21/02/2024 di Roberto Bonino

Furto di credenziali e pressione sul cloud al centro dei pericoli cyber

L’edizione 2024 del Global Threat Report di CrowdStrike pone l’accento sulle tecniche e soprattutto gli obiettivi degli attaccanti, interessati a violare infrastrutture per potersi spostare al loro interno e individuare il bersaglio da colpire.

<a href="https://www.freepik.com/free-photo/female-hacker-with-her-team-cyber-terrorists-making-dangerous-virus-attack-government_19651636.htm#page=6&query=cybersecurity%20awareness&position=14&from_view=search&track=ais&uuid=ff474676-e738-4c74-bb38-83d857537095">Image by DC Studio</a> on Freepik

Image by DC Studio on Freepik

Il CrowdStrike Global Threat Report 2024 mette in evidenza, tra le altre cose, la tendenza preoccupante degli aggressori a prendere sempre più di mira i sistemi di identità e gli ambienti cloud, spesso contemporaneamente. Gli attaccanti tendono a sfruttare l'interdipendenza dei sistemi It per potersi spostare senza problemi tra i vari domini di un’infrastruttura aziendale.

Il tempo di breakout, ovvero quanto serve a un malintenzionato per spostarsi tra host compromessi, è diminuito drasticamente fino a raggiungere la media allarmante di 62 minuti nel 2023 (erano 84 l’anno precedente), con alcuni incidenti che hanno richiesto poco più di due minuti: “Questi dati fanno capire quanto veloce debba essere il tempo di rilevamento e risposta”, fa notare Luca Nilo Livrieri, director sales engineering Southern Europe di CrowdStrike. “Crescono soprattutto gli attacchi di tipo cross-domain, che sfruttano le debolezze create dall’interdipendenza fra sistemi It, che gli specialisti aziendali tendono ancora a trattare in modo separato”.

Le intrusioni nel cloud sono aumentate del 75% nel 2023, secondo il report, che pone l’accento sull’aumento del 110% degli incidenti che coinvolgono aggressori “cloud-conscious”, consapevoli dei punti di debolezza specifici e capaci di sfruttare funzionalità uniche: “Abbiamo rilevato una presenza rilevante di soggetti specializzati in attacchi ad ambienti Microsoft 365 o Aws e questo appare più interessante e redditizio persino rispetto alla classica vendita di credenziali”, indica Nilo Livrieri.

Le tecniche di minaccia, come sempre, sono in continua evoluzione. CrowdStrike punta il dito sull’incremento degli attacchi privi di malware: “Si parte sempre da un’esca classicamente di phishing”, spiega Nilo Livrieri, “ma non c’è poi bisogno di installare un pacchetto software per entrare in una rete, perché bastano le credenziali. A quel punto la sottrazione di dati, che è il primo obiettivo oggi, avviene sfruttando applicazioni lecite già presenti sulle macchine”.

Luca Nilo Livrieri, director sales engineering Southern Europe di CrowdStrike

Luca Nilo Livrieri, director sales engineering Southern Europe di CrowdStrike

Per altro verso, le preoccupazioni sull’apporto che l’intelligenza artificiale avrebbe potuto offrire agli aggressori, in particolare attraverso gli strumenti generativi come ChatGpt, si sono rivelate in gran parte infondate nel 2023. Sebbene ci siano stati casi di autori di minacce che hanno sperimentato script di AI, lo sviluppo di Llm da parte degli autori delle minacce è ancora ritenuto complesso a causa dei vincoli di costo. Più concreto è ritenuto il rischio di data poisoning, collegato anche a sviluppi come il recente lancio della tecnologia text-to-video di OpenAI, Sora, che pone potenziali pericoli, soprattutto nelle campagne di disinformazione collegate a un anno elettorale negli Usa e in altre parti del mondo.

Crowdstrike sottolinea la necessità che le organizzazioni diano priorità alla protezione delle identità e alle capacità di sicurezza cross-domain. L’autenticazione multifattore e le piattaforme di identity management restano essenziali ma dovrebbero essere integrate con ulteriori misure di protezione: “Le aziende dispongono di ambienti con caratteristiche molto diverse fra loro”, sintetizza Nilo Livrieri. “Ci sono certamente aree ben protette in molte realtà, ma anche sistemi legacy e applicazioni under the radar, esposti a vulnerabilità. Lo stesso vale per segmenti operativi come gli stabilimenti di produzione in campo manifatturiero. La segregazione di certi ambienti è una mossa efficace, non aumenta il livello di sicurezza. Meglio sarebbe disporre di un monitoraggio proattivo di tutti i domini di competenza con i relativi indicatori di compromissione”.

Non a caso, il vendor ha da poco creato il team Counter Adversary Operations, che unisce competenze di monitoraggio e di threat hunting, ma sta anche lavorando sul next generation Siem, con visibilità cross su tutti gli eventi all’interno della stessa rete in modo da focalizzarsi sugli incidenti veramente rilevanti a aumentare la velocità di reazione sugli eventi realmente critici.

scopri altri contenuti su

ARTICOLI CORRELATI