Che cosa hanno in comune il furto di identità, WhatsApp e un documento Microsoft Word creato ad arte? Per rispondere a questa domanda, permettetemi di tornare indietro di un po'.
È passato quasi un anno dall'inizio della pandemia COVID-19 e le aziende farmaceutiche sono state sottoposte a notevoli pressioni per proteggere i propri dati, dato che la sanità è diventata un obiettivo primario per la criminalità informatica organizzata. Il contemporaneo passaggio al lavoro e alla collaborazione da remoto ha stimolato la rapida adozione di servizi cloud in tutti i settori, in particolare per le organizzazioni sanitarie, dove si è registrato un aumento della telemedicina e dei nuovi requisiti di lavoro da remoto.
Con tutti gli occhi puntati sull'assistenza sanitaria, abbiamo visto che i cyberattaccanti sono diventati ancora più creativi nell'infiltrarsi nelle organizzazioni senza farsi notare.
Ecco un aggressore che si finge un reclutatore sfruttando un profilo LinkedIn fraudolento basato su una persona reale con un ampio background nel campo del reclutamento. L'attore della minaccia contatta le persone con l'esca di un'offerta di lavoro vantaggiosa, stabilendo un rapporto con l'obiettivo via WhatsApp per diversi giorni. Infine, l'obiettivo riceve un documento Word infetto che, una volta aperto, consente all'aggressore di accedere al sistema dell'organizzazione. Questo social engineering ha permesso agli hacker di colpire e compromettere il personale dell'azienda, proprio come l'ignaro dipendente Zero di Sanofi, una multinazionale farmaceutica. È qui che inizia la nostra storia.
Ho avuto il privilegio di incontrare Jean-Yves Poichotte, Group Head of Cybersecurity di Sanofi, e Richard Webster, Head of Cyber Security Operations Center di Sanofi, per discutere di come si è svolto l'attacco e del perché la collaborazione con Vectra sia stata fondamentale per prevenire la violazione dei dati.
"Abbiamo molti fornitori", ha detto Jean-Yves. "Sono rari quelli che dedicano un certo livello di partnership. Vectra e il suo team stanno portando una mentalità di partnership".
Valore aggiunto con Vectra
Cosa succede quando gli account sono compromessi e un aggressore si infiltra nella vostra organizzazione attraverso strumenti e processi del tutto legittimi? Il comportamento dannoso dell'aggressore si nasconde tra il rumore "normale" e non risalta nelle scansioni endpoint . In casi come questo, le soluzioni di rilevamento e risposta endpoint (EDR) sono già state infettate e non sono più in grado di combattere la minaccia. È proprio questo il problema che Sanofi ha risolto con Vectra.
Abbiamo colmato una lacuna specifica nel percorso di sicurezza di Sanofi, offrendole visibilità e copertura complete tra le implementazioni aziendali e quelle cloud , compresa l'infrastruttura AWS. Durante i test del red team, Sanofi ha richiesto una soluzione in grado di rilevare gli attacchi che eludono gli strumenti esistenti, come l'EDR, e che sono impossibili da trovare nei sistemi di gestione degli eventi e delle informazioni di sicurezza (SIEM).
La piattaforma Cognito Network Detection and Response (NDR) di Vectra applica algoritmi di apprendimento automatico derivati dall'AI per rilevare automaticamente, dare priorità e rispondere ai comportamenti di cyberattacco in corso. Cognito fornisce una visibilità ad alta fedeltà dell'intera rete e del cloud, nonché di tutte le applicazioni, i sistemi operativi e i dispositivi, compresi i dispositivi BYOD (Bring Your Own Device) e l'Internet of Things (IoT).
La capacità di Cognito di monitorare continuamente tutto il traffico di rete e cloud , oltre all'aggiunta dei dati di AWS VPC Traffic Mirror, rende impossibile agli aggressori di eludere il sistema. La prioritizzazione delle minacce a più alto rischio con un alto grado di certezza consente un approccio sicuro all'automazione della sorveglianza delle minacce. Secondo Richard, la tecnologia Cognito è ciò che ha permesso alla loro organizzazione di rilevare e bloccare l'attacco.
L'NDR aumenta il SOC
Anche se l'architettura di sicurezza di Sanofi è costruita per gestire operazioni complesse, questo particolare attacco è riuscito a eludere gli strumenti già esistenti. Richard ha rivelato: "Dico sempre al mio team che dobbiamo costruire sempre nuove reti di rilevamento. Stiamo aggiungendo strati su strati di reti di rilevamento, ma solo due di esse hanno funzionato per questo attacco". Le due in questione? Il rilevamento e la risposta Endpoint (EDR) e l'NDR.
Quando ho chiesto a Jean-Yves e Richard di scegliere tra EDR e NDR, Richard ha risposto che entrambi sono fondamentali per mantenere un ambiente sicuro. "Per me non si tratta di uno o dell'altro: ho bisogno di entrambi. Voglio la massima visibilità possibile e voglio fare una forensics approfondita con EDR e NDR". L'esperto ha spiegato che gli avversari possono compromettere il dispositivo endpoint e disattivare la soluzione EDR, mentre non possono fare lo stesso con l'NDR. "È più difficile sconfiggere l'NDR",", ha detto.
Mentre l'EDR è importante per gli endpoint, l'NDR è fondamentale per la rete. Sanofi ha utilizzato Detect e Recall in tandem per rilevare le minacce e tracciare la progressione dell'attacco. Mentre Detect ha fornito assistenza in tempo reale, Recall ha assistito il team di Sanofi in seguito per condurre le indagini forensi. Richard ha osservato: "In questo particolare attacco, potevamo entrare in Recall e vedere riga per riga quale fosse esattamente l'enumerazione delle azioni. Potevamo vedere le aperture dei file, la lettura dei file, i nomi dei file, il conteggio dei byte". Una visibilità così completa della progressione dell'attacco ha quindi istruito e informato il team, che ha creato framework di rilevamento per prevenire tattiche simili in futuro.
Sanofi e Vectra: meglio insieme
Jean-Yves, Richard e io abbiamo concluso rafforzando la forza della partnership tra le nostre organizzazioni. Questo attacco ha dimostrato che quando un aggressore riesce a rubare le credenziali e a bypassare le soluzioni endpoint tradizionali, NDR riesce a colmare efficacemente il divario.
Sventare questo attacco esemplifica anche i vantaggi collaborativi derivanti da una cooperazione entusiasta tra i nostri team. Vectra offre la piattaforma, mentre Sanofi porta i suoi casi d'uso unici, il che ci permette di innovare insieme, risolvere problemi e scambiare competenze tecniche.
Mentre Sanofi continua ad adattarsi al cloud e a sviluppare la propria sicurezza aziendale, Jean-Yves e Richard hanno condiviso che non vedono l'ora di continuare a collaborare con noi di Vectra. Jean-Yves ha commentato: "Vectra porta la sua innovazione e il suo profondo valore tecnico. Il mio team di Sanofi porta il feedback della soluzione. E la combinazione è la strada del progresso e della maturità".
La conversazione si è conclusa con un'eccellente sessione di domande e risposte, con domande presentate dal pubblico. Sebbene non sia stato possibile rispondere a tutti gli interventi in diretta, le risposte sono state inserite in questo documento, con i commenti inediti di Jean-Yves e Richard.
Scoprite i metodi utilizzati dai criminali informatici per portare a termine l'attacco sfruttando LinkedIn, WhatsApp e Microsoft Word e come Sanofi ha utilizzato Detect and Recall di Vectra per bloccare l'attacco sul nascere.