Anatomia di un moderno attacco informatico

10. Maggio 2021
| Non ci sono commenti
Anatomia di un moderno attacco informatico

Condividi post

Gli attacchi informatici sono ora raramente eseguiti da aggressori tecnicamente altamente qualificati. I tradizionali metodi di hacking come la decodifica della crittografia o l'infiltrazione nei firewall stanno diventando un ricordo del passato. L'anatomia di un attacco informatico sta cambiando.

I criminali non entrano più; si limitano ad accedere. Questo perché le credenziali deboli, rubate o comunque compromesse creano un facile punto di ingresso per gli attori malintenzionati, anche se hanno poche competenze tecniche.

Login rubati ai dipendenti

La recente violazione di Twitter, che ha violato dozzine di importanti account utente, è un buon esempio di come vengono effettuati oggi gli attacchi informatici. Secondo una ricerca del colosso dei social media, un diciassettenne della Florida ha utilizzato tecniche di ingegneria sociale per ottenere le credenziali di un piccolo numero di dipendenti di Twitter. L'attaccante è stato quindi in grado di abusare di questi accessi per ottenere l'accesso a un importante sistema interno. E Twitter non è solo: Forrester stima che l'17 percento delle violazioni della sicurezza sia ora dovuto a credenziali compromesse. Se un utente malintenzionato si impossessa di un account privilegiato, può utilizzarlo per spostarsi in modo esteso e inosservato nella rete per lungo tempo al fine di esfiltrare dati sensibili o causare interruzioni.

Il percorso di attacco dei criminali informatici

Ogni attacco informatico differisce nella sua motivazione e nel danno che ne deriva. Tuttavia, tutti gli attacchi contengono tre importanti componenti di base che si applicano sia alle minacce esterne che a quelle interne. Quella che segue è una panoramica di come spesso avvengono i moderni attacchi informatici:

1. Trova un modo per entrare

Come accennato, oggi i criminali in genere utilizzano in modo improprio le credenziali compromesse per i loro attacchi. In genere utilizzano tecniche di ingegneria sociale, come le campagne di phishing, per rubare le credenziali di accesso. Gli hacker stanno anche approfittando dei milioni di credenziali trapelate che sono in vendita sul dark web. Di conseguenza, gli utenti che utilizzano password uguali o simili per più account sono a rischio se un utente malintenzionato utilizza tecniche come il credential stuffing o il password spraying.

2. Navigazione nel sistema

Una volta nel sistema, l'attaccante tenterà di controllare l'ambiente circostante e aumentare i propri privilegi per spostarsi lateralmente nella rete e accedere a infrastrutture più critiche con dati potenzialmente preziosi. In questa fase, gli hacker cercano di acquisire una comprensione del proprio ambiente osservando le pianificazioni IT, le misure di sicurezza oi flussi di traffico di rete. Le risorse di rete, gli account con privilegi, i controller di dominio e Active Directory sono i bersagli principali degli aggressori perché spesso dispongono di credenziali con privilegi.

3. Furto di dati e copertura delle tracce

Una volta che gli aggressori sanno dove ottenere l'accesso a dati preziosi, cercheranno modi per aumentare ulteriormente i loro privilegi di accesso per estrarre quei dati e coprire le loro tracce. Possono anche creare una backdoor, ad esempio creando una chiave SSH per esfiltrare più dati in futuro.

Best practice per la protezione dagli attacchi informatici di oggi

Costruire un perimetro solido e investire in un team di sicurezza consolidato è ancora fondamentale. Tuttavia, poiché gli aggressori odierni sfruttano sempre più pratiche di password errate e account con privilegi non protetti, le organizzazioni devono adattare la propria strategia di sicurezza a queste minacce e concentrarsi sulla protezione di identità e credenziali.

Özkan Topal, direttore vendite presso TicoticoCentrify

Le credenziali con privilegi condivisi devono essere valutate e collocate in un deposito di password per una corretta gestione. Tuttavia, il vaulting da solo non è sufficiente per difendersi dal panorama dinamico delle minacce, che è stato notevolmente ampliato dalla trasformazione digitale e presenta superfici di attacco in aumento come cloud o DevOps.

