Crescita, successo e notorietà sono generalmente considerati problemi sani per un'azienda, ma come il grande Biggie Smalls ha cercato di avvertirci più di vent'anni fa, a volte "Mo money" significa "Mo problems". Ora, non sono sicuro che Biggie si riferisse a "Mo problems" in termini di cyberattacchi, ma non è un segreto che gli aggressori abbiano un'attrazione per i bersagli di grandi dimensioni: perché è sempre uno shock quando assistiamo a violazioni massicce che portano scompiglio in organizzazioni che pensavano di aver fatto tutto il possibile per coprire tutte le loro basi?
Questa è la parte frustrante, perché le organizzazioni continuano ad aumentare la spesa per la cybersecurity, tanto che il recente sondaggio sull'agenda CIO 2021 di Gartner indica la cybersecurity come la priorità principale per le nuove spese. Non c'è una sola cosa che stiamo facendo male per provocare un attacco o una violazione, ma con la superficie di attacco che continua ad espandersi, è necessario aggiornare il nostro pensiero su come affrontare la difesa di queste nuove superfici.
L'adozione Cloud e la trasformazione digitale hanno certamente ampliato la superficie di attacco, ma dove saremmo nell'ultimo anno senza molte delle applicazioni cloud che aiutano a mantenere tutti connessi e produttivi? Un'altra area della superficie di attacco che è stata trascurata è la catena di approvvigionamento, che tutti abbiamo imparato essere un'area vulnerabile dopo aver assistito all'attacco alla catena di approvvigionamento di SolarWinds all'inizio di quest'anno.
Che cos'è un attacco alla catena di approvvigionamento?
Gli attacchi alla catena di fornitura si riferiscono a quando un aggressore ottiene l'accesso al vostro sistema attraverso un partner esterno, come un fornitore o un provider di servizi. Un modo per pensarci è che, man mano che si adottano nuovi servizi o partner per aiutare l'azienda o l'organizzazione a crescere, la catena di fornitura si espande e così anche la superficie di attacco.
Per quanto riguarda gli obiettivi, qualsiasi azienda che produce software o hardware per altre aziende o organizzazioni potrebbe essere un potenziale bersaglio di un attacco alla catena di fornitura. La realtà è che gli aggressori hanno una grande opportunità se riescono a compromettere il software più diffuso, grazie all'accesso che fornirebbe a tutte le aziende che lo utilizzano. È importante capire che i criminali informatici considerano la catena di fornitura come un'occasione di guadagno potenzialmente enorme, ma è altrettanto importante riconoscere che concentrarsi solo sul tentativo di fermare o prevenire un attacco alla catena di fornitura potrebbe anche portarvi nei guai.
Si pensa che questi tipi di attacchi evasivi alla supply chain possano essere fermati, ma se così fosse, come hanno fatto gli hacker di SolarWinds a non essere scoperti per nove mesi? Stiamo parlando di grandi aziende tecnologiche colpite da questo attacco: non è che non avessero team e strumenti di sicurezza. Per capire meglio, abbiamo dato un'occhiata a un recente attacco alla catena di fornitura per vedere come i criminali hanno utilizzato l'accesso a un prodotto di un fornitore ampiamente diffuso per accedere alle reti locali di molte organizzazioni. Potete trovare tutti i dettagli nel nostro ultimo Spotlight Report - Visionee visibilità: Top 10 Threat Detections for Microsoft Azure AD and Office 365, ma per ora vediamo alcuni dei punti salienti.
Uno degli aspetti che risalta degli attacchi alla supply chain è che, con alcuni degli eventi più recenti come SolarWinds, gli aggressori hanno dimostrato un notevole impegno e abilità nell'eludere i controlli preventivi che coinvolgono sandbox di rete, endpoint e autenticazione a più fattori (MFA). Le tattiche utilizzate dagli aggressori della catena di approvvigionamento per eludere i controlli preventivi comprendono:
- Effettuare controlli approfonditi per assicurarsi che non si trovasse in una sandbox o in un altro ambiente di analisi malware .
- Utilizzo della firma del codice e di processi legittimi per eludere i controlli comuni endpoint .
- Nuovo dropper in-memory per eludere l'analisi basata su file nella distribuzione del beacon di comando e controllo (C2).
- Bypassare l'MFA utilizzando chiavi di firma di sessione SAML (Security Assertion Markup Language) rubate.
Il rapporto completo è molto più dettagliato e mostra anche come gli hacker possono far progredire un attacco attraverso l'ambiente, dalla backdoor iniziale fino al cloud. Il rapporto rileva inoltre che il livello di abilità e concentrazione richiesto per aggirare in modo pulito i controlli endpoint è un tributo ai recenti progressi nel rilevamento e nella risposta endpoint (EDR). Questo è un importante promemoria del fatto che un avversario determinato e sofisticato sarà sempre in grado di aggirare la prevenzione e i controlli endpoint .
Quindi, cosa dobbiamo fare: dare per scontato che verremo violati? Beh, sì, questo fa parte del problema, insieme al fatto di avere gli strumenti e il supporto giusti per contenere l'attacco. Una delle cose che abbiamo fatto quando abbiamo raccolto i dati per lo Spotlight Report di cui sopra è stata quella di mostrare come le azioni segnalate di un attacco alla catena di approvvigionamento si rifacessero ai rilevamenti delle minacce definiti da Vectra. Ad esempio, se un hacker falsificasse i token SAML per accedere ad Azure AD e Office 365, aggirando l'MFA e altre convalide di sicurezza, questa azione farebbe scattare un rilevamento Vectra, avvisando il team di sicurezza del problema.
Questo è solo un esempio, ma assicuratevi di ottenere tutti i dettagli su come le azioni intraprese dagli aggressori potrebbero essere ricondotte a un devastante attacco alla catena di approvvigionamento.
Richiedete oggi stesso la vostra copia del rapporto! E per ascoltare una valutazione dettagliata da parte del Direttore Tecnico di Vectra, Tim Wade, e del nostro CMO, Jennifer Geisler, non perdete il nostro webinar di martedì 8 giugno alle 8:00 PT | 11:00 ET | 4:00 pm BST | 5:00 pm CET.