Visto l’elevato numero di attacchi Zero Day, Massimiliano Galvagna, Country Manager di Vectra AI per l’Italia, spiega perché affidarsi solo alle misure di sicurezza tradizionali non è più sufficiente.
Gli attacchi Zero-Day nei dispositivi edge di rete stanno rapidamente diventando uno degli attacchi informatici più sfruttati dai criminali. Un recente report delle agenzie di cybersecurity di Alleanza Five Eyes – che raggruppa Usa, Uk, Australia, Canada e Nuova Zelanda –- evidenzia questa tendenza segnalando un cambiamento rispetto agli anni precedenti. Per la prima volta, la maggior parte delle 15 vulnerabilità è stata inizialmente sfruttata come Zero-Day “facendo tesoro” di difetti critici. Come ad esempio quelli dell’esecuzione di codice in modