Con un numero crescente di organizzazioni che adottano il cloud, i criminali informatici stanno rapidamente seguendo l'esempio. Il rapporto IBM sul costo delle violazioni dei dati ha rilevato che il 45% di tutte le violazioni dei dati nel 2022 era cloud , con un costo medio di 5 milioni di dollari per ogni violazione.
Non è più una questione di "se", ma di "quando" la tua organizzazione dovrà affrontare un avversario informatico. Poiché gli attacchi sono inevitabili, la scelta degli strumenti di sicurezza adeguati è fondamentale per ottimizzare le metriche chiave delle operazioni di sicurezza (SecOps), quali il tempo necessario per rilevare, indagare e rispondere. Riteniamo che la risposta sia una soluzione CDR (cloud and response) avanzata.
Sofisticati cloud : la nuova normalità
Molte cloud e attacchi cloud hanno fatto notizia nell'ultimo anno, ma nessuno più dell'attacco a LastPass. L'azienda di gestione delle password ha subito una serie di attacchi alla propria implementazione ibrida, che hanno portato al furto di dati sensibili dei clienti dalle proprie risorse cloud .
Quello che inizialmente era stato segnalato come un accesso parziale a un singolo account sviluppatore si è presto rivelato essere un vero e proprio furto di credenziali che ha portato all'esfiltrazione di snapshot crittografati delle password dei clienti dalle risorse cloud di LastPass. Gli snapshot possono essere potenzialmente sottoposti a un attacco brute force da parte dell'autore dell'attacco per decifrare i dati delle password. Quando la violazione è stata segnalata per la prima volta, è stato indicato che le informazioni critiche dei clienti, comprese le password master, i dati e le informazioni personali, erano totalmente al sicuro. Purtroppo, ciò si è rivelato falso.
In materia di sicurezza, la fiducia è tutto. Compromissioni di questa portata portano a pubblicità negativa, rimproveri da parte della comunità della sicurezza e spesso danni irreparabili alla reputazione.
Credenziali rubate: il vettore di minaccia preferito dai sofisticati cloud
Quando si parla di sicurezza, è importante avere le persone giuste e i processi giusti, ma la tecnologia giusta può fare la differenza. Nell'attacco a LastPass, il cloud sfruttato utilizzando credenziali valide e rubate. Questo non è sorprendente. Oggi, la maggior parte degli attacchi sofisticati nel cloud da aggressori che utilizzano phishing per rubare credenziali e mascherarsi da utenti legittimi. Sfortunatamente, questi vettori spesso aggirano i popolari strumenti di sicurezza preventiva che un'organizzazione può avere in atto.
Dopo la violazione, tutte le azioni intraprese da un account compromesso possono apparire del tutto legittime. Questo è esattamente ciò che è accaduto a LastPass. Il loro comunicato allude a questo:
"Nello specifico, l'autore della minaccia è riuscito a sfruttare credenziali valide rubate a un ingegnere DevOps senior per accedere a un ambiente di cloud condiviso, il che inizialmente ha reso difficile per gli investigatori distinguere tra l'attività dell'autore della minaccia e l'attività legittima in corso".
Rimediare a queste sofisticate minacce derivanti dal furto di credenziali è una sfida difficile. Infatti, il rapporto sulla sicurezza di IBM ha rilevato che gli attacchi originati dal furto di credenziali hanno il tempo medio di identificazione più lungo (243 giorni) e il tempo medio di contenimento più lungo (84 giorni) rispetto a qualsiasi altro vettore iniziale in una violazione dei dati. Considerando che le kill chain nel cloud superficiali rispetto alle reti on-premise, un avversario esperto con credenziali valide non ha bisogno di molto tempo per impostare canali di persistenza e passare rapidamente dall'accesso iniziale alle fasi di impatto.
Per proteggere cloud , è fondamentale che i team SOC si concentrino sull'identificazione degli incidenti di sicurezza che coinvolgono queste tattiche ostili, perfettamente adatte alle capacità di uno strumento CDR.
Sulla base di un'analisi dettagliata delle informazioni condivise nel comunicato LastPass, Vectra CDR avrebbe individuato numerosi comportamenti dannosi lungo tutta la catena di attacco e li avrebbe ricondotti all'account compromesso dello sviluppatore. Il flusso di lavoro delle indagini avrebbe fornito una panoramica di tutte le azioni intraprese durante la finestra di attacco, consentendo al proverbiale team SOC di bloccare l'aggressore prima che potesse causare danni.
