Vedere sotto la superficie: Cosa rivela il Crimson Collective sulla profondità di rilevamento delle Cloud

9 ottobre 2025
Lucie Cardiet
Responsabile della ricerca sulle minacce informatiche
Vedere sotto la superficie: Cosa rivela il Crimson Collective sulla profondità di rilevamento delle Cloud
"State mappando la costa mentre le vere correnti scorrono in profonditàCrimson Collective
Crimson Collective, il 9 ottobre 2025

Quando Crimson Collective ha lasciato un messaggio criptico diretto a Rapid7, non si trattava solo di una provocazione. Era un riflesso di come gli attori delle minacce vedono l'approccio della comunità della sicurezza informatica al rilevamento. Le loro parole erano un avvertimento: i difensori sono ancora troppo concentrati su ciò che è visibile in superficie, mentre gli aggressori prosperano nelle profondità invisibili.

Schermata del messaggio del Crimson Collective su Telegram
Schermata del messaggio del Crimson Collective su Telegram

Breve riassunto dell'attività del Crimson Collective

Secondo una ricerca pubblicata da Rapid7, Crimson Collective opera in ambienti cloud , in particolare AWS, utilizzando tattiche che si fondono con un comportamento amministrativo legittimo. Il gruppo ottiene l'accesso tramite credenziali trapelate o di lunga durata, aumenta i privilegi manipolando i ruoli e le politiche IAM e utilizza le API cloud native per la ricognizione, lo stoccaggio dei dati e l'esfiltrazione.

Invece di affidarsi a malware o exploit, Crimson Collective sfrutta ciò che già esiste all'interno dell'infrastruttura cloud . Ogni chiamata API, modifica dei permessi e richiesta di snapshot è valida di per sé, ma insieme formano uno schema dannoso difficile da individuare solo attraverso regole statiche o telemetria di superficie.

Il riferimento diretto a Rapid7 lascia intendere che il gruppo era a conoscenza della visibilità dell'azienda nello spazio delle informazioni sulle minacce, forse attraverso precedenti tentativi di rilevamento o leggendo l'analisi pubblicata.

L'ironia di "I vostri dati alimentano il loro Recon".

Nel loro messaggio, Crimson Collective ha accennato a una dolorosa verità: gli stessi dati che i difensori utilizzano per comprendere il proprio ambiente possono essere sfruttati dagli aggressori. I dati di scansione disponibili pubblicamente, la telemetria open-source e gli archivi di configurazione spesso rivelano informazioni sulle risorse esposte di un'organizzazione, sugli endpoint cloud e persino sulle versioni del software.

Per gli attori delle minacce, queste informazioni abbreviano la fase di ricognizione. Quello che una volta era un sondaggio manuale ora è automatizzato e arricchito dalla stessa trasparenza che consente la ricerca difensiva. L'ironia della sorte è che la visibilità ha un doppio senso. I difensori mappano la superficie di attacco per ridurre il rischio, mentre gli aggressori utilizzano la stessa visibilità per pianificare le loro intrusioni.

Ciò evidenzia una sfida fondamentale per i team di sicurezza: la sola raccolta dei dati non equivale alla protezione. Ciò che conta è il modo in cui i dati vengono analizzati, contestualizzati e correlati in tempo reale per smascherare gli intenti malevoli.

"Mappare la linea di costa mentre le vere correnti corrono in profondità"

La metafora dell'oceano del Crimson Collectivecattura perfettamente lo stato della rilevazione moderna. stato della rilevazione moderna. Le scansioni di superficie e le valutazioni della configurazione sono come la mappatura delle coste: mostrano ciò che è esposto ma non ciò che si muove sotto.

Le "correnti" rappresentano il flusso costante di attività legittime negli ambienti cloud , dove migliaia di chiamate API, cambi di identità e interazioni di risorse costituiscono il tessuto operativo dell'azienda. All'interno di questo flusso si nascondono le sottili anomalie che indicano una compromissione.

Gli strumenti di scansione tradizionali rivelano rischi statici, ma non sono in grado di vedere l'evoluzione comportamentale di un attacco. Il vero segnale, come dice Crimson Collective , si nasconde "sotto strati di rumore e telemetria dimenticata". Rilevare questo segnale richiede una visibilità persistente e una comprensione contestuale su tutti i livelli dell'infrastruttura cloud e di identità.

Vedere le profondità: Come Vectra AI cambia la prospettiva

Il messaggio del Crimson Collective è una sfida per ogni difensore: smettere di guardare la superficie e iniziare a comprendere il comportamento sottostante. È proprio questo che la Vectra AI Platform consente di fare.

Vectra AI fornisce una visibilità continua e senza agenti su ambienti ibridi e cloud , trasformando la telemetria in informazioni. Analizzando i comportamenti attraverso l'identità, la rete e il cloud, Vectra scopre le progressioni nascoste degli attacchi, come l'escalation dei privilegi, il movimento laterale e lo staging dei dati prima che avvenga l'esfiltrazione.

Invece di basarsi su indicatori o stati di configurazione noti, i modelli di intelligenza artificiale di Vectra apprendono l'aspetto dell'attività normale e rilevano quando si sposta verso un intento dannoso. Ciò consente ai team di sicurezza di identificare le "correnti profonde" del comportamento degli aggressori in tempo reale, anche quando ogni azione appare legittima in superficie.

L'AI Stitching Agent di Vectra mette in correlazione le attività di identità tra data center on-prem, Entra ID e ambienti cloud come AWS per rivelare l'identità originale compromessa, accelerando le metriche chiave del SOC legate alle indagini (MTTI) e alla risposta (MTTR). La sua tecnologia Kingpin analizza miliardi di azioni AWS, le riconduce alle vere identità che si celano dietro le credenziali temporanee (ruoli) tra gli account e le regioni e dà priorità agli account critici, risparmiando almeno 30 minuti per ogni indagine.

Trasformare la consapevolezza in vantaggio

Il messaggio del Crimson Collective ci ricorda che gli aggressori conoscono già i nostri strumenti e i nostri set di dati. Il vantaggio ora sta nell'interpretazione intelligente e nella correlazione dei dati in nostro possesso. Con Vectra AI, i difensori ottengono questa profondità di visione, trasformando la telemetria grezza in rilevamento proattivo.

Le parole del Crimson Collectiveavevano lo scopo di provocare, ma rivelano anche una verità da cui i difensori possono trarre insegnamento: il futuro del rilevamento delle minacce non si basa su più dati, ma su una comprensione più profonda.

Scoprite come la PiattaformaVectra AI svela ciò che gli altri trascurano. Provate la demo autoguidata per vedere come la profondità trasforma il rilevamento.

DOMANDE FREQUENTI