Darktrace commenta il recente Cloud Threat Report 2019, e racconta nove storie di attacchi realmente accaduti sul cloud, identificati e neutralizzati dall’IA.
I limiti della sicurezza nativa
I servizi cloud e le applicazioni SaaS sono utilizzati sempre di più e ritenuti affidabili sia dalle piccole imprese che cercano di ridurre i costi sia dalle aziende di maggiori dimensioni che vogliono investire in progetti di trasformazione oggi indispensabili.
Tuttavia, la maggiore collaborazione offerta dal cloud espone le aziende a nuove tipologie di minacce informatiche, attacchi di social engineering sofisticati e ransomware in rapido movimento, oltre ad attività lente e furtive ad opera di malintenzionati all’interno dell’organizzazione, che possono infiltrarsi subdolamente nella rete o manipolare i dati per giorni o addirittura settimane.
I controlli di sicurezza nativi offerti dai provider Saas e IaaS possiedono una portata limitata e sono circoscritti più che altro a ragioni di compliance piuttosto che offrire una vera e propria difesa informatica proattiva e in tempo reale. Inoltre, le soluzioni per l’accesso al cloud di terze parti sono di norma basate su regole e policy predefinite che non hanno la capacità di individuare nuove minacce subdole e comportamenti anomali.
La cyber IA per il cloud
L’intelligenza artificiale di Darktrace per il cloud è in grado di rilevare e rispondere autonomamente sia agli attacchi esterni che alle minacce interne nel giro di pochi secondi, pur offrendo una visibilità completa e unificata di tutto il business digitale.
Proteggendo gli ambienti multi-cloud e hybrid-cloud, l’IA di Darktrace risponde anche alle minacce emergenti, mai rilevate in precedenza, garantendo ai team di sicurezza una copertura 24 ore su 24. Darktrace si integra perfettamente con i firewall ed è compatibile con tutti i principali provider cloud e Saas.
L’efficienza promessa dai servizi cloud e SaaS non deve andare a discapito della sicurezza, al contrario è necessario ottenere una visibilità completa sul cloud e sul traffico della posta elettronica per comprendere quando un’attività sospetta rappresenti un serio pericolo per l’organizzazione. L’intelligenza artificiale di Darktrace è l’unica tecnologia che rileva le minacce informatiche emergenti in ambienti cloud che tendono a passare solitamente inosservate dagli altri strumenti.
Spoofing email in Office 365
Lo spoofing email implica la registrazione di un dominio apparentemente legittimo molto simile a quello del contatto di posta elettronica di un individuo o servizio fidato, in modo che un utente malintenzionato possa ingannare il proprio destinatario lasciandolo all’oscuro e infiltrarsi in una rete con facilità. Per anni questo metodo ha permesso agli aggressori di eludere i controlli tradizionali, poiché un dominio appena registrato aveva la capacità non solo di ingannare chi riceveva il messaggio ma anche di eludere le soluzioni implementate basate sulle blacklist.
In un’azienda che si occupa della distribuzione dell’energia elettrica, l’intelligenza artificiale ha rilevato un tentativo di spoofing molto convincente in un account di posta elettronica di Office 365. L’email era stata inviata apparentemente dal CEO della società a un dipendente dell’ufficio paghe chiedendo che aggiornasse le sue informazioni per l’accredito sul conto.
Dal momento che l’e-mail imitava correttamente anche lo stile di scrittura del CEO, l’attacco sarebbe avvenuto con successo se l’intelligenza artificiale non avesse analizzato a priori il flusso della posta di Office 365 dell’intera azienda, identificando immediatamente le anomalie anche più impercettibili nell’e-mail e attivando la risposta autonoma che ha bloccato i link nella posta elettronica contrassegnandoli chiaramente come spoofing, prima che raggiungessero l’ufficio paghe.
