Se il “perimetro informatico” si è ormai dissolto, o almeno è diventato molto più permeabile e frastagliato, ciò non significa che la classica difesa perimetrale sia superata. I firewall rimangono un pilastro della difesa e allo stesso tempo, con le loro vulnerabilità di software e di configurazione, restano un bersaglio di attacchi informatici. In parallelo, quelle identità digitali (umane e non umane) che oggi delineano il vero “perimetro” sono un target sempre più colpito, anche grazie al fiorente mercato nero delle credenziali rubate. In questa riflessione Merium Khalid, director Soc offensive security di Barracuda Networks, ci racconta come le identità digitali vengono attaccate e sfruttate per ottenere il controllo su interi ambienti informatici.
"Il furto d’identità e l’abuso dei privilegi di amministratore si attestano tra le minacce informatiche più rilevanti per le aziende. A evidenziarlo è l’ultimo “Managed XDR Global Threat Report” di Barracuda Networks, che richiama anche l’attenzione su un altro punto critico già noto: la vulnerabilità dei firewall, spesso nel mirino degli attaccanti. Tra i segnali più significativi delle principali tattiche impiegate dai cyber criminali per infiltrarsi nelle reti e ampliare il proprio raggio d’azione emergono, infatti, i login anomali a Microsoft 365 e le manipolazioni dei diritti di accesso, indicatori sempre più frequenti di possibili compromissioni.
L'analisi di migliaia di miliardi di di eventi IT dimostra che gli autori degli attacchi stanno prendendo di mira in modo massiccio l'identità degli utenti. Nel 32% dei casi un accesso anomalo a Microsoft 365 è stato il primo indicatore di un attacco, mentre il 17% degli incidenti ha rilevato una criticità di tipo “impossible travel”, ovvero una situazione in cui un utente effettua il login in un breve lasso di tempo da due luoghi fisicamente troppo distanti. Tuttavia, gli hacker non cercano sempre una falla tecnica nel sistema, bensì ambiscono a entrare semplicemente dalla porta principale grazie alle credenziali rubate. Una volta all’interno, agiscono in modo da nascondere la propria presenza e ottenere quanti più privilegi possibile.
Escalation dei privilegi: la via per il controllo totale
Una volta ottenuto l’accesso a un sistema, il primo obiettivo dei criminali informatici è spesso acquisire i diritti di amministratore (tattica conosciuta anche come escalation dei privilegi, per l’appunto). Ciò consente loro, ad esempio, di disattivare i software di sicurezza e quindi di diffondere il ransomware senza alcun ostacolo.
In particolare, dai dati analizzati si è evinto che all'interno di Windows nel 42% dei casi l'autore dell'attacco ha aggiunto un utente a un gruppo con privilegi elevati (ad esempio al gruppo degli amministratori di dominio). All'interno di Microsoft 365, inoltre, nel 16% degli incidenti è stato aggiunto un nuovo utente al gruppo di amministratori globali per ottenere il controllo totale sull'ambiente cloud.
Merium Khalid, director Soc offensive security di Barracuda Networks
PowerShell e gli attacchi password spray
Il report individua, inoltre, una serie di combinazioni specifiche di tecniche che costituiscono un importante campanello d'allarme per la aziende:
- Malware fileless. Il 66% degli incidenti legati al malware senza file ha utilizzato PowerShell, il che significa che gli scanner tradizionali spesso non sono in grado di rilevare l'attacco.
- Attacchi password spray. Nel 44% degli incidenti relativi ai firewall, gli aggressori hanno testato un gran numero di password comuni su nomi utente noti.
- Ingegneria sociale. Il 34% degli incidenti è iniziato spingendo gli utenti con l’inganno a scaricare file malevoli.
Un altro aspetto preoccupante riguarda il fatto che, in alcuni casi, le organizzazioni disattivino o non configurino correttamente misure di sicurezza essenziali. Ad esempio, nel 94% delle aziende analizzate, l’endpoint agent risultava inattivo. Questa mancanza di protezione sui dispositivi crea un punto cieco per il team IT e per gli addetti alla sicurezza, esponendo l’azienda a rischi significativi.
Verso il SOC autonomo
I team di sicurezza si trovano ad affrontare sfide sempre più impegnative: devono proteggere, spesso con risorse limitate, un panorama in continua espansione di dispositivi, applicazioni, vulnerabilità critiche e strumenti di sicurezza frammentati, senza disporre in molte occasioni della visibilità completa necessaria per anticipare le minacce.
Per questo motivo, è importante che le organizzazioni si dotino di una strategia di sicurezza unificata che integri tecnologie di rilevamento avanzate basate sull'intelligenza artificiale con un Security Operations Center (Soc) completamente autonomo, insieme a una formazione efficace degli utenti, alla risposta automatizzata alle minacce e a una cultura della sicurezza resiliente e diffusa. In ultima analisi, la chiave di una sicurezza a lungo termine risiede nella resilienza informatica. Il rilevamento e la prevenzione sono i pilastri di qualsiasi strategia di sicurezza, ma di fronte a minacce sempre più complesse ed elusive è fondamentale essere in grado di rispondere agli attacchi e riprendersi rapidamente, riducendo al minimo l’impatto".