Con l'adozione del cloud da parte di un numero crescente di organizzazioni, i criminali informatici stanno rapidamente seguendo l'esempio. Il rapporto Cost of a Data Breach di IBM ha rilevato che il 45% di tutte le violazioni di dati nel 2022 saranno basate sul cloud , con un costo medio di 5 milioni di dollari.
Non è più una questione di "se", ma di "quando" la vostra organizzazione dovrà affrontare un avversario informatico. Poiché gli attacchi sono inevitabili, la scelta degli strumenti di sicurezza giusti è fondamentale per ottimizzare le metriche SecOps chiave, come il tempo di rilevamento, indagine e risposta. Noi sosteniamo che una soluzione CDRcloud detection and response) avanzata sia la risposta.
Sofisticate compromissioni cloud : la nuova normalità
Molte vulnerabilità e attacchi cloud hanno fatto notizia lo scorso anno, ma nessuna più dell'attacco a LastPass. L'azienda di gestione delle password ha subito una serie di attacchi alla sua distribuzione ibrida, che hanno portato al furto di dati sensibili dei clienti dalle sue risorse di archiviazione cloud .
Quello che inizialmente era stato segnalato come un accesso parziale a un singolo account di sviluppatore, si è presto rivelato un vero e proprio furto di credenziali che ha portato all'esfiltrazione di istantanee crittografate del vault delle password dei clienti dalle risorse di archiviazione cloud di LastPass. Le istantanee possono potenzialmente essere forzate dall'attaccante per decifrare i dati delle password. Quando la violazione è stata segnalata per la prima volta, è stato indicato che le informazioni critiche dei clienti, tra cui le password master, i dati e le informazioni personali, erano totalmente al sicuro. Purtroppo, ciò si è rivelato falso.
Nella sicurezza, la fiducia è tutto. Compromissioni di questa portata comportano stampa negativa, rimproveri da parte della comunità della sicurezza e spesso danni irreparabili alla reputazione.
Credenziali rubate: il vettore di minaccia preferito dagli avversari sofisticati cloud .
Quando si parla di sicurezza, le persone giuste e i processi giusti sono importanti, ma la tecnologia giusta può fare la differenza. Nell'attacco a LastPass, il cloud è stato sfruttato utilizzando credenziali valide e rubate. Questo non sorprende. Oggi, la maggior parte degli attacchi sofisticati nel cloud deriva da aggressori che utilizzano campagne phishing per rubare le credenziali e mascherarsi da utenti legittimi. Purtroppo, questi vettori spesso aggirano i più diffusi strumenti di sicurezza preventiva di cui un'organizzazione può disporre.
Dopo la compromissione, tutte le azioni intraprese da un account compromesso possono apparire del tutto legittime. Questo è esattamente ciò che è successo a LastPass. Il loro comunicato allude a questo:
"In particolare, l'attore minaccia è stato in grado di sfruttare le credenziali valide rubate a un ingegnere DevOps senior per accedere a un ambiente di cloud condiviso, il che inizialmente ha reso difficile per gli investigatori distinguere tra l'attività dell'attore minaccia e l'attività legittima in corso."
Rimediare a queste minacce sofisticate che derivano da credenziali rubate è impegnativo. Infatti, il rapporto di IBM Security ha rilevato che gli attacchi originati da credenziali rubate hanno il tempo medio più lungo per l'identificazione (243 giorni) e il tempo medio più lungo per il contenimento (84 giorni) di qualsiasi vettore iniziale in una violazione dei dati. Considerando che le kill-chain nel cloud sono poco profonde rispetto alle reti on-premise, un avversario esperto con credenziali valide non ha bisogno di molto tempo per creare canali di persistenza e passare rapidamente dall'accesso iniziale alle fasi di impatto.
Per proteggere gli ambienti cloud , è indispensabile che i team SOC si concentrino sull'identificazione degli incidenti di sicurezza che coinvolgono queste tattiche avversarie, perfettamente adatte alle capacità di uno strumento CDR.
Sulla base di un'analisi dettagliata delle informazioni condivise nel comunicato di LastPass, Vectra CDR avrebbe fatto emergere numerosi comportamenti dannosi lungo la kill chain e li avrebbe attribuiti all'account dello sviluppatore compromesso. Il flusso di lavoro delle indagini avrebbe fornito una panoramica di tutte le azioni intraprese durante la finestra di attacco, consentendo al proverbiale team SOC di bloccare l'attaccante prima delle fasi di impatto.
L'importanza di scegliere i giusti strumenti di sicurezza non può essere sopravvalutata.
Per le aziende oggi l'adozione del cloud non è un'opzione, ma una necessità. I vantaggi del cloud sono molti, ma il costo della migrazione è complesso. Questa adozione sta alimentando una crescita vertiginosa delle funzionalità offerte dai fornitori di cloud . Per esempio, AWS ha aggiunto circa 40 nuovi servizi all'anno negli ultimi 6 anni!
La crescita e l'adozione dei servizi cloud ha portato a una superficie di attacco più ampia e in costante evoluzione. Le organizzazioni che navigano in questo panorama dinamico devono proteggersi non solo da nuovi attacchi, ma anche da minacce già diffuse come l'esposizione dei dati.
Per mantenere l'igiene della sicurezza, i team SOC si affidano agli strumenti di sicurezza. Tuttavia, al giorno d'oggi esistono centinaia di fornitori che offrono opzioni di strumenti discrete che possono sopraffare i team SOC. Con la proliferazione di un gergo tecnico, può essere difficile comprendere le funzionalità fornite dai vari fornitori di sicurezza cloud . Inoltre, la messa in funzione di questi strumenti può essere noiosa e spesso porta alla creazione di punti ciechi non voluti nella postura di sicurezza dell'organizzazione.
Perché la soluzione CDR di Vectra è indispensabile per bloccare gli attacchi cloud avanzati
Sebbene gli strumenti di prevenzione facciano un ottimo lavoro nel fornire visibilità sulle risorse cloud , sulle configurazioni errate e sulle impostazioni non conformi, sono insufficienti quando si tratta di rilevare nuovi vettori di attacco. Sono proprio questi i vettori di minaccia che dovrebbero destare preoccupazione. Infatti, nel 2022, il phishing e il furto di credenziali hanno costituito circa il 35% di tutte le violazioni di dati, un numero significativamente superiore a quello delle violazioni attribuite a configurazioni errate cloud (~15%). Affidarsi solo a strumenti di prevenzione e di postura è destinato a lasciare punti ciechi in un'implementazione e a renderla vulnerabile agli aggressori esperti.
Alimentato da Vectra Attack Signal IntelligenceTM, Vectra CDR monitora tutte le azioni in un ambiente cloud e fa emergere i comportamenti sospetti in tempo reale. Sfrutta l'intelligenza artificiale per andare oltre le anomalie basate sugli eventi o sulle semplici linee di base, concentrandosi invece sui comportamenti - i TTP alla base di tutti gli attacchi. La chiarezza del segnale che ne deriva permette a Vectra di portare alla luce tempestivamente attacchi sofisticati in più fasi, in modo che i team SecOps possano rapidamente stabilire le priorità, indagare e rispondere alle minacce più urgenti. Che si tratti di un utente esistente che si comporta in modo sospetto o di un'entità esterna con credenziali compromesse che agisce all'interno del vostro ambiente AWS, Attack Signal Intelligence è in grado di distinguere le azioni sospette dalle attività legittime.
Inoltre, un principio fondamentale di Vectra CDR è l'attribuzione guidata dall'intelligenza artificiale. Tutti i comportamenti osservati sono riconducibili a responsabili attivabili, anche se hanno agito attraverso catene di credenziali temporanee (ruoli). Vectra CDR offre anche funzioni per indagare su questi presidi (compresa la possibilità di interrogare i log grezzi) e impostare flussi di lavoro di risposta che consentono al SOC di isolare rapidamente i presidi sospetti e fermare gli avversari.
Quando si tratta di ambienti cloud dinamici, è indispensabile adottare gli strumenti investigativi giusti per fornire una copertura completa entro i confini dell'implementazione cloud . Indipendentemente dal punto in cui vi trovate nel vostro viaggio cloud , una soluzione CDR richiede pochi minuti per essere configurata e consente ai SecOps di andare rapidamente a caccia di minacce avanzate. In un mondo in cui le violazioni sono la nuova normalità, questa soluzione dovrebbe essere una parte non negoziabile dell'arsenale del team SOC.
Scoprite come funziona, oggi stesso! Richiedete una demo gratuita di Vectra CDR.