Studio: gli attacchi informatici utilizzano strumenti

26. Agosto 2020
| Non ci sono commenti
attacco informatico

Condividi post

Kaspersky riporta: Nel 25% degli attacchi informatici in Europa, i criminali informatici utilizzano in modo improprio strumenti legittimi per le loro ulteriori attività. Utilizzano principalmente le vulnerabilità dei programmi come gateway nella rete aziendale o strumenti di accesso remoto per rubare dati. L'11,1% delle risposte agli incidenti in Europa proviene dalla Germania; 25,9 per cento dalla Svizzera.

Che si tratti di istituzioni finanziarie o aziende di telecomunicazioni, industria, trasporti e logistica, le organizzazioni europee di tutti i settori devono fare i conti con gli attacchi informatici. Quasi un quarto (24%) delle risposte agli incidenti analizzate da Kaspersky in tutto il mondo lo scorso anno ha riguardato l'Europa, che è seconda dopo il Medio Oriente (32,6%). Più frequentemente, file sospetti (36,2%), dati già crittografati (21,3%) o attività sospette sugli endpoint (10,6%) hanno attivato una risposta agli incidenti nelle aziende. Il problema con questo: la metà degli incidenti viene scoperta solo dopo poche settimane, quindi il danno è già stato fatto. Inoltre, un quarto degli incidenti di sicurezza è correlato a strumenti di gestione e accesso remoto legittimi, che le soluzioni di sicurezza fanno fatica a rilevare come attacchi e sono popolari nell'era del lavoro da casa.

Gli attacchi informatici a volte diventano evidenti solo in una fase avanzata

Da un lato, le aziende riconoscono gli attacchi informatici da evidenti effetti negativi come dati crittografati, perdita di denaro o dati trapelati, nonché da avvertimenti che ricevono dalle loro soluzioni di sicurezza. Analizzando le risposte agli incidenti in Europa, gli esperti di Kaspersky hanno rilevato che in più di un terzo (35,3%) dei casi, le vulnerabilità dei programmi sfruttati costituivano la porta di accesso alla rete aziendale. Sono stati identificati i seguenti vettori di attacco iniziale:

  • e-mail dannose (29,4 percento),
  • supporti dati esterni (11,8%),
  • Sfruttamento delle vulnerabilità dovute a configurazione errata (11,8%),
  • dati di accesso trapelati (5,9%)
  • e addetti ai lavori (5,9%)

Le aziende di tutti i settori sono interessate. Le risposte agli incidenti analizzate da Kaspersky provenivano da organizzazioni nei settori della finanza (25,4%), delle telecomunicazioni (16,9%), dell'industria (16,9%) e dei trasporti (13,6%). Circa ogni dodicesima risposta agli incidenti proveniva dalle autorità (8,5%).

Gli strumenti di gestione e accesso remoto sono un rischio per le aziende

Una volta entrati in rete, gli aggressori hanno abusato di strumenti legittimi per causare danni nel 25% delle risposte agli incidenti analizzate. Questi sono effettivamente utilizzati dagli amministratori IT e di rete, tra le altre cose, per risolvere i problemi e fornire supporto tecnico ai dipendenti. Tuttavia, consente ai criminali informatici di eseguire processi sugli endpoint, accedere ed estrarre informazioni sensibili, aggirando vari controlli di sicurezza utilizzati per rilevare malware.

Analizzando le risposte agli incidenti, gli esperti di Kaspersky sono stati in grado di identificare 18 diversi strumenti legittimi utilizzati in modo improprio dagli aggressori per scopi dannosi. La metà dei casi analizzati in Europa (50%) utilizzava il potente strumento di gestione PowerShell, che può essere utilizzato per molti scopi, dalla raccolta di informazioni all'esecuzione di malware, e PsExec, utilizzato per avviare processi su endpoint remoti. SoftPerfect Network Scanner, utilizzato per ottenere informazioni sugli ambienti di rete, nel 37,5% degli attacchi.

Il software legittimo offusca gli attacchi

"Per evitare il rilevamento e rimanere invisibili su una rete compromessa il più a lungo possibile, gli aggressori utilizzano spesso software progettato per le normali attività degli utenti, attività dell'amministratore e diagnostica di sistema", spiega Konstantin Sapronov, Head of Global Emergency Response Team di Kaspersky. “Questi strumenti consentono agli aggressori di raccogliere e navigare informazioni sulle reti aziendali, modificare le impostazioni software e hardware o persino eseguire azioni dannose: potrebbero utilizzare software legittimo per crittografare i dati dei clienti. Il software legittimo può aiutare gli aggressori a rimanere sotto il radar degli analisti della sicurezza, poiché spesso individuano l'attacco solo dopo che il danno è stato fatto. Non è possibile escludere questi strumenti per molte ragioni. Tuttavia, i sistemi di registrazione e monitoraggio correttamente implementati aiutano a rilevare attività sospette sulla rete e attacchi sofisticati nelle fasi precedenti.

