L’accesso remoto alle reti aziendali è in aumento e con esso crescono le minacce informatiche. I criminali informatici sviluppano costantemente le loro tattiche di attacco.
Man mano che la sicurezza informatica interna delle aziende diventa sempre più protetta e monitorata, i criminali informatici hanno evoluto le loro tattiche e si stanno concentrando su nuovi metodi di compromissione che forniscono una superficie di attacco più ampia che mai. Ciò significa che le organizzazioni devono guardare oltre i tradizionali confini IT per comprendere l’intera portata delle minacce che potrebbero portare a un incidente informatico.
Minacce dall'esterno
Per comprendere meglio questo panorama di attacchi ampliato, è essenziale l’analisi continua delle minacce esterne, delle vulnerabilità e dei rischi più recenti. Ciò include qualsiasi minaccia proveniente dalle reti interne delle aziende esterne, come: B. da fornitori, venditori e altre terze parti, nonché minacce informatiche situate nel web chiaro, profondo e oscuro.
Per far luce sullo stato della difesa informatica esterna, BlueVoyant ha recentemente compilato un rapporto sulle tendenze emergenti che pongono problemi critici per le organizzazioni di tutti i tipi. Il rapporto si basa sulle osservazioni e sulla raccolta di dati derivanti dal monitoraggio continuo delle minacce e dalla risposta agli ecosistemi estesi delle imprese. Di seguito, Markus Auer, consulente per la sicurezza e direttore delle vendite DACH presso BlueVoyant, evidenzia alcuni dei risultati più importanti.
Phishing sempre più avanzato e dinamico
Gli sviluppi degli ultimi anni e il rapido aumento del lavoro a distanza hanno costretto le aziende a digitalizzarsi più velocemente del previsto. Con molte aziende che ora gran parte della loro forza lavoro lavora da casa e molte filiali fisiche chiuse, la dipendenza dalle transazioni digitali è salita alle stelle. Ciò ha anche creato maggiori opportunità di attacco per gli hacker.
Gli analisti notano tattiche di phishing sempre più sofisticate che prendono di mira l’anello più debole: l’utente finale. Gli hacker sono sempre alla ricerca di modi nuovi e innovativi per sferrare attacchi alle aziende e ai loro utenti. Hanno accelerato i loro sforzi in risposta alla forza lavoro distribuita e alla crescente digitalizzazione dell’economia globale.
Gli esempi che seguono sono tre delle tante tattiche che gli autori delle minacce hanno sempre più utilizzato nell’ultimo anno.
- Reindirizzamenti dei collegamenti di phishing
- Sfrutta l'infrastruttura DNS dinamica
- Smishing (phishing via SMS)
RDP come vettore principale del ransomware
Con la sempre crescente necessità di accesso remoto esterno alle reti e la crescente connettività di terze parti, le tecnologie assistive ampiamente utilizzate nelle imprese moderne continuano a rappresentare un grave rischio e sono sempre più prese di mira dagli autori delle minacce. Protocolli come RDP (Remote Desktop Protocol), SMB (Server Message Block) e WinRM (Windows Remote Management) possono facilitare importanti processi aziendali, ma comportano anche maggiori rischi di cui bisogna tenere conto in ogni analisi di sicurezza. Soprattutto l'RDP sembra essere molto popolare tra gli hacker: il protocollo è stato sfruttato molto spesso e con successo negli ultimi tempi.
RDP, il protocollo proprietario Microsoft che consente a un utente di un computer di connettersi e controllare un computer remoto, viene spesso utilizzato dagli amministratori per risolvere un problema su un sistema remoto. Negli ultimi anni è diventato popolare nel cloud computing accedere e/o gestire macchine virtuali nell'ambiente cloud. Sfortunatamente, in molti casi RDP diventa un gateway quando la porta RDP viene lasciata aperta su Internet, ad es. B. su un sistema dimenticato, un'istanza cloud o un segmento di rete. Facilmente scoperto e sfruttato, questo protocollo può portare alla perdita di dati, tempi di inattività, riparazioni costose e danni alla reputazione delle organizzazioni.
Negli ultimi anni, gli autori delle minacce hanno cercato sempre più porte RDP aperte perché possono trovare servizi RDP aperti vulnerabili attraverso una semplice scansione esterna della rete di un'organizzazione. Se una porta RDP viene lasciata aperta sulla rete di un'azienda, è solo questione di tempo prima che diventi un bersaglio per i criminali informatici.
Vulnerabilità zero-day e tempistica delle patch
Le vulnerabilità zero-day, note anche come vulnerabilità emergenti (EV), rappresentano una minaccia informatica critica per le organizzazioni perché sono imprevedibili e sensibili al tempo. Quasi ogni settimana vengono scoperte nuove vulnerabilità e le aziende di tutto il mondo e di tutti i settori devono essere costantemente vigili su quali vulnerabilità potrebbero interessarle. Una delle maggiori sfide nel mitigare i rischi in un ecosistema espanso è garantire che sia le aziende che i fornitori non dispongano di istanze aperte e prive di patch di software vulnerabile. Il tempo medio necessario per compromettere un attacco zero-day appena scoperto è di circa due settimane o meno, quindi è estremamente importante rispondere rapidamente.
Attraverso i loro servizi di monitoraggio continuo, aziende come BlueVoyant identificano rapidamente i veicoli elettrici all'interno dei loro set di dati globali costituiti dalle infrastrutture IT rivolte all'esterno di organizzazioni di tutti i settori e industrie. Sono in grado di segnalare la scoperta di dati e risorse specifici all'interno delle aziende. Sfruttando questa funzionalità, nella maggior parte dei casi, è possibile firmare le vulnerabilità in questione e registrare il tasso di riparazione per tutte le organizzazioni all'interno dei dati. Si possono trarre diverse conclusioni su come le aziende dovrebbero rispondere al meglio alla divulgazione di nuovi veicoli elettrici.
Raccomandazioni per la mitigazione
Per contrastare le minacce informatiche derivanti dalle vulnerabilità emergenti, alla luce delle tendenze sopra menzionate occorre tenere conto dei seguenti risultati e raccomandazioni:
- Le minacce dovrebbero essere monitorate in modo proattivo
- Per identificare le minacce in rapida evoluzione, è necessario raccogliere informazioni aggiornate
- Costruire processi di sicurezza agili è della massima importanza
- È importante avere sempre una visione d’insieme dell’intero ecosistema esterno
- È necessario dare la priorità ai rischi e mettere in atto piani di emergenza
A proposito di BlueVoyant
BlueVoyant combina le capacità di difesa informatica interna ed esterna in una piattaforma cloud-native basata sui risultati, monitorando continuamente la tua rete, gli endpoint, la superficie di attacco, la catena di fornitura e il web chiaro, profondo e oscuro alla ricerca di minacce. La piattaforma di difesa informatica a spettro completo illumina, convalida e rimedia rapidamente alle minacce per proteggere la tua organizzazione. BlueVoyant sfrutta sia l'automazione basata sull'apprendimento automatico sia l'esperienza guidata dall'uomo.