Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
Superfici di attacco

Zero-Day sui dispositivi periferici di rete: perché l'NDR è importante

28 novembre 2024
Lucie Cardiet
Responsabile della ricerca sulle minacce informatiche
Zero-Day sui dispositivi periferici di rete: perché l'NDR è importante

Zero-day nei dispositivi periferici di rete stanno rapidamente diventando uno dei mezzi più sfruttati per accedere alle reti aziendali. Un recente avviso delle agenzie di sicurezza informatica dell'alleanza Five Eyes ( Stati Uniti, Regno Unito, Australia, Canada e Nuova Zelanda) evidenzia questa tendenza allarmante, che segna un cambiamento rispetto agli anni precedenti. Per la prima volta, la maggior parte delle 15 vulnerabilità più sfruttate sono state inizialmente sfruttate come zero-day, inclusi difetti critici in Citrix NetScaler, VPN Fortinet e router Cisco. I rapporti hanno rivelato che gli avversari, inclusi sospetti attori statali, hanno utilizzato queste vulnerabilità per compromettere migliaia di dispositivi, ottenendo un accesso persistente e installando webshell per il controllo a lungo termine.

Questo aumento evidenzia una preoccupante "nuova normalità", in cui gli aggressori danno priorità allo sfruttamento zero-day appena scoperte per infiltrarsi nelle reti.

L'implementazione di soluzioni di rilevamento e risposta di rete (NDR) è essenziale per individuare le attività successive alla compromissione e mitigare i rischi associati a questi attacchi sofisticati.

Il panorama delle minacce in continua escalation

Gli aggressori si concentrano sempre più sui dispositivi periferici della rete come punti di accesso alle reti aziendali. Questi dispositivi sono obiettivi allettanti perché spesso si trovano al confine tra reti affidabili e non affidabili e comprometterli può garantire agli aggressori un punto d'appoggio all'interno della rete.

I seguenti esempi evidenziano la crescente tendenza degli zero-day a prendere di mira questi sistemi critici:

  • Palo Alto Zero-Days: consente l'esecuzione di codice remoto non autenticato, dando di fatto agli aggressori il pieno controllo sul firewall senza alcuna autenticazione preventiva.
  • Violazioni Ivanti (Pulse Secure): vulnerabilità di bypass dell'autenticazione hanno consentito agli aggressori di infiltrarsi nelle reti senza essere rilevati.
  • Vulnerabilità di Citrix ADC: le vulnerabilità relative all'esecuzione di codice remoto hanno causato gravi violazioni della sicurezza negli ambienti aziendali.
  • SonicWall Zero-Days: vulnerabilità non corrette sono state sfruttate per compromettere dispositivi di accesso remoto sicuro.
  • Vulnerabilità Fortinet: sono state sfruttate zero-day per ottenere il controllo dei sistemi firewall Fortinet, compromettendo le difese della rete.
  • Vulnerabilità F5 BIG-IP: vulnerabilità critica di esecuzione di codice remoto sfruttata per ottenere il controllo amministrativo sui dispositivi, con conseguente potenziale compromissione completa della rete.
Cronologia delle principali vulnerabilità e divulgazioni degli ultimi anni.
Cronologia delle principali vulnerabilità e divulgazioni degli ultimi anni.

Questi casi dimostrano che anche i dispositivi di sicurezza più affidabili possono diventare un rischio. Quando gli hacker violano questi sistemi, possono manipolare o disabilitare le funzionalità di sicurezza, rendendo inefficaci i controlli tradizionali.

I limiti dei dispositivi edge compromessi

Gli strumenti di sicurezza tradizionali spesso non sono in grado di rilevare attività dannose provenienti da dispositivi affidabili come i firewall. Poiché questi dispositivi sono considerati sicuri per impostazione predefinita, i comportamenti anomali potrebbero passare inosservati. Una volta compromessi, questi dispositivi possono essere utilizzati impunemente per muoversi all'interno dell'organizzazione, diventando potenti strumenti che consentono agli aggressori di intensificare le loro attività.

Quando un dispositivo perimetrale di rete come un firewall viene compromesso, vengono minate le fondamenta stesse della sicurezza della rete. Gli aggressori possono manipolare o disabilitare le funzionalità di sicurezza, alterare le configurazioni e accedere ai dati sensibili memorizzati all'interno del dispositivo. Ad esempio, dopo aver sfruttato CVE-2024-3400, gli aggressori sono stati in grado di:

  • Scaricare le configurazioni del firewall: acquisire informazioni dettagliate sull'architettura di rete, gli intervalli di indirizzi IP e i meccanismi di autenticazione.
  • Credenziali di raccolta: i firewall e i servizi di accesso remoto spesso dispongono di credenziali privilegiate per il dominio e altri servizi aziendali. Queste credenziali possono essere estratte e utilizzate per l'escalation dei privilegi, consentendo agli aggressori un accesso più approfondito ai sistemi critici.
  • Disattiva registrazione e avvisi: impedisce il rilevamento sopprimendo le notifiche di sicurezza.
Se desiderate saperne di più sugli aspetti tecnici della vulnerabilità CVE-2024-3400, sul suo impatto sulle varie versioni di PAN-OS e sull'urgenza degli interventi di patch in corso, guardate il nostro Threat Briefing.

