Quest’anno è stato un anno importante per le violazioni dei dati critici e gli attacchi informatici, che ha fatto passare in secondo piano i traguardi raggiunti dai team di sicurezza informatica di tutto il mondo. Le aziende hanno aggiornato le loro tattiche di risposta per allinearle con l’aumento delle attività criminali, ma è chiaro che stanno ancora facendo fatica a proteggere adeguatamente le loro risorse dai ladri.
Solo negli ultimi 12 mesi, abbiamo visto criminali informatici colpire con successo importanti organizzazioni in una varietà di settori, come Toyota, che ha subito una violazione dei dati dopo che una terza parte è stata in grado di accedere a un server aziendale con credenziali ottenute dal codice sorgente pubblicato su GitHub. Anche Cisco ha confermato un attacco informatico dopo che le credenziali di un dipendente sono state compromesse e l’attaccante è stato osservato sfruttare gli account macchina per l’autenticazione privilegiata e il movimento laterale.
Queste violazioni facilitate da strategie di movimento laterale, phishing di massa e ransomware sofisticati hanno sostanzialmente minato la sicurezza della rete, causando danni alla reputazione di molte aziende e, in ultima analisi, perdita di fiducia da parte dei clienti. Riflettendo sull’anno passato, è importante riconoscere i numerosi successi dei team di sicurezza informatica, ma è anche fondamentale trarre insegnamenti da queste violazioni di alto profilo per evitare che la storia si ripeta.
Si prevedono cinque sfide chiave per i team di sicurezza informatica nel 2023: investire in tecnologia reattiva, movimenti laterali, attacchi API aggressivi, un aumento dei deepfake e guerra informatica.
Gli istinti innovativi affrontano le tattiche di evasione
L’innovazione nella risposta alle minacce è stata l’area di crescita principale del settore nel 2022. Il Global Incident Response Threat Report (GIRTR) di VMware ha rilevato che i team di sicurezza informatica stanno implementando attivamente nuove tecniche, come l’applicazione di patch virtuali per rispondere agli incidenti e contrastare le attività dei criminali informatici. Sebbene gli attori delle minacce odierni possiedano un impressionante portafoglio di tattiche di evasione, la ricerca ha rivelato che la maggior parte dei criminali informatici si trova all’interno dell’ambiente bersaglio solo ore (43%) o minuti (26%) prima che si verifichi un’indagine.
Poiché il tempo di risposta alle minacce è fondamentale per la difesa della rete, incontrare attori delle minacce sofisticati al loro livello è fondamentale per proteggere i sistemi. L’utilizzo di tattiche innovative per aggiornare le tecniche di risposta è il primo punto per fermare gli intenti dannosi prima che si intensifichino e un elemento su cui concentrarsi nel 2023.
Il nuovo campo di battaglia
Non è possibile fermare ciò che non si può vedere e le istanze di movimento laterale all’interno di un ambiente rappresentano un campo di battaglia in continua espansione per i team di sicurezza, poiché sono alla base di un quarto di tutti gli attacchi segnalati nel GIRTR di VMware. Queste tecniche di infiltrazione sono state trascurate e sottovalutate dalle organizzazioni quest’anno. Solo nei mesi di aprile e maggio di quest’anno, quasi la metà delle intrusioni conteneva un evento di movimento laterale, con la maggior parte che coinvolgeva l’uso di strumenti di accesso remoto (RAT) o l’uso di servizi esistenti, come Remote Desktop Protocol (RDP) o PsExec.
Nel 2023 i criminali informatici continueranno a utilizzare il protocollo desktop remoto per “travestirsi” da amministratori di sistema. In vista del nuovo anno, i CISO devono dare priorità all’integrazione di EDR e NDR per difendere i data center, i punti di accesso e le infrastrutture critiche che gli hacker possono attaccare una volta all’interno.
API non supervisionate
Nel 2023 continueremo a vedere l’evoluzione delle tattiche di accesso iniziale mentre i criminali informatici tentano di prendere piede nelle organizzazioni. Uno degli obiettivi principali di tale accesso è quello di eseguire attacchi API aggressivi contro l’infrastruttura moderna e sfruttare le vulnerabilità dei carichi di lavoro all’interno di un ambiente. La maggior parte del traffico all’interno di queste applicazioni moderne è spesso traffico API non supervisionato, alimentando il movimento laterale poiché i criminali informatici continuano a utilizzare tecniche evasive una volta all’interno dell’ambiente per deviare il rilevamento su VDI, VM e applicazioni tradizionali. Queste tecniche di accesso iniziale saranno sempre più attraenti per gli attori malintenzionati, consapevoli dei limiti di monitoraggio delle organizzazioni.
Deepfake
Quest’anno, gli attacchi deepfake sono aumentati vertiginosamente. Abbiamo visto i deepfake passare dalla sfera dell’intrattenimento al business. Infatti, due terzi (66%) delle aziende hanno riferito di aver assistito a un attacco deepfake negli ultimi 12 mesi. La tecnologia consente ai team di sicurezza informatica di combattere informazioni false e frodi di identità progettate per compromettere l’integrità e la reputazione di un’organizzazione. Gli attacchi deepfake, identificati nelle e-mail, nella messaggistica mobile, nella registrazione vocale e nei social media, sono abbastanza flessibili da diventare l’arma preferita dai truffatori.
Nel 2023 vedremo il numero di deepfake continuare a salire. Le aziende devono adottare misure proattive per mitigare il rischio di cadere vittima di truffe basate su deepfake attraverso investimenti in software di rilevamento e formazione dei dipendenti per garantire che siano in grado di rilevare i deepfake.
Il grande pulsante rosso (digitale)
Le infrastrutture critiche stanno attraversando un momento critico. La maggior parte (65%) degli intervistati al GIRTR di VMware ha dichiarato un aumento degli attacchi informatici legati all’invasione russa dell’Ucraina. L’offensiva digitale della Russia ha rivelato che la guerra è ormai progettata per corrompere i servizi chiave del settore portando le infrastrutture, come le reti elettriche, a un punto morto. La prontezza di risposta dal parte dei team di sicurezza informatica alle minacce dell’Ucraina è vitale per la sua difesa e le tattiche informatiche diventeranno senza dubbio una componente centrale del moderno conflitto armato. La guerra cibernetica evidenzia quindi che la vigilanza è il punto cruciale di un’efficace strategia di sicurezza informatica.
Bootcamp di sicurezza per il 2023
L’obiettivo principale dei criminali informatici rimane lo stesso: ottenere le chiavi di accesso, rubare credenziali, spostarsi lateralmente, acquisire dati e quindi monetizzarli. Per migliorare l’efficienza della difesa in futuro, i team di sicurezza informatica devono concentrarsi sui carichi di lavoro in modo olistico, ispezionare il traffico in banda, integrare il rapporto di mancato recapito con il rilevamento e la risposta degli endpoint EDR, adottare i principi Zero Trust e condurre una ricerca continua delle minacce. Solo con questo corpus di regole completo le organizzazioni consentiranno ai team di sicurezza informatica di affrontare le sfide future.
di Chad Skipper, Global Security Technologist di VMware
