Luca Maiocchi, Country Manager, Proofpoint, spiega le “zone oscure” delle app cloud e sollecita le aziende a “pensare” come cybercriminali e a trasformare il security awareness training in uno del pilastri della strategia di difesa
Oggigiorno quasi tutte le aziende al mondo sono clienti in un modo o nell’altro di un cloud computing provider e i cyber criminali, sempre alla ricerca di nuove opportunità, hanno sviluppato metodologie di attacco specifiche per questo tipo di applicazioni.
Un’area problematica della sicurezza in ambienti cloud è il cosiddetto “shadow IT” e cioè l’uso di app cloud non approvate o gestite dall’IT aziendale che rappresentano un rischio particolarmente elevato. Di recente I nostri ricercatori hanno analizzato i dati di oltre 1.000 cloud service customer con più di 20 milioni di account utente e trovato oltre 15 milioni di tentativi di login non autorizzati (o attacchi), di cui più di 400.000 andati a buon fine!.
Metodologie di attacco
Lo studio ha inoltre identificato le tre metodologie di attacco più di moda presso i cybercriminali: brute force attack, phishing all’interno dell’azienda, e applicazioni di terze parti che accedono a dati di Office 365 e G Suite. I malintenzionati si avvalgono di attacchi brute force in modo mirato e intelligente. L’abuso del protocollo Internet Message Access Protocol (IMAP) – che in realtà è un protocollo di autenticazione me che può essere utilizzato per bypassare l’MFA (Multi Factor Authentication) – è particolarmente diffuso.
Gli attacchi appaiono come login non andati a buon fine che sembrano non avere nulla a che fare l’uno con l’altro, in questo modo non saltano all’occhio e impediscono il blocco dell’account. Un dato solo: circa il 25% dei clienti Office 365 e G Suite sono state vittime di attività di password spraying IMAP-based, campagne molto efficaci e mirate agli utenti più di valore come gli executive e i loro amministrativi.
Spesso i cybercriminali non si limitano a usare i dati di login trafugati per accedere agli account colpiti, soprattutto quando il target non dispone delle autorizzazioni necessarie per trasferire danaro o condividere dati preziosi. In questi casi, i malintenzionati usano le credenziali per ampliare il loro accesso all’interno dell’organizzazione e infiltrare le applicazioni cloud di altri utenti.
I nostri ricercatori hanno riscontrato che oltre il 31% dei clienti ha avuto a che fare con campagne di phishing di successo. In questa tipologia di attacco, i cybercriminali usano account cloud violati per inviare email di phishing all’interno dell’azienda: questi messaggi appaiono affidabili agli occhi dei colleghi e i malintenzionati cambiano le regole di inoltro dell’email o si configurano come mandatori per mantenere l’accesso all’account. A volte usano anche gli attacchi ‘man-in-the-middle’ da un account violato, oltre a utilizzarli per inviare phishing e-mail a organizzazioni terze, contaminando così anche il loro ambiente cloud.
Tipico attacco di phishing che risulta in account cloud violati e abusati.
Un altro metodo di attacco si avvale di app di terze parti che accedono a dati Office 365 e G Suite. Infiltrazione o recupero di token OAuth viene effettuato tramite phishing, social engineering, malware o account compromessi. Si tratta di un modo persistente ma poco ovvio di ottenere dati e rappresenta un elevato rischio di compliance. Per contrastare tali attacchi è necessario monitorare costantemente l’uso di app di terze parti, i permessi OAuth concessi e la reputazione delle app stesse.
CASB alla riscossa
Come proteggersi da tali attacchi? In primis, guardate le vostre aziende come fanno i cybercriminali, focalizzandovi sul Fattore Umano.
Poi occorre cambiare l’approccio, adottare una visione people-centric e trasformare il security awareness training in uno del pilastri della vostra strategia di cyber difesa. Studiare da vicino i propri Very Attacked People (VAP), le persone particolarmente appetibili per via dei loro diritti di accesso.
Quindi focalizzarsi sulle difese tecniche per proteggere l’azienda da abusi di account cloud. Il Cloud Access Security Broker (CASB) svolge qui un ruolo cruciale perché può aiutare a gestire le app cloud, proteggere dalle minacce, salvaguardare i dati sensibili e assicurare la conformità della nuvola.
Gestione delle cloud app: il CASB gestisce app e servizi nel cloud e offre una vista centrale di tutti gli elementi dell’ambiente cloud.
–Difesa dalle minacce: il CASB aiuta a identificare gli attacchi cloud monitorando i login sospetti, oltre a usare strumenti anti-malware e di sandboxing per bloccare e analizzare gli attacchi. In alcuni casi, il CASB è collegato ai database delle imprese di cyber security e permette di riconoscere i metodi di attacco più recenti.
–Proteggere i dati sensibili: il CASB fornisce la possibilità di trovare e cancellare file condivisi esternamente o pubblicamente, oltre a contenere componenti che aiutano a prevenire le perdite di dati.
–Compliance: la conformità con le più recenti normative (GDPR ad esempio) può essere particolarmente complessa per i dati archiviati nel cloud. Grazie a monitoraggio, processi automatizzati e reporting, un CASB può aiutare a dimostrare la compliance.