Attività successive al compromesso: cosa succede dopo

Una volta entrati nella rete, gli aggressori intraprendono solitamente diverse attività post-compromissione:

1. Ricognizione

Gli aggressori mappano la rete interna per identificare risorse preziose e sistemi critici. Analizzano l'architettura di rete, identificano le strutture Active Directory e individuano server o database contenenti informazioni di alto valore.

Esempio: nell'attacco SolarWinds, gli aggressori hanno utilizzato la ricognizione per mappare gli ambienti Active Directory delle organizzazioni colpite, identificando gli account privilegiati e le risorse sensibili da prendere di mira.

2. Raccolta di credenziali

Gli aggressori estraggono le credenziali per aumentare i privilegi e ottenere un accesso più approfondito alla rete. Ciò comporta spesso l'acquisizione delle password memorizzate, l'utilizzo di strumenti di dumping delle credenziali o il furto delle credenziali dalle configurazioni dei sistemi compromessi.

Esempio: Midnight Blizzard, un sofisticato gruppo di hacker, ha utilizzato phishing malware rubare credenziali con privilegi elevati, ottenendo così l'accesso a sistemi di posta elettronica sensibili e cloud .

3. Movimento laterale

Gli aggressori utilizzano protocolli come SMB, RDP e WinRM per spostarsi tra i sistemi, rafforzando la loro presenza all'interno dell'organizzazione. Sfruttano le relazioni di fiducia e i controlli di accesso deboli per diffondersi verso obiettivi di alto valore.

Esempio: durante l'attacco ransomware WannaCry, gli aggressori hanno sfruttato la vulnerabilità EternalBlue in SMB per propagarsi lateralmente attraverso le reti, infettando numerosi endpoint.

4. Esfiltrazione dei dati

Gli aggressori raccolgono e trasferiscono dati sensibili fuori dalla rete, spesso crittografandoli o inviandoli a server esterni sotto il loro controllo. I dati rubati possono essere utilizzati per estorsioni, venduti sul dark web o sfruttati per ulteriori attacchi.

Esempio: il gruppo ransomware Clop ha sfruttato la vulnerabilità di MOVEit Transfer per rubare dati sensibili da centinaia di organizzazioni, utilizzandoli successivamente per ricattare le vittime con minacce di divulgazione pubblica.

5. Stabilire la persistenza

Gli aggressori creano backdoor per mantenere l'accesso continuo alla rete compromessa, assicurandosi di poter tornare anche dopo gli interventi di riparazione. Questa persistenza può includere webshell, malware o account manipolati.

Esempio: nel 2023, gli autori delle minacce hanno sfruttato unavulnerabilità zero-day nei dispositivi Citrix NetScaler ADC (CVE-2023-3519) per impiantare webshell. Queste webshell hanno fornito un accesso persistente, consentendo agli aggressori di eseguire la scoperta sull'Active Directory della vittima e di raccogliere ed esfiltrare i dati.

Nel caso di un exploit del firewall, gli aggressori sfruttano il dispositivo compromesso per avviare connessioni a più sistemi interni, prendendo di mira controller di dominio, chiavi di protezione dei dati di backup e workstation degli utenti.

L'imperativo della rilevazione e risposta di rete (NDR)

Considerando questi attacchi sofisticati, affidarsi esclusivamente alle misure di sicurezza tradizionali non è sufficiente. Le organizzazioni hanno bisogno di uno strumento indipendente e completo per rilevare le attività dannose che aggirano o provengono da dispositivi compromessi. È qui che il Network Detection and Response (NDR) diventa fondamentale.

Perché l'NDR è essenziale

  • Rilevamento indipendente delle minacce: NDR opera separatamente dalla endpoint e dai dispositivi compromessi, garantendo una visibilità continua.
  • Analisi comportamentale: analizzando i modelli di traffico di rete, NDR è in grado di identificare anomalie indicative di ricognizione, movimenti laterali e altre attività dannose.
  • Rilevamento rapido: le soluzioni NDR come Vectra AI modelli avanzati di machine learning per rilevare le minacce in tempo reale, riducendo al minimo le opportunità per gli aggressori.
  • Copertura completa: NDR monitora tutto il traffico di rete, comprese le comunicazioni est-ovest (interne) spesso sfruttate durante i movimenti laterali.