L'importanza di scegliere gli strumenti di sicurezza adeguati non può essere sottovalutata.
Per le aziende odierne, l'adozione del cloud non cloud un'opzione, ma una necessità. I vantaggi del cloud molti, ma il costo della migrazione è complesso. Questa adozione sta alimentando una crescita vertiginosa delle funzionalità offerte dai cloud . Ad esempio, AWS ha aggiunto circa 40 nuovi servizi all'anno negli ultimi 6 anni!
La crescita e l'adozione dei cloud hanno portato a un aumento e a una costante evoluzione delle superfici di attacco. Le organizzazioni che operano in questo panorama dinamico devono proteggersi non solo dagli attacchi più recenti, ma anche dalle minacce già diffuse, come l'esposizione dei dati.
Per mantenere l'igiene della sicurezza, i team SOC si affidano a strumenti di sicurezza. Tuttavia, oggi esistono centinaia di fornitori che offrono opzioni di strumenti discreti che possono sopraffare i team SOC. Con la proliferazione di così tanto gergo tecnico, può essere difficile comprendere le funzionalità offerte dai vari fornitori cloud . Inoltre, l'operatività di questi strumenti può essere noiosa e spesso porta alla creazione di punti ciechi indesiderati nella postura di sicurezza dell'organizzazione.
Perché la soluzione Vectra CDR è fondamentale per bloccare cloud avanzati
Sebbene gli strumenti preventivi siano molto efficaci nel fornire visibilità sulle cloud , sulle configurazioni errate e sulle impostazioni non conformi, non sono altrettanto efficaci nel rilevare nuovi vettori di attacco. Questi sono proprio i vettori di minaccia che dovrebbero destare preoccupazione. Infatti, nel 2022, phishing il furto di credenziali hanno costituito circa il 35% di tutte le violazioni dei dati, una percentuale significativamente superiore a quella attribuita cloud (~15%). Affidarsi esclusivamente a strumenti preventivi e di protezione comporta inevitabilmente dei punti ciechi nell'implementazione, rendendola vulnerabile agli attacchi di hacker esperti.
Realizzato da Vectra Attack Signal IntelligenceTM, Vectra CDR monitora tutte le azioni in un cloud e rileva comportamenti sospetti in tempo reale. Sfrutta l'intelligenza artificiale per andare oltre le anomalie basate sugli eventi o sulle semplici linee di base e si concentra invece sui comportamenti, ovvero le TTP alla base di tutti gli attacchi. La chiarezza del segnale che ne deriva consente a Vectra di individuare tempestivamente attacchi sofisticati in più fasi, in modo che i team SecOps possano rapidamente stabilire le priorità, indagare e rispondere alle minacce più urgenti. Che si tratti di un utente esistente che si comporta in modo sospetto o di un'entità esterna con credenziali compromesse che agisce all'interno del vostro ambiente AWS, Attack Signal Intelligence distinguere le azioni sospette dalle attività legittime.
Inoltre, un principio fondamentale di Vectra CDR è l'attribuzione basata sull'intelligenza artificiale. Tutti i comportamenti osservati sono ricondotti a principi attuabili, anche se hanno agito attraverso catene di credenziali temporanee (ruoli). Vectra CDR fornisce anche funzionalità per indagare su questi principi (inclusa la possibilità di interrogare i log grezzi) e impostare flussi di lavoro di risposta che consentono al SOC di isolare rapidamente i principi sospetti e fermare gli avversari.
Quando si tratta di cloud dinamici, è fondamentale adottare gli strumenti di rilevamento adeguati per garantire una copertura completa entro i confini della propria cloud . Indipendentemente dal punto in cui ci si trova nel proprio cloud , una soluzione CDR richiede pochi minuti per essere configurata e consente al team SecOps di individuare rapidamente le minacce avanzate. In un mondo in cui le violazioni sono ormai la norma, dovrebbe essere una parte imprescindibile dell'arsenale del proprio team SOC.
Scopri come funziona oggi stesso! Richiedi una demo gratuita di Vectra CDR.