Riepilogo delle informazioni Cloud
Durante la tavola rotonda sulla sicurezza della scorsa settimana, ho discusso con Sarah Armstrong-Smith di Microsoft e Lisa Forte di Red Goat Cyber Security dell'impatto della pandemia sulla trasformazione digitale e delle modalità con cui le organizzazioni possono adattarsi.
Questa discussione ha fatto seguito alla pubblicazione dei risultati di un recente sondaggio condotto su 1.112 responsabili della sicurezza IT in tutto il mondo. Il sondaggio chiedeva loro di esprimere la propria opinione sulle principali minacce che gravano sui loro ambienti Microsoft Office 365 e sulla loro capacità di difendersi da esse. Il passaggio al cloud e l'adozione del lavoro da remoto hanno accentuato la minaccia degli attacchi informatici, con quattro professionisti della sicurezza su cinque che affermano che i rischi per la sicurezza informatica sono aumentati negli ultimi dodici mesi.
Durante il panel, Sarah ha osservato: "Penso che nell'ultimo anno molte aziende abbiano dovuto affrontare sfide significative per quanto riguarda il lavoro da remoto. Molte di esse non erano preparate per consentire a un numero elevato di dipendenti di lavorare da remoto su larga scala". A un anno dall'inizio della pandemia, tuttavia, afferma che le organizzazioni sono passate dalla gestione della crisi a un approccio più strategico.
Lisa ed io abbiamo ribadito questo concetto quando la conversazione ha toccato argomenti quali il ritorno ai luoghi di lavoro fisici, il rispetto degli standard di conformità, la gestione delle minacce emergenti e altroancora.
Ora approfondiamo le informazioni che non abbiamo avuto modo di trattare nella discussione.
Microsoft Office 365 e il nuovo cloud
Cloud , con l'efficienza e l'agilità che ne derivano, è ormai da diversi anni al centro delle discussioni dei consigli di amministrazione, con cloud che stanno rapidamente passando da vantaggio strategico a necessità aziendale.
Secondo il nostro sondaggio, il 97% dei responsabili della sicurezza IT ha ampliato l'utilizzo di Microsoft Office 365 a seguito della pandemia. Trattandosi di una delle piattaforme SaaS (Software-as-a-Service) di riferimento per la collaborazione aziendale, ciò non sorprende affatto. Nel marzo 2020, Microsoft ha registrato 258 milioni di utenti attivi, con un aumento di oltre 70 milioni rispetto all'anno precedente.
Microsoft Office 365 costituisce spesso la base delle operazioni aziendali di un'impresa, facilitando quasi tutte le attività di archiviazione e condivisione dei dati, oltre a fungere da provider di identità che media l'accesso a varie altre applicazioni SaaS. Questo tipo di centralizzazione è un vantaggio sia per i dipendenti che per gli autori delle minacce. Perché? Microsoft Office 365 e altri cloud sono molto più accessibili rispetto a un'applicazione tradizionale protetta da un perimetro.
Il rapido cambiamento e il conseguente aumento delle implementazioni di Microsoft Office 365 e Azure AD hanno costretto molte aziende a fare i conti con superfici di attacco più ampie e forze lavoro isolate che potrebbero non essere in grado di monitorare e proteggere in modo efficace. Il 48% degli intervistati ha dichiarato che la sua priorità principale è la sicurezza di Microsoft Office 365. Le seguenti preoccupazioni principali sono state indicate dal 45% degli intervistati: 1) il rischio di abuso delle credenziali che porta all'appropriazione di account da parte di utenti non autorizzati e 2) la capacità degli hacker di nascondere le loro tracce utilizzando strumenti Microsoft legittimi come Power Automate ed e-Discovery. Complessivamente, il 71% degli utenti di Microsoft Office 365 ha subito in media 7 appropriazioni di account di utenti legittimi nell'ultimo anno.
Acquisizione di account, movimenti laterali e ricognizione, oh mio Dio!
Gli account Microsoft Office 365 compromessi possono essere sfruttati per causare danni ingenti in un breve lasso di tempo. Il nostro rapporto Spotlight su Microsoft Office 365, che ha esaminato oltre quattro milioni di account, ha rilevato che il 96% mostrava segni di movimento laterale. Un elevato numero di movimenti laterali suggerisce che gli aggressori sono in grado di accedere rapidamente alle informazioni e avviare la ricognizione una volta aggirata con successo la sicurezza perimetrale. Sebbene la maggior parte dei movimenti laterali possa essere innocua e rappresentare la normale attività degli utenti, la vera sfida consiste nell'individuare le attività laterali dannose. Cercare di distinguere il comportamento degli aggressori in questo rumore di fondo richiede molte risorse ai centri operativi di sicurezza (SOC), soprattutto senza l'aiuto dell'intelligenza artificiale.