Come Vectra AI le attività post-compromissione

Vectra AI è progettata specificamente per identificare, indagare e rispondere alle minacce che hanno eluso o avuto origine da infrastrutture di sicurezza compromesse. Vectra AIAttack Signal Intelligence di Vectra AI sfrutta l'intelligenza artificiale (AI) avanzata e l'apprendimento automatico (ML) per analizzare il traffico di rete in tempo reale e rilevare i segni più sottili di comportamenti dannosi.

Il nostro sistema Attack Signal Intelligence :

  • Comportamento amministrativo sospetto: rileva un utilizzo insolito dei protocolli amministrativi come WinRM, SSH e RDP. Se un dispositivo come un firewall avvia improvvisamente connessioni utilizzando questi protocolli ai sistemi interni (un comportamento non osservato in precedenza), Vectra AI lo Vectra AI come sospetto.
  • Esecuzione remota sospetta: monitora le attività di esecuzione remota utilizzando strumenti come PowerShell Remoting e PsExec. Anomalie nell'uso di questi strumenti da fonti inaspettate sono indicative di movimenti laterali.
  • Analisi degli accessi privilegiati: analizza i modelli di autenticazione Kerberos per rilevare accessi anomali a servizi e host. Se un dispositivo compromesso inizia ad accedere a servizi o host con cui non ha mai interagito in precedenza, in particolare quelli che richiedono privilegi elevati, Vectra AI lo Vectra AI come una potenziale minaccia.

Esempio calzante: rilevamento di un exploit del firewall

Nello scenario in cui gli aggressori sfruttano una vulnerabilità del firewall:

  • Rilevamento del traffico anomalo: Vectra AI il firewall che avvia connessioni insolite ai sistemi interni utilizzando protocolli amministrativi.
  • Identificazione dell'uso improprio delle credenziali: l'utilizzo di credenziali raccolte per accedere a servizi critici attiverebbe avvisi basati sulle deviazioni dai normali modelli di autenticazione.
  • Triage basato sull'intelligenza artificiale: Vectra AI Il triage Vectra AI smista automaticamente le minacce rilevate, riducendo il rumore e evidenziando gli incidenti più critici che richiedono una risposta immediata, consentendo indagini più rapide ed efficaci.
  • Priorità basate sull'intelligenza artificiale: la definizione delle priorità Vectra AI garantisce che queste minacce critiche vengano immediatamente segnalate ai team di sicurezza affinché possano intervenire rapidamente. Guarda la nostra infografica su come gli hacker ibridi vanno oltre Endpoint.

Oltre il rilevamento: l'importanza di una risposta rapida

Il rilevamento è solo il primo passo. Una risposta rapida è fondamentale per contenere le minacce e ridurre al minimo i danni.

Capacità di risposta Vectra AI

  • Azioni automatizzate: Vectra AI disabilitare automaticamente gli account utente compromessi o isolare gli host interessati, limitando la capacità dell'autore dell'attacco di muoversi lateralmente.
  • Integrazione con l'ecosistema di sicurezza: funziona perfettamente con gli strumenti di sicurezza esistenti, come firewall e piattaforme endpoint , per applicare le politiche di sicurezza.
  • Informazioni utili: fornisce un contesto dettagliato e raccomandazioni per aiutare i team di sicurezza nelle attività di indagine e risoluzione dei problemi.

Zero-day che prendono di mira i dispositivi periferici della rete rappresentano una minaccia significativa e in continua evoluzione. Una volta compromessi questi dispositivi, gli aggressori possono navigare all'interno della rete senza essere rilevati, rendendo inefficaci le misure di sicurezza tradizionali. A volte le misure proattive non sono sufficienti, quindi l'implementazione di una soluzione NDR come Vectra AI essenziale per:

  • Rilevamento delle attività post-compromissione: identificazione dei comportamenti dannosi che si verificano dopo la violazione iniziale.
  • Mantenere la visibilità della sicurezza: garantire un monitoraggio continuo anche quando le difese primarie sono compromesse.
  • Risposta rapida: facilitazione di azioni tempestive per contenere e risolvere le minacce. Anticipa le minacce oltre i confini. Richiedi oggi stesso una demo per scoprire come rilevare e rispondere agli attacchi, anche quando le difese primarie sono compromesse.

Rimani un passo avanti alle minacce oltre i confini della rete. Richiedi oggi stesso una demo per scoprire come rilevare e rispondere agli attacchi, anche quando le tue difese primarie sono compromesse.

Domande frequenti