Nella prima parte di questo articolo parleremo di quali sono i principali attacchi e minacce informatiche, mentre nella seconda parte faremo luce sulle possibili soluzioni da adottare con relativi processi.
Finora il 2022 ci ha mostrato che le violazioni dei dati, le minacce informatiche e gli incidenti sulla privacy sono qui per tenere occupati i media e i titoli delle notizie. La minaccia degli attacchi informatici ha perforato ogni livello dell'infrastruttura globale, dalle piccole imprese alle grandi imprese. Anche gli stati nazione non sono stati immuni dal cyber-compromesso.
Proprio quest'anno abbiamo assistito all'attacco ransomware al governo costaricano che ha bloccato il Ministero delle Finanze, i servizi sanitari pubblici e i settori di importazione ed esportazione del paese.
Violazioni dei dati sono state segnalate da due delle principali compagnie aeree internazionali in India e Turchia e, all'inizio dell'anno scolastico, un numero sproporzionato di attacchi ha colpito le scuole statunitensi, provocando persino il furto di identità di minori.
Anche le aziende hanno dovuto affrontare le loro problematiche in ambito informatico. Un’azienda leader nel settore networking è stata colpita da un attacco basato sull'identità tramite Active Directory e le bande di ransomware si sono concentrate su quasi tutti i settori critici, comprese le aziende di sicurezza digitale, i produttori e le società di tecnologia dell'informazione.
In tutti questi esempi, erano presenti soluzioni di sicurezza. Questo articolo discute e mette a confronto le realtà delle sfide che le imprese devono affrontare contro le minacce informatiche, il loro significato e le azioni che possono intraprendere per proteggersi meglio.
Capire gli Avversari e le Superfici di Attacco
Oggi, alle aziende viene chiesto di dimostrare di disporre di soluzioni di sicurezza informatica affidabili prima ancora di poter ottenere una copertura assicurativa. Per quanto riguarda gli hacker, si sono evoluti e hanno sviluppato tecniche di attacco più sofisticate.
I modelli di business Ransomware-as-a-Service (RaaS) hanno dato ai criminali non tecnici la possibilità di lanciare campagne a tutti gli effetti. Le tattiche di doppia e tripla estorsione sono all'ordine del giorno e la "caccia alla selvaggina grossa" prende di mira organizzazioni di alto valore o di alto profilo che sono state identificate perché in grado di pagare ingenti riscatti.
Non solo gli attori delle minacce sono diventati più abili, ma le superfici di attacco si stanno ampliando man mano che le aziende prosperano nell'era di più accesso, più connessioni e più strumenti.
Il termine "superficie di attacco" si riferisce alla totalità delle vulnerabilità riscontrate in un ambiente. Il termine "vettori di attacco" si riferisce ai modi in cui una parte non autorizzata può accedere all'ambiente in questione. Gli ambienti più grandi e complessi in genere hanno un numero maggiore di vettori di attacco e una superficie di attacco più ampia da proteggere.
Osservando l'attuale panorama delle minacce, tre principali superfici di attacco sono in primo piano: endpoint, cloud e identità.
Attacchi agli Endpoint
Il compito di proteggere gli endpoint è diventato più complesso negli ultimi anni, poiché sempre più organizzazioni adottano modalità di lavoro da remoto e le policy BYOD (bring-your-own-device).
Le minacce inviate dagli endpoint di solito iniziano con dispositivi che trasportano malware che vengono quindi collegati alla rete mirata e diffondono l'infezione, o tattiche di ingegneria sociale che inducono utenti ignari a installare malware sul proprio dispositivo.
Le moderne culture del lavoro consentono agli endpoint di accedere ai dati sensibili indipendentemente da dove sono connessi, il che grava sempre più sull'integrità dell'endpoint stesso. Poiché gli endpoint sono una parte fondamentale di ogni organizzazione, la loro difesa è una priorità.
Attacchi al Cloud
I team di sicurezza stanno iniziando a ripensare la loro strategia man mano che sempre più aziende passano dagli ambienti on-premise a quelli ibridi e cloud. Sebbene i servizi cloud offrano un interessante boost in termini di collaborazione, scalabilità ed efficienza, presentano nuovi rischi che devono essere presi in considerazione.
Il cloud computing richiede alle aziende di proteggere macchine virtuali, container, carichi di lavoro serverless e Kubernetes, tutti elementi che potrebbero essere sfruttati come potenziali vettori di attacco.
Configurazioni errate del cloud possono facilmente esporre le aziende ad attacchi informatici. Gli ambienti cloud sono particolarmente vulnerabili a gravi perdite di dati, minacce interne, attacchi alla catena di approvvigionamento e accesso denial-of-service.
Attacchi all'Identità
Gli attacchi basati sull'identità spesso coinvolgono l'attore della minaccia che utilizza come arma strumenti e software legittimi utilizzati dalla vittima presa di mira. Quest'anno, l'infrastruttura di Active Directory (AD) continua ad essere un elemento spesso sfruttato nelle campagne ransomware e nei tentativi di estorsione post-compromissione.
Per gli attori delle minacce, prendere di mira l'identità attraverso fonti come AD compromessa o la gestione degli accessi è il modo più rapido per raggiungere i propri obiettivi.
Poiché AD funge da gateway per il resto della rete di un'azienda, gli attori delle minacce sfruttano l'infrastruttura esistente per eseguire l'enumerazione e spostarsi lateralmente attraverso il resto dei livelli di rete, aumentando i propri privilegi, ottenendo l'accesso ai file sensibili ed accedendo ai dati.
Nella seconda parte di questo articolo approfondiremo le possibili soluzioni SentinelOne da adottare per far fronte a questa tipologia di attacchi.
Se vuoi scoprire di più su come mettere al sicuro la tua azienda invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. In alternativa, puoi compilare il form sottostante con la tua domanda.