Le aziende dovrebbero prendere in considerazione l'implementazione di una soluzione di rilevamento e risposta degli endpoint con un servizio MDR per rilevare e rispondere tempestivamente a tali attacchi. MITRE ATT&CK® Round 2 Evaluation [2], che ha valutato varie soluzioni come Kaspersky EDR e Kaspersky Managed Protection Service, può aiutare le organizzazioni a selezionare i prodotti EDR che soddisfano le loro esigenze. I risultati della valutazione di ATT&CK dimostrano l'importanza di una soluzione completa che combini un prodotto di sicurezza a più livelli completamente automatizzato e un servizio di ricerca manuale delle minacce.

Suggerimenti per la protezione di Kaspersky per le aziende

  • Limita l'accesso agli strumenti di gestione remota da indirizzi IP esterni e assicurati che le interfacce di controllo remoto siano accessibili solo da un numero limitato di endpoint.
  • Applicare una rigorosa politica delle password per tutti i sistemi IT e l'uso dell'autenticazione a più fattori.
  • Offri ai dipendenti privilegi limitati e concedi account con privilegi elevati solo a coloro che ne hanno bisogno per svolgere il proprio lavoro.
  • Installazione di una soluzione di sicurezza dedicata come Kaspersky Endpoint Security for Business [3] su tutti gli endpoint Windows, Linux e MacOS. Ciò consente la protezione contro minacce informatiche note e sconosciute e offre una gamma di opzioni di controllo della sicurezza informatica per ciascun sistema operativo.
  • Fornisci ai team SOC l'accesso alle più recenti informazioni sulle minacce tramite l'intelligence sulle minacce [4], in modo che rimanga aggiornato sugli strumenti, le tecniche e le tattiche degli attori delle minacce.
  • Creazione regolare di backup di tutti i dati aziendali rilevanti. In questo modo, i dati importanti che sono stati crittografati e resi inutilizzabili dal ransomware possono essere rapidamente ripristinati.

Ulteriori approfondimenti tratti dall'Incident Response Analyst Report di Kaspersky sono disponibili online.

Ulteriori informazioni su Kaspersky.com

 

A proposito di Kaspersky

Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/

 

Articoli relativi all'argomento

Piattaforma di sicurezza informatica con protezione per ambienti 5G

Lo specialista della sicurezza informatica Trend Micro svela il suo approccio basato su piattaforma per proteggere la superficie di attacco in continua espansione delle organizzazioni, inclusa la sicurezza ➡ Leggi di più

Manipolazione dei dati, il pericolo sottovalutato

Ogni anno, il 31 marzo, la Giornata mondiale del backup serve a ricordare l'importanza di backup aggiornati e facilmente accessibili ➡ Leggi di più

Le stampanti come rischio per la sicurezza

I parchi stampanti aziendali stanno diventando sempre più un punto cieco e pongono enormi problemi in termini di efficienza e sicurezza. ➡ Leggi di più

La legge sull’AI e le sue conseguenze sulla protezione dei dati

Con la legge sull’AI è stata approvata la prima legge sull’IA che concede ai produttori di applicazioni AI un periodo di sei mesi e mezzo ➡ Leggi di più

Sistemi operativi Windows: quasi due milioni di computer a rischio

Non sono più disponibili aggiornamenti per i sistemi operativi Windows 7 e 8. Ciò significa lacune di sicurezza aperte e quindi utile e ➡ Leggi di più

L'intelligenza artificiale su Enterprise Storage combatte il ransomware in tempo reale

NetApp è uno dei primi a integrare l'intelligenza artificiale (AI) e il machine learning (ML) direttamente nello storage primario per combattere il ransomware ➡ Leggi di più

Suite di prodotti DSPM per la sicurezza dei dati Zero Trust

Il Data Security Posture Management – ​​in breve DSPM – è fondamentale per le aziende per garantire la resilienza informatica contro la moltitudine ➡ Leggi di più

Crittografia dei dati: maggiore sicurezza sulle piattaforme cloud

Le piattaforme online sono spesso bersaglio di attacchi informatici, come recentemente è successo a Trello. 5 suggerimenti per garantire una crittografia dei dati più efficace nel cloud ➡ Leggi di più

Messaggi PR
, , , ,