Applicare l'approccio del privilegio minimo

Pertanto, le aziende dovrebbero applicare un approccio basato sui privilegi minimi basato sulle identità umane e delle macchine individuali. Inoltre, richiede sistemi che verifichino quale dipendente o quale applicazione richiede l'accesso alle risorse e per quale motivo. Il rischio del rispettivo ambiente di accesso deve essere determinato e solo le autorizzazioni per l'oggetto di destinazione devono essere concesse per il tempo minimo richiesto. Ecco tre punti che le aziende dovrebbero implementare nella loro strategia di sicurezza:

  • Applicazione di un approccio zero trust: il modello zero trust presuppone che gli aggressori siano già sulla rete. Pertanto, nessun utente o richiesta dovrebbe essere attendibile fino a quando non sarà completamente verificato. Dovrebbe quindi essere concesso solo l'accesso con privilegi minimi, concedendo tutte le autorizzazioni necessarie. Le architetture di sicurezza devono essere strutturate per tenerne conto.
  • Sfruttare l'autenticazione a più fattori per la gestione degli accessi con privilegi: l'autenticazione a più fattori è un semplice mezzo di sicurezza e dovrebbe essere utilizzata ovunque i privilegi siano elevati, con zone di accesso dedicate che si aggiungono a tale difesa.
  • Machine Learning per la consapevolezza dei rischi in tempo reale: gli algoritmi di machine learning possono monitorare il comportamento degli utenti con privilegi, identificare attività anomale e rischiose e generare avvisi per interrompere le operazioni sospette.

I criminali informatici di oggi possono avere competenze tecniche sofisticate o solo la conoscenza di base degli script kiddies. Tuttavia, implementando un solido piano di gestione degli accessi privilegiati incentrato sull'identità basato sui principi Zero Trust, le organizzazioni possono proteggere le proprie risorse critiche dall'ondata crescente di attacchi e ridurre significativamente il rischio di una violazione della sicurezza.

Altro su Centrify.com

 

Informazioni su Thycotic Centrify

ThycoticCentrify è un fornitore leader di soluzioni per la sicurezza dell'identità nel cloud che consentono la trasformazione digitale su larga scala. Le soluzioni PAM (Privileged Access Management) leader del settore di ThycoticCentrify riducono i rischi, la complessità e i costi proteggendo i dati aziendali, i dispositivi e il codice in ambienti cloud, on-premise e ibridi. ThycoticCentrify è considerato affidabile da oltre 14.000 aziende leader in tutto il mondo, inclusa più della metà delle Fortune 100. I clienti includono le più grandi istituzioni finanziarie del mondo, agenzie di intelligence e società di infrastrutture critiche. Che si tratti di persone o macchine, nel cloud o on-premise, con ThycoticCentrify l'accesso privilegiato è sicuro.

 

Articoli relativi all'argomento

Sicurezza IT: NIS-2 ne fa una priorità assoluta

Solo in un quarto delle aziende tedesche il management si assume la responsabilità della sicurezza informatica. Soprattutto nelle aziende più piccole ➡ Leggi di più

Gli attacchi informatici aumenteranno del 104% nel 2023

Una società di sicurezza informatica ha dato uno sguardo al panorama delle minacce dello scorso anno. I risultati forniscono informazioni cruciali su ➡ Leggi di più

Lo spyware mobile rappresenta una minaccia per le aziende

Sempre più persone utilizzano i dispositivi mobili sia nella vita di tutti i giorni che in azienda. Ciò riduce anche il rischio di “mobile ➡ Leggi di più

La sicurezza in crowdsourcing individua molte vulnerabilità

La sicurezza in crowdsourcing è aumentata in modo significativo nell’ultimo anno. Nel settore pubblico sono state segnalate il 151% in più di vulnerabilità rispetto all’anno precedente. ➡ Leggi di più

Sicurezza digitale: i consumatori hanno più fiducia nelle banche

Un sondaggio sulla fiducia digitale ha mostrato che le banche, la sanità e il governo sono i soggetti più fidati da parte dei consumatori. I media- ➡ Leggi di più

Borsa di lavoro nel Darknet: gli hacker cercano insider rinnegati

La Darknet non è solo uno scambio di beni illegali, ma anche un luogo dove gli hacker cercano nuovi complici ➡ Leggi di più

Impianti solari: quanto sono sicuri?

Uno studio ha esaminato la sicurezza informatica degli impianti solari. I problemi includono la mancanza di crittografia durante il trasferimento dei dati, password standard e aggiornamenti firmware non sicuri. tendenza ➡ Leggi di più

Nuova ondata di phishing: gli aggressori utilizzano Adobe InDesign

Attualmente si registra un aumento degli attacchi di phishing che abusano di Adobe InDesign, un sistema di pubblicazione di documenti noto e affidabile. ➡ Leggi di più

racconti
, , , ,