Responsabile IT insoddisfatto
Un’azienda retail ha deciso di riorganizzare il proprio dipartimento IT, cancellando alcune posizioni. Un responsabile IT, scontento del licenziamento, si è trasformato in un pericolo per l’organizzazione: ha scaricato i dati di contatto e i numeri delle carte di credito dal database dei clienti, trasferendoli su un server domestico tramite un servizio di trasferimento dati abilitato dall’azienda. Il responsabile IT sapeva che il servizio non solo non era monitorato in base alle policy aziendali ma era anche basato su cloud, e ha quindi supposto che il team di sicurezza avrebbe avuto una visibilità limitata sulle sue azioni. Eppure, sebbene l’attività avesse eluso senza alcun problema i controlli nativi del provider cloud, l’intelligenza artificiale ha scoperto il comportamento minaccioso in pochi secondi, evidenziando i collegamenti e i download altamente sospetti sul dispositivo del dipendente, anche all’interno dell’attività caotica dell’ambiente aziendale.
Dati sensibili e informazioni personali non crittografati su AWS
Un governo municipale degli Stati Uniti che esternalizza i propri database su un servizio cloud di terze parti non è riuscito a configurare correttamente i propri protocolli. Di conseguenza, gli indirizzi, i numeri di telefono e i numeri di immatricolazione dei veicoli dei residenti sono stati caricati su un database esterno tramite connessioni non criptate.
Questi dati, altamente sensibili, erano destinati a un accesso limitato da parte dei dipendenti comunali, ma la svista di sicurezza li ha resi disponibili a qualsiasi aggressore in grado di analizzare il perimetro della rete.
L’azienda non era a conoscenza della configurazione errata, poiché non era stata rilevata dagli strumenti di sicurezza tradizionali. Darktrace ha rivelato come stava avvenendo la trasmissione dei dati sensibili agli aggressori, che potevano accedervi per raccogliere materiale utile a futuri attacchi di spear phising o persino a frodi d’identità.
Violazione in SharePoint
Una volta sottratte le credenziali per accedere a un servizio SaaS, i criminali informatici di norma eseguono script frequenti per identificare rapidamente i file che contengono parole chiave come “password”. È quello che è successo in un caso che ha coinvolto una banca europea in cui gli aggressori hanno scoperto un file di Office 365 SharePoint che conteneva password non crittografate.
Dato che avevano già aggirato i sistemi di sicurezza convenzionale, i criminali si aspettavano di essere fuori pericolo, tuttavia, l’intelligenza artificiale ha identificato immediatamente un’attività anomala rispetto al comportamento “normale” della rete bancaria, rilevando l’accesso insolito a questi file sensibili. La comprensione del business e delle dinamiche che caratterizzano utenti e dispositivi da parte di un’intelligenza artificiale in costante crescita si è dimostrata fondamentale; in altre circostanze l’attività sospetta poteva essere considerata innocua, ma in questo caso si è rivelata maligna e, se non individuata in tempo, avrebbe permesso agli hacker di sfruttare le password in chiaro per intensificare i propri privilegi e infiltrarsi ulteriormente nella rete aziendale. Con l’IA il perimetro del cloud è stato messo in sicurezza prima che l’attacco potesse degenerare in una vera e propria crisi.
Minaccia Zero-Day
Gli strumenti di sicurezza tradizionali che ricercano i tratti riconoscibili e pre-definiti di un attacco sono ciechi di fronte alle nuove varietà di minaccia e, di conseguenza, falliscono costantemente nella rilevazione dei nuovi malware.
Una comprensione completa del comportamento del traffico su tutta la rete e il cloud, al contrario, consente di individuare le attività insolite di ogni tipo, consentendole di intervenire anche in risposta ai trojan zero-day.
All’interno di una casa editrice, per esempio, Darktrace ha identificato un’e-mail sospetta inviata dall’account Office 365 di un dipendente, che sembrava provenire da un collega fidato che sembrava voler richiedere una fattura, mentre la mail conteneva il link per il download di un malware nascosto. Si trattava di un collegamento mai visto prima, che aveva aggirato gli strumenti tradizionali e non è stato elencato come sospetto in nessuna blacklist basata su regole, almeno fino al giorno successivo.
