, per discutere di come si è svolto questo attacco e perché la collaborazione con Vectra è stata fondamentale per prevenire una violazione dei dati.
"Abbiamo molti fornitori", ha affermato Jean-Yves. "Rari sono quelli che dedicano un certo livello di collaborazione. Vectra e il suo team stanno portando una mentalità orientata alla collaborazione".
Aggiungere valore con Vectra
Cosa succede quando gli account vengono compromessi e un hacker si infiltra nella tua organizzazione usando strumenti e processi completamente legittimi? Il comportamento dannoso dell'hacker si nasconde tra il rumore "normale" e non salta all'occhio con endpoint . In casi come questo, le soluzioni endpoint e risposta endpoint (EDR) sono già state infettate e non possono più combattere la minaccia. Questo è proprio il problema che Sanofi ha risolto con Vectra.
Abbiamo colmato una lacuna specifica nel percorso di sicurezza di Sanofi, fornendo loro piena visibilità e copertura tra cloud loro cloud aziendali e cloud , compresa la loro infrastruttura AWS. Durante i test del red team, Sanofi aveva bisogno di una soluzione in grado di rilevare gli attacchi che aggirano gli strumenti esistenti come EDR e che sarebbero impossibili da individuare nei sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM).
La piattaforma Vectra applica algoritmi di apprendimento automatico derivati dall'intelligenza artificiale per rilevare, classificare in ordine di priorità e rispondere automaticamente ai comportamenti di attacchi informatici in corso. Vectra AI una visibilità ad alta fedeltà dell'intera rete e cloud, nonché di tutte le applicazioni, i sistemi operativi e i dispositivi, compresi i dispositivi personali (BYOD) e l'Internet delle cose (IoT).
Ecco perché estendere il rilevamento a tutti gli ambienti, compreso il cloud, era una parte fondamentale della strategia di Sanofi. Nell'ambito di tale iniziativa, Sanofi ha sfruttato Vectra AI analizzare il comportamento nel proprio ambiente AWS, un obiettivo che è stato ribadito con un rinnovato impegno a favore della copertura AWS nel 2024.
La visibilità su AWS si è rivelata essenziale. Ha consentito a Sanofi di individuare comportamenti che altri strumenti non erano riusciti a rilevare e di reagire in tempo reale prima che l'attacco potesse intensificarsi. Grazie alla visualizzazione dei segnali provenienti direttamente dall'infrastruttura AWS, il team ha potuto indagare su attività che sarebbero rimaste invisibili agli endpoint . Questo livello di approfondimento è stato fondamentale per tracciare i movimenti dell'autore dell'attacco e intraprendere azioni decisive.
"Siamo clienti di lunga data di AWS e Vectra. Ci affidiamo a Vectra come componente importante del nostro kit di strumenti di rilevamento e risposta", ha spiegato Jean-Yves. "Utilizzato per monitorare la nostra rete aziendale e il nostro piano cloud , la capacità di Vectra di rilevare le minacce e il suo ampio database di dati per le analisi forensi e le indagini forniscono un contesto e lo rendono uno strumento potente. Offre una visibilità fondamentale sui comportamenti degli attacchi attraverso la rete, l'identità e cloud. In particolare, abbiamo riscontrato, in test aggressivi del red team, potenti capacità cloud . Inoltre, la pagina di indagine istantanea mostra tutte le azioni intraprese da un account nel nostro tenant, una funzione di indagine efficiente. In incidenti reali e complessi, fornisce un contesto enorme".
La capacità di Vectra di fornire questo tipo di copertura, insieme all'aggiunta dei dati AWS VPC Traffic Mirror, rende quasi impossibile per gli aggressori eludere il sistema. Dare priorità alle minacce più rischiose con un alto grado di certezza consente un approccio sicuro all'automazione della sorveglianza delle minacce. Secondo Richard, è stata la tecnologia Vectra a consentire alla loro organizzazione di rilevare e bloccare l'attacco.
NDR potenzia il SOC
Sebbene l'architettura di sicurezza di Sanofi sia progettata per gestire operazioni complesse, questo particolare attacco è riuscito a eludere gli strumenti già in uso. Richard ha rivelato: "Dico sempre al mio team che dobbiamo creare continuamente nuove reti di rilevamento. Stiamo aggiungendo uno strato dopo l'altro di reti di rilevamento, ma solo due di esse hanno funzionato per questo attacco". Quali sono questi due? Endpoint e la risposta Endpoint (EDR) e l'NDR.
Quando ho chiesto a Jean-Yves e Richard di scegliere tra EDR e NDR, Richard ha affermato che entrambi sono fondamentali per mantenere un ambiente sicuro. "Per me non è una questione di scegliere l'uno o l'altro: mi servono entrambi. Voglio la massima visibilità possibile e voglio eseguire analisi forensi approfondite con EDR e NDR".Ha spiegato come gli avversari potrebbero compromettere il endpoint e disabilitare la soluzione EDR, mentre gli aggressori non possono fare lo stesso con NDR. "È più difficile sconfiggere NDR,", ha affermato.
Mentre l'EDR è importante per gli endpoint, l'NDR è fondamentale per la rete. Sanofi ha utilizzato Detect e Recall tandem per rilevare le minacce e tracciare la progressione dell'attacco. Mentre Detect ha fornito assistenza in tempo reale, Recall il team di Sanofi a condurre le indagini forensi a posteriori. Richard ha osservato: "In questo particolare attacco, abbiamo potuto accedere a Recall vedere riga per riga esattamente quale fosse l'enumerazione delle condivisioni. Abbiamo potuto vedere l'apertura dei file, la lettura dei file, i nomi dei file e il conteggio dei byte". Questa visibilità completa della progressione dell'attacco ha poi istruito e informato il team mentre creava framework di rilevamento per prevenire tattiche simili in futuro.
Sanofi e Vectra: insieme è meglio
Jean-Yves, Richard ed io abbiamo concluso rafforzando la solidità della partnership tra le nostre organizzazioni. Questo attacco ha dimostrato che quando un hacker riesce a rubare le credenziali e aggirare endpoint tradizionali endpoint , NDR colma efficacemente il divario.
Il fatto di aver sventato questo attacco dimostra anche i vantaggi derivanti dalla collaborazione entusiasta tra i nostri team. Vectra offre la piattaforma, mentre Sanofi mette a disposizione i propri casi d'uso specifici, consentendoci di innovare insieme, risolvere problemi e scambiare competenze tecniche.
Mentre Sanofi continua a evolvere le proprie operazioni di sicurezza e ad ampliare cloud propria cloud , Jean-Yves e Richard hanno dichiarato di essere impazienti di continuare la collaborazione con noi di Vectra. Jean-Yves ha commentato: "Vectra apporta innovazione e un profondo valore tecnico. Il mio team in Sanofi fornisce il feedback sulla soluzione. E questa combinazione è la strada verso il progresso e la maturità".
Abbiamo concluso la nostra conversazione con un'eccellente sessione di domande e risposte con domande inviate dal pubblico. Sebbene non sia stato possibile rispondere a tutte le domande in diretta, abbiamo risposto a tutte in questo documento, riportando i commenti non modificati di Jean-Yves e Richard.
Scopri tutti i dettagli sui metodi utilizzati dai criminali informatici per sferrare l'attacco, sfruttando LinkedIn, WhatsApp e Microsoft Word, e su come Sanofi ha utilizzato Detect and Recall Vectra per bloccare l'attacco sul nascere.