Come evidenzia Lavi Lazarovitz, Head of Security Research di CyberArk, le conseguenze di un attacco informatico possono essere devastanti.
Accenture si occupa di realizzare periodicamente specifici studi sul costo degli attacchi informatici. Il rapporto, giunto alla nona edizione, mette in luce l’impatto economico delle attività criminali. Negli anni, il bilancio finanziario medio di un attacco informatico è salito da 1,4 a 13 milioni di dollari.
Considerando la prima metà del 2020 come un possibile indicatore dei trend attuali, è possibile affermare che questo valore continuerà ad aumentare.
Gli aggressori stanno potenziando le loro campagne per sfruttare le opportunità emergenti, come per esempio quelle associate al cambiamento degli ambienti di lavoro e allo smart working.
Non solo, man mano che le aziende spostano i carichi di lavoro nel cloud e adottano strumenti di collaborazione per supportare la forza lavoro remota, corrono il rischio di esporre documenti e flussi di lavoro a possibili attacchi.
Mantenere la continuità aziendale e la resilienza di fronte a questo panorama di minacce significa conoscere modi e mentalità degli attaccanti. Se le motivazioni possono variare, dal guadagno finanziario e spionaggio all’interruzione dei servizi aziendali, il ciclo di attacco rimane costante.
Accessi privilegiati e minacce
In primo luogo, i cybercriminali utilizzeranno mezzi comuni, come phishing o vulnerabilità di un software noto, per ottenere un punto d’appoggio sulla rete target. Successivamente, cercheranno di sfruttare gli account con privilegi più elevati a fini di ricognizione o per mantenere una connessione continuativa sulla rete, per lanciare ulteriori attacchi. Senza accesso privilegiato, la stragrande maggioranza dei tentativi è stroncata in partenza.
Ottenere privilegi d’accesso è una priorità per i malintenzionati. La costante proliferazione di account per accedere a molteplici servizi espone il fianco a possibili attacchi. I processi aziendali critici, le applicazioni e le istanze cloud, ad esempio, hanno account con privilegi associati, necessari per gestirli e proteggerli.
La protezione tramite l’accesso con privilegi consente di ridurre la superficie di attacco, rendendo meno efficace il set di strumenti a disposizione dei criminali, limitando la diffusione di attività pericolose. Vincolare il “movimento laterale” costringe gli aggressori a usare tattiche che prevedono azioni più incisive e, perciò, più identificabili.
Accessi privilegiati e minacce, bloccare un attacco sul nascere
Secondo le analisi dei CyberArk Labs relativamente ai vettori di attacco informatico comuni e alle tattiche di diffusione, esistono quattro modalità per la difesa delle imprese attraverso la gestione degli accessi privilegiati.
Una volta che gli aggressori ottengono l’accesso alla rete, useranno una varietà di tecniche per aumentare i propri privilegi, al fine di ottenere autorizzazioni di livello superiore e avviare il movimento laterale.
In questa fase, gli attaccanti sfruttano l’elevata quantità di architetture e relative configurazioni, e le possibili falle di aggiornamento e definizione delle policy.
Secondo uno studio condotto dal Ponemon Institute, nel 2019, il 60% delle violazioni dei dati è avvenuto a causa di vulnerabilità non opportunamente verificate e risolte. Tali vulnerabilità rappresentano vere e proprie “porte aperte” per intrufolarsi in rete ed esfiltrare dati. In questa fase, un aspetto critico è legato al modo in cui gli aggressori possono utilizzare la loro posizione di accesso iniziale per aumentare i propri privilegi. Ciò semplifica enormemente il movimento laterale attraverso differenti reti interconnesse, distribuite e decentralizzate.
L’escalation dei privilegi è la criticità principale e può consentire a un utente malintenzionato di eseguire diversi passaggi, come ad esempio, ottenere una presenza persistente nella rete. Potrà inoltre creare backdoor aggiuntive e accedere alle risorse critiche. Una moderna architettura di gestione degli accessi privilegiati applica il principio dei “privilegi minimi”, che consente agli utenti di avere unicamente l’accesso necessario per eseguire le attività essenziali. Ciò consente di limitare le autorizzazioni di amministratore e Super User, riducendo ulteriormente la superficie di attacco complessiva.
