Un modello di minaccia accurato e ben distribuito è necessario per garantire che le capacità di rilevamento dell'organizzazione siano efficaci nei confronti di comportamenti avversari realistici e rilevanti. Dare priorità ai comportamenti utilizzati dagli avversari avrà l'impatto più ampio sulla postura di sicurezza di un'organizzazione, affrontando le tecniche di minaccia più diffuse che si possono incontrare e rilevando così gli attacchi molto prima che il danno sia fatto.
L'obiettivo dell'attacco SUNBURST era quello di stabilire un canale di comando e controllo (C2) continuo e non rilevato dagli aggressori verso un'infrastruttura fidata e privilegiata all'interno del data center, SolarWinds. Questo avrebbe fornito agli aggressori un account privilegiato iniziale e un punto di snodo per portare avanti l'attacco.
I ricercatori di Vectra hanno analizzato la compromissione della supply chain di SolarWinds, dalla backdoor iniziale alla creazione di un accesso persistente nel data center e negli ambienti cloud . Un'attenzione specifica è rivolta a Microsoft Office 365, che sembra essere stato un obiettivo chiave degli attacchi.
Successivamente, abbiamo anche identificato le tendenze dei comportamenti di movimento interni analizzando i metadati cloud e della rete generati dagli ambienti dei clienti Vectra. Questi dati ci permettono di quantificare il volume e la frequenza dei comportamenti, siano essi benigni, sospetti o dannosi e intenzionali, all'interno delle organizzazioni di diversi settori e aree geografiche. Combinando la frequenza dei comportamenti con le tecniche e le tattiche utilizzate negli attacchi come SUNBURST, è possibile comprendere meglio i modelli di comportamento degli attacchi che rappresentano il rischio maggiore per un'organizzazione.
Analisi del comportamento di SUNBURST e SolarFlare
I ricercatori di Vectra hanno analizzato i metadati cloud e della rete da ottobre a dicembre 2020 per verificarne la frequenza settimanale e hanno scoperto che tutti i comportamenti utilizzati nell'attacco SUNBURST erano presenti in tutti i settori. Ogni settore ha un profilo di comportamenti di rete e degli utenti che si riferiscono a specifici modelli di business, applicazioni e utenti. Attraverso un'attenta osservazione, gli avversari possono imitare e confondersi con questi comportamenti, rendendoli difficili da smascherare.
Gli avversari cercano di nascondere la loro presenza nel rumore e nella complessità dell'ambiente del loro obiettivo utilizzando meccanismi legittimi e camuffando le tattiche dannose nel normale traffico di rete e nell'attività degli utenti. In questo modo l'avversario ha tutto il tempo di raggiungere i suoi obiettivi molto prima che la sua presenza sia nota, come dimostra il fatto che SolarWinds ha avuto il primo accesso il 4 settembre 2019 e più di un anno dopo, il 12 dicembre 2020, ha ricevuto la notifica della violazione.
Sebbene il verificarsi dei comportamenti non rifletta un compromesso, essi dimostrano che i comportamenti possono e si verificano oggi all'interno delle organizzazioni.
La Figura 2 fornisce dettagli sulla percentuale di organizzazioni in cui i comportamenti allineati al ciclo di vita dell'attacco SUNBURST si sono verificati almeno una volta alla settimana nel periodo di tre mesi compreso tra ottobre e dicembre 2020. L'esame dei dati sui comportamenti di un ampio gruppo di organizzazioni nel corso del tempo consente di prevedere le frequenze e i tassi di occorrenza futuri. Nel complesso, tutti i comportamenti, tranne tre, hanno registrato una tendenza all'aumento entro la fine del 2020. È ragionevole aspettarsi che la tendenza di questi comportamenti continui a mantenersi o ad aumentare nel 2021 senza ulteriori interventi o cambiamenti all'interno delle organizzazioni.
Ad esempio, quasi tutte le organizzazioni monitorate hanno sperimentato una qualche forma di attività C2 HTTPS nascosta a metà dicembre, contro solo l'80% di inizio ottobre. Si tratta di una tendenza allarmante all'aumento. Esistono molti tipi di tunnel legittimi che i servizi finanziari e altre aziende utilizzano per condividere i dati all'interno delle reti o tra le applicazioni. Spesso servono come modalità di comunicazione che aggirano i controlli di sicurezza per una maggiore efficienza. Purtroppo i tunnel nascosti utilizzati da un avversario per il C2 hanno un aspetto simile e servono a uno scopo diverso.
Contestualizzare il comportamento
Valutare l'impatto di un comportamento significa capire in quale fase è più probabile che si verifichi. La Figura 3 fornisce la media settimanale di occorrenza di ciascun comportamento e la relativa fase del ciclo di vita dell'attacco. Un'elevata frequenza media di occorrenza può essere utilizzata per prevedere se un avversario sfrutterà le stesse tattiche (come quelle utilizzate nell'attacco alla catena di fornitura SolarWinds) in futuro. Più è probabile che si verifichi, più è probabile che abbia successo.
L'aspetto più evidente quando si esamina la frequenza media relativa per settimana è la combinazione di Accessi privilegiati sospetti e Operazioni Azure AD sospette al secondo e terzo posto.
L'uso improprio dell'accesso privilegiato è una parte fondamentale del movimento laterale , poiché conduce alle capacità e alle informazioni più preziose. Gli avversari utilizzano diverse tecniche che vanno dal furto di credenziali, all'abuso di protocolli, al malware, al phishing o semplicemente all'indovinare nomi di account e password semplici e predefiniti per ottenere l'accesso agli account privilegiati.
Anche in presenza di strumenti di gestione degli accessi privilegiati, questi account raramente ricevono una supervisione o un controllo diretto del loro utilizzo. Questa mancanza di supervisione crea il rischio maggiore per le organizzazioni. Se usati in modo improprio, gli account privilegiati possono essere utilizzati per rubare dati, effettuare spionaggio, sabotare o chiedere un riscatto a un'organizzazione.
Controllo e mitigazione del rischio
Comportamenti come quelli mostrati durante l'attacco SUNBURST e SolarFlare si verificano regolarmente in tutte le organizzazioni. La comprensione del contesto di questi comportamenti è fondamentale per capire il loro impatto e se è necessario intervenire. È di fondamentale importanza monitorare gli ambienti cloud e cloud ibridi e determinare come correlare i dati e il contesto di entrambi in informazioni utilizzabili dagli analisti della sicurezza.
Ciò significa capire come avviene l'accesso ai privilegi nelle reti locali, nei lavoratori remoti, nei data center privati e nelle istanze cloud , oltre a monitorare gli host.
La visibilità degli accessi privilegiati e di altri comportamenti degli aggressori dipende dall'implementazione di strumenti adeguati che sfruttino i dati provenienti dalle reti zero trust di oggi, dalla rete aziendale ai data center, ai dispositivi IoT e agli ambienti cloud . L'unione di questi strumenti elimina i punti ciechi e aumenta la probabilità di rilevare le attività successive alla violazione prima che si verifichi una violazione catastrofica.
Per saperne di più su come Vectra può aiutarvi se pensate di essere stati compromessi dalla violazione di SolarWinds.