written by
Arianna Nistri

7 Aspetti che Ogni CISO Dovrebbe Considerare Dopo l'Attacco Cyber all’Australian National University - SentinelOne

Cyber Security 6 min read
7 Aspetti che Ogni CISO Deve Considerare Dopo Attacco Cyber all’Australian National University – SentinelOne
7 Aspetti che Ogni CISO Deve Considerare Dopo l'Attacco Cyber all’Australian National University – SentinelOne

1. Sostituire AV Legacy | Non Aspettare che sia Troppo Tardi

Senza dubbio il primo aspetto da considerare dopo l’attacco cyber all'Australian National University (ANU) è che non è possibile garantire una sicurezza completa senza sostituire soluzioni legacy.

I referenti dell'università affermano:

“Il criminale informatico è stato in grado, in più casi, di evitare di essere rilevato alterando le firme dei malware più comuni. Inoltre, il malware e alcuni tool sono stati assemblati all'interno della rete dell’università dopo aver stabilito un punto d’appoggio. Ciò significava che i singoli componenti scaricati non attivavano la soluzione per la protezione di dispositivi”.

Le soluzioni AV legacy utilizzate fino allo scorso anno non erano in grado di far fronte a questa tipologia di attacchi.

2. Phishing Is King | Blocca i Comportamenti Scorretti, Non gli Utenti

Gli utenti saranno sempre sensibili ad attacchi di phishing e spearphishing. Le aziende non possono fare affidamento sugli utenti per riconoscere i tentativi di phishing ma dovrebbero implementare soluzioni basate su machine learning che rilevano e bloccano qualsiasi comportamento dannoso sui dispositivi.

I referenti dell'università affermano:

“L’attacco è iniziato con un’email di spearphishing che ha ricevuto un nostro membro dello staff. Sulla base dei registri disponibili, questa email è stata solo visualizzata in anteprima, ma il codice dannoso contenuto non ha richiesto al destinatario di fare clic su alcun collegamento né di scaricare e aprire un allegato. Questo attacco “senza interazioni” ha consentito al criminale informatico di appropriarsi delle credenziali dell’utente”.

Chiaramente c’è un motivo per cui il phishing è il vettore di attacco più comune. I criminali informatici sanno quali sono i punti deboli degli utenti e sfruttano determinati strumenti, tattiche e procedure per raggiungere il proprio obiettivo.

Un'email di phishing senza interazione solleva domande interessanti e preoccupanti. Nel tentativo di proteggere gli utenti, non entrando nei dettagli che potrebbero aiutare altri criminali, A.N.U. non ha rilasciato dettagli sull'avvenimento.

Tra le ipotesi relative alla modalità dell'attacco ci sono: lo sfruttamento del caricamento di contenuti remoti del software client di posta elettronica senza patch; in alternativa, una vulnerabilità zero-day nel software o nel sistema operativo stesso.

Nonostante gli utenti conoscano le dinamiche di un attacco di phishing, in questo caso la consapevolezza non sarebbe bastata per proteggere l’organizzazione dall'attacco di spearphishing.

Ciò significa che l'importanza di una soluzione di sicurezza in grado di riconoscere e avvisare in caso di attività dannose indipendentemente dal fatto che il processo sia attendibile o meno, è l'unica modalità sicura per gestire la minaccia di phishing.

3. Rendere Visibile l’Invisibile | È Fondamentale una Conoscenza Approfondita della Rete

Sapere quali dispositivi sono connessi alla rete è fondamentale. Nell'attacco all'università, il criminale informatico ha cercato e trovato dispositivi che erano stati esclusi dagli audit di sicurezza dell'organizzazione.

I referenti dell'università affermano:

“Il criminale ha creato un ecosistema ombra di macchine, strumenti e connessioni di rete dell’università per svolgere le proprie attività in modo da non essere individuato. Alcune macchine compromesse sono servite da punto d’appoggio nella rete. Altre, come le cosiddette stazioni di attacco, hanno fornito al criminale una base operativa per mappare la rete e identificare obiettivi di interesse”.