Accessi privilegiati e minacce – prevenire i movimenti laterali
Il movimento laterale è una tattica, spesso interconnessa con l’escalation dei privilegi, progettata per consentire agli aggressori di controllare i sistemi di una rete, usando un movimento laterale per progredire dal punto d’appoggio originale e recuperare preziose informazioni.
Accedendo con privilegi elevati, gli utenti malintenzionati possono spostarsi in modo efficace e indisturbati, da ambienti on-premise a cloud, e viceversa. Anche in questo caso, una gestione oculata di permission e account consente di limitare i danni derivanti da una possibile attività criminale.
Rallentare la diffusione del ransomware
Come ormai noto da tempo, i ransomware rappresentano una minaccia complessa e molto costosa per le aziende. Sebbene l’attacco inizi generalmente su un endpoint, l’obiettivo finale è quello di crittografare archivi di file, applicazioni e sistemi. Compromettere una intera rete significa avere una organizzazione “in ostaggio” e poter richiedere qualsiasi riscatto!
Il passaggio da endpoint a rete è un aspetto critico della strategia ransomware. Cybersecurity Ventures stima che il costo globale del ransomware sarà superiore a 20 miliardi di dollari entro il prossimo anno e prevede che gli attacchi ransomware verso le aziende raggiungeranno una velocità di uno ogni 11 secondi.
Nello scenario moderno, che vede le imprese sempre più interconnesse, un attacco ransomware che va a buon fine si può tradurre in un fermo della produzione, con importanti ricadute economiche e di immagine.
Proprio per questo, una definizione attenta dei meccanismi di accesso è cruciale. Sulla base delle analisi dei CyberArk Labs, che hanno verificato oltre 2,5 milioni di varianti di ransomware, la rimozione dei diritti di amministratore locale, combinata al controllo delle applicazioni sugli endpoint, risulta efficace al 100% nel fermare questo tipo di minacce.
Accessi privilegiati e minacce – prevenire l’acquisizione degli account
I cosiddetti attacchi “account takeover” sono particolarmente sofisticati e mirati; sono progettati per dare ai criminali il maggior controllo possibile su un dato ambiente. Questa modalità è molto usata, con particolare attenzione per gli account con accesso sempre attivo.
Anche in questo caso, l’accesso con profili di alto livello garantisce l’operatività indisturbata da parte degli aggressori, che possono compromettere il controller di dominio e le logiche di gestione di Microsoft Active Directory.
Per impedire simili attività è possibile abilitare piattaforme per la gestione dei privilegi con funzionalità “just-in-time”. Ciò aiuta a definire livelli appropriati di accesso alle risorse giuste, per il giusto lasso di tempo, eliminando gli account “always on”. Questo rende la vita dell’attaccante molto più difficile, impedendo l’escalation dei privilegi e limitando il movimento laterale.
Come abbiamo visto, la compromissione degli account è alla base del ciclo stesso di attacco. I dettagli e le informazioni circa questo tipo di attività posso essere trovati sul Gartner 2020 Magic Quadrant for Privileged Access Management(autori: Felix Gaehtgens, Abhyuday Data, Michael Kelley).
Gartner non sostiene alcun vendor, prodotto o servizio descritto nelle proprie pubblicazioni di ricerca, né suggerisce agli utenti di tecnologie di scegliere solo le aziende con la valutazione più alta o altre nomine. Le pubblicazioni delle ricerche di Gartner riguardano le opinioni dell’organizzazione di ricerca Gartner e non devono essere considerate dichiarazioni di fatto. Gartner declina ogni garanzia, espressa o implicita, in relazione a questa ricerca, incluse le garanzie di commerciabilità o idoneità per uno scopo specifico.
In primo luogo, i cybercriminali utilizzeranno mezzi comuni, come phishing o vulnerabilità di un software noto, per ottenere un punto d’appoggio sulla rete target. Successivamente, cercheranno di sfruttare gli account con privilegi più elevati a fini di ricognizione o per mantenere una connessione continuativa sulla rete, per lanciare ulteriori attacchi. Senza accesso privilegiato, la stragrande maggioranza dei tentativi è stroncata in partenza.