Ciononostante, il 76% degli intervistati ha dichiarato di essere fiducioso nella propria capacità di rilevare i movimenti laterali e il 79% ritiene di avere una buona visibilità sugli attacchi che aggirano le difese di sicurezza preventive. In caso di violazione, una minoranza degli intervistati ha dichiarato che occorrerebbero settimane per ripristinare un account compromesso. D'altro canto, il 64% ha affermato di poter bloccare le violazioni degli account in poche ore o giorni e quasi il 30% sostiene che il proprio team sarebbe in grado di identificare e bloccare immediatamente tali violazioni. La differenza tra ore, giorni e settimane è molto significativa quando si risponde alle minacce: ecco perché una risposta rapida è fondamentale per contenere le compromissioni non appena vengono rilevate.
Considerando che il tempo medio di permanenza di un attacco è stimato in 43 giorni, un'azienda potrebbe non avere "settimane" a disposizione per affrontare una minaccia. Gli attacchi che raggiungono tempi di permanenza lunghi rappresentano la minaccia più grave per le organizzazioni, in particolare se coinvolgono un account Microsoft Office 365 compromesso. Questo dato è forse significativo per il 58% degli intervistati, in particolare tra i direttori e i dirigenti di livello C, che ritengono che il divario tra le capacità degli aggressori e dei difensori si stia ampliando.
Altri risultati chiave emersi dal rapporto includono:
- I dispositivi IoT/connessi e gli attacchi basati sull'identità sono le due principali preoccupazioni in materia di sicurezza per il 2021.
- Il 58% delle aziende prevede di investire maggiormente in risorse umane e tecnologia, mentre il 52% investirà in intelligenza artificiale e automazione nel 2021.
- La più grande frustrazione delle soluzioni di sicurezza esistenti è il tempo necessario per gestirle.
Protezione di Office 365 e cloud relative cloud
In definitiva, se non si investe nella sicurezza delle capacità di risposta, il divario nelle capacità di sicurezza è destinato ad aumentare. Il fatto che 3 aziende su 4 abbiano subito attacchi di tipo "malicious account takeover" evidenzia la necessità di monitorare e proteggere le identità nel passaggio dall'infrastruttura locale al cloud.
Poiché Microsoft Office 365 continua a svolgere un ruolo essenziale nel tenere insieme le operazioni aziendali, le organizzazioni devono assicurarsi di disporre delle capacità necessarie per proteggere cloud propri cloud . Si tratta di una sfida particolarmente urgente per quelle organizzazioni che nell'ultimo anno hanno dovuto adattare rapidamente le proprie operazioni e potrebbero avere difficoltà ad adeguare le difese basate sul perimetro ai confini più inconsistenti presentati dal cloud. La priorità principale dovrebbe essere quella di pianificare l'inevitabilità di alcuni attacchi da parte di avversari, che potrebbero includere l'appropriazione di account.
Noi di Vectra siamo in grado di proteggere i carichi di lavoro di Microsoft Office 365 e Azure AD con la nostra soluzione di rilevamento e risposta di rete (NDR) basata sull'intelligenza artificiale, Detect for Office 365. Cognito è in grado di identificare e bloccare gli aggressori che operano nel vostro ambiente Microsoft Office 365, nonché qualsiasi applicazione SaaS federata che utilizza Azure AD. Sappiamo che gli aggressori non operano in silos e siamo in grado di tracciare i segni del loro comportamento in ambito aziendale, ibrido, data center, IaaS e SaaS, il tutto da un unico punto di controllo.
Per ulteriori informazioni su come la tua organizzazione può difendersi meglio dagli attacchi basati sull'identità su Microsoft Office 365, condividiamo dieci passaggi nell'eBook del sondaggio.
Tenete d'occhio i nostri prossimi blog che approfondiscono i modi in cui è possibile prevenire e porre rimedio a questi attacchi basati sull'identità. Nel frattempo, se desiderate provare la nostra soluzione per Office 365, richiedete subito una demo!