Con un’infrastruttura complessa come quella di un’università, che comprende più siti e sottoreti, l’unica soluzione efficace è assicurarsi di poter mappare la rete e i dispositivi in modo da poter determinare non solo ciò che è connesso, ma anche i dispositivi non protetti.

4. Autenticazione a 2 o Più Fattori

Sebbene non sia infallibile né sempre conveniente, l’autenticazione a due fattori con OTP protegge gli account da tentativi di forzatura delle password. Per un controllo ancora più rigoroso, è possibile prendere in considerazione dispositivi di autenticazione come YubiKey e simili, dove appropriato.

5.Mind The Traffic | Utilizzare una Soluzione di Endpoint Firewall Control

Senza criteri per controllare la tipologia di traffico che si desidera consentire e/o impedire ad un endpoint, i criminali avranno l'opportunità di estrapolare i dati a piacimento dopo aver compromesso un endpoint.

I referenti dell'università affermano:

“Il criminale ha utilizzato una varietà di metodi per estrarre dati o credenziali dalla rete dell’università. Questo avveniva tramite email o tramite altre macchine compromesse connesse alla rete”.

Le Soluzioni di Endpoint Firewall Control sono in grado di bloccare il trasferimento non autorizzato di dati da e verso tutti gli endpoint, sia all'interno che all'esterno della rete aziendale.

Nell'attacco, è stato manipolato uno strumento commerciale per eseguire query su molteplici database, estrarre record e quindi estrapolare dati inviandoli a un altro pc sulla rete in formato PDF.

6. Eliminare le Vulnerabilità

Il patching è una misura difensiva consolidata nel tempo, ma sta diventando sempre più importante con vulnerabilità come BlueKeep ed Eternalblue.

I referenti dell'università affermano:

“Il criminale ha anche ottenuto l’accesso (da remoto) a una macchina in una scuola che aveva un indirizzo IP eseguibile pubblicamente. Il fatto che la macchina fosse datata e con un sistema operativo legacy ha semplificato l’operazione”.

I criminali informatici dispongono di strumenti per sfruttare vulnerabilità nei sistemi operativi legacy come Windows 7 e sistemi come Windows 10, Linux e macOS senza patch.

Molti dipartimenti fanno fatica a sostituire hardware e software obsoleti per ragioni operative o di bilancio, ma rimarranno vulnerabili e quindi dei potenziali bersagli per attacchi informatici.

7. Registrare le Attività dei Dispositivi

Per garantire una sicurezza completa è importante conoscere non solo cosa succede ai dispositivi ma anche cosa è successo in passato. La registrazione dell’attività del dispositivo in una posizione remota sicura è essenziale sia per la ricerca delle minacce che per la risposta agli incidenti.

Il team che si occupa della risposta agli incidenti all'interno dell’università, ha effettuato una grande indagine forense dopo l’attacco, ma sono stati ostacolati dalla cancellazione dei log su macchine vulnerabili.

Rilevamento e risposta di endpoint dovrebbero essere supportati da una console di gestione dei dispositivi centralizzata, in cui amministratori e team di sicurezza possano accedere ai registri da tutti gli endpoint indipendentemente dalle azioni intraprese su un dispositivo.

In Conclusione

L'Australian National University non era né senza difese né senza risorse. Esistono molte organizzazioni come questa sia nel settore pubblico che in quello privato.

I criminali informatici ormai hanno tutti gli strumenti per violare ambienti protetti da soluzioni AV legacy e questo è un aspetto che l'episodio appena descritto sottolinea.

La nuova generazione di Endpoint Protection di SentinelOne permette di proteggere la rete e tutti i dispositivi contro qualsiasi tipo di minaccia, conosciuta e sconosciuta, compresi gli attacchi zero-day. Prevenzione, rilevamento, risposta, remediation ed analisi forense in un'unica piattaforma completa ed integrata basata su machine learning ed intelligenza artificiale.

Se vuoi avere maggiori informazioni sulla soluzione invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. In alternativa, puoi compilare il form sottostante con la tua domanda.

cyber security piattaforma cyber security sentinelone attacco cyber sentinelone sentinelone epp soluzioni edr soluzioni epp sentinelone ciso prevenzione attacchi zero-day e malware phishing email phishing spearphishing