Sebbene l’attacco mostrasse i livelli di sofisticazione indicativi di una cyber criminalità organizzata, l’intelligenza artificiale ha stabilito che la mail fosse molto sospetta e rappresentasse una minaccia.
Credenziali utente compromesse
I criminali informatici possono avere accesso alle credenziali di un account aziendale sfruttando diverse tecniche: dagli attacchi di social engineering ai malware “intelligenti” che si infiltrano nel traffico e negli asset cloud alla ricerca di password.
Nel caso di un’organizzazione internazionale, per esempio, un attacco ha compromesso un account Office 365 ignorando i controlli di sicurezza nativi. L’azienda ha utilizzato uno strumento di sicurezza Microsoft che però non è stato in grado di identificare la manomissione perché si limitava a rilevare gli indirizzi dannosi già noti. Questo particolare link di phishing non appariva nelle sue blacklist, mostrando i limiti evidenti di un approccio basato su firme.
Nonostante l’azienda possedesse sedi in ogni angolo del mondo, l’intelligenza artificiale ha identificato un tentativo di accesso da un indirizzo IP insolito e ha subito creato una nuova regola di elaborazione della posta elettronica per eliminare le e-mail in arrivo sull’account, contenendo la minaccia in pochi secondi.
Configurazione errata del cloud
Dalla configurazione errata di un ambiente cloud possono derivare vulnerabilità potenzialmente fatali per i sistemi di un’azienda, e nessuna infrastruttura può dirsi perfetta.
Nel caso di una società di servizi finanziari, la configurazione dei controlli cloud nativi ha lasciato esposto su Internet un server core, anziché isolarlo con un firewall. La causa del problema potrebbe essere stata una migrazione rapida e caotica o la mancanza di familiarità dei dipendenti con i controlli nativi offerti dal Cloud Service Provider.
La criticità, della quale il team di sicurezza non era a conoscenza, è stata scoperta e sfruttata dai criminali informatici dopo aver eseguito una scansione periodica di Internet via Shodan. In pochi secondi, tuttavia, l’IA ha rilevato che il dispositivo stava ricevendo una quantità insolita di tentativi di connessione in entrata da una vasta gamma di fonti esterne, rare e ha mitigato la minaccia.
Proprietà intellettuale non crittografata in Azure
Un’ impresa manifatturiera in Europa utilizzava un server Microsoft Azure per conservare file di schede di prodotto e proiezioni di vendita. Nel momento in cui un dispositivo ha scaricato un file ZIP da un raro indirizzo IP esterno, ritenuto estremamente anomalo.
Successivamente, è stato scoperto che il file ZIP era accessibile a chiunque fosse a conoscenza dell’URL della pagina, che si poteva ottenere semplicemente intercettando il traffico di rete, dall’interno o dall’esterno. La perdita o il furto dei file sensibili in questione avrebbe potuto mettere a rischio un’intera linea di prodotti ma Darktrace ha individuato e risolto la minaccia immediatamente, proteggendo le informazioni dell’azienda.
Attacco alla supply chain
Sottraendo i dettagli dell’account di un contatto fidato all’interno della supply chain aziendale, gli aggressori più preparati possono ottenere facilmente la fiducia del destinatario e indurlo a cliccare su un collegamento maligno.
In una casa di produzione cinematografica di Los Angeles, per esempio, un criminale ha utilizzato le credenziali di Office 365 rubate a un contatto per leggere la corrispondenza con un altro dipendente, inviando una risposta all’ultima e-mail ricevuta che rispecchiava perfettamente lo stile di scrittura del contatto rubato e il senso del contesto delle discussioni precedenti, includendo però un link dannoso alla comunicazione.
L’intelligenza artificiale ha capito che questo contatto fidato era in realtà un aggressore che aveva dirottato l’account. Riconoscendo questo collegamento come raro sia per il mittente sia per il destinatario alla luce dei loro scambi precedenti, ha avvisato il dipendente e neutralizzato il payload malevolo.