Quando Palo Alto Networks ha redatto il report sulla risposta agli incidenti della Unit42 del 2022, l’obiettivo era semplice: raccogliere informazioni dai casi di risposta agli incidenti e dall'esperienza dei consulenti per la sicurezza in modo che le organizzazioni potessero trarne vantaggio.
Esaminando ciò che abbiamo imparato sui criminali informatici aiutando le organizzazioni in centinaia di casi, è possibile dare la priorità alle tue risorse e concentrare i tuoi sforzi per mitigare i rischi che ritieni più significativi. L'obiettivo è capire:
- Cosa stanno facendo (o tentando di fare) i criminali informatici;
- Come lo stanno facendo;
- Cosa contribuisce al successo degli attacchi;
- Cosa puoi fare per proteggere la tua organizzazione.
Per rispondere a queste domande, la Unit42 ha analizzato centinaia di casi di risposta agli incidenti (IR) nell'ultimo anno per estrarre dettagli e approfondimenti critici. Palo Alto Networks ha anche condotto interviste approfondite con consulenti esperti per apprendere ciò che ritengono che le organizzazioni debbano sapere di più per essere più resilienti e preparate.
Il report fornisce i risultati, facendo luce sulle principali tecniche di attacco e sulle tendenze che rivelano come si sta evolvendo il panorama delle minacce informatiche, in modo da poter adattare le difese per proteggere le risorse e le operazioni della tua organizzazione.
Cosa Stanno Facendo (o Cercando di Fare) gli Aggressori
La maggior parte degli attacchi sembra essere motivata dal denaro. Le organizzazioni più colpite riguardano settori che archiviano, trasmettono ed elaborano elevati volumi di informazioni monetizzabili.
I settori finanziario, professionale e legale, manifatturiero, sanitario, high tech, all'ingrosso e al dettaglio rappresentano il 63% dei casi analizzati da Palo Alto Networks.
I criminali informatici possono vendere i dati o tenerli in ostaggio per estorcere un compenso perché sanno che le organizzazioni di questi settori fanno affidamento sull'integrità e sulla privacy delle loro informazioni per operare e competere.
Come Operano gli Aggressori
Il ransomware e le BEC sono stati i principali tipi di incidenti osservati nei casi nell'ultimo anno, rappresentando circa il 70%.
I primi tre vettori di accesso utilizzati delle minacce per entrare nell'ambiente di un'organizzazione erano il phishing, lo sfruttamento di vulnerabilità software note e gli attacchi alle credenziali di forza bruta, principalmente incentrati sul protocollo desktop remoto (RDP) in cui i sistemi delle vittime erano direttamente esposti a Internet. Questi tre erano i sospetti vettori di ingresso iniziale di oltre il 77% delle intrusioni.
Cosa Contribuisce al Successo degli Attacchi
Durante l'indagine sul motivo per cui le violazioni hanno avuto successo, il team di Palo Alto Networks ha identificato 7 fattori comuni che contribuiscono al successo degli attacchi.
- Mancanza di autenticazione a più fattori – 50% dei casi
- Nessuna soluzione di sicurezza EDR (Endpoint Detection and Response) per rilevare e rispondere ad attività di rete dannose – 44% dei casi
- Nessuna o scarsa procedura di gestione delle patch – 28% dei casi
- Nessuna mitigazione in atto per garantire il blocco dell'account per gli attacchi alle credenziali di forza bruta – 13% dei casi
- Una mancata revisione/azione degli avvisi di sicurezza – 11% dei casi
- Pratiche di sicurezza delle password deboli – 7% dei casi
- Errori di configurazione del sistema – 7% dei casi
- In molti casi, le organizzazioni con cui Palo Alto Networks ha lavorato hanno fatto i passi giusti per la maggior parte del tempo, ma gli aggressori devono solo trovare una lacuna per penetrare. Hanno assistito a casi in cui "shadow IT" - dispositivi non autorizzati - o sistemi legacy semi dimenticati hanno finito per mettere a rischio l'intera organizzazione.
Consideriamo questo elenco come una guida da utilizzare per ricontrollare che le protezioni delle chiavi siano a posto.
Cosa Puoi Fare per Proteggere la tua Organizzazione
Sulla base dei temi che emergono più e più volte nei casi di risposta agli incidenti, i consulenti Palo Alto Networks hanno evidenziato le prime 6 azioni per migliorare la posizione di sicurezza della tua organizzazione e rendere più difficile il successo degli aggressori:
- Prevenzione del phishing e formazione periodica sulla sicurezza di dipendenti e contractor;
- Disabilitazione di qualsiasi accesso RDP esterno diretto. Assicurati che tutta l'amministrazione remota esterna sia condotta tramite una rete privata virtuale (VPN) di livello aziendale con richiesta di autenticazione a più fattori (MFA);
- Applicare patch ai sistemi esposti a Internet il più rapidamente possibile (date le pratiche principali per il test e l'implementazione responsabile) per prevenire lo sfruttamento delle vulnerabilità;
- Implementare l'autenticazione a più fattori come politica di controllo e sicurezza tecnica per tutti gli utenti;
- Richiedere che la verifica del pagamento avvenga al di fuori dell'e-mail per garantire un processo di verifica in più passaggi;
- Prendere in considerazione un servizio di rilevamento delle violazioni delle credenziali e/o una soluzione di gestione della superficie di attacco per monitorare i sistemi vulnerabili e le potenziali violazioni.
Vuoi aiuto per Prepararti o Rispondere a un Incidente Informatico?
Palo Alto Networks offre una suite completa di Next-Generation Security Platforms per la protezione a 360 gradi dell'azienda dalle minacce informatiche.
Con più di 42,500 clienti in oltre 150 paesi, Palo Alto Networks è la soluzione professionale utilizzata da oltre 85 aziende della classifica Fortune 100 e riconosciuta da Gartner come leader nel mercato Firewall di nuova generazione.
Per saperne di più, invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Nella pagina dedicata sul nostro sito potrai richiedere ulteriore materiale informativo o una demo gratuita della soluzione.
In alternativa, puoi compilare il form sottostante con la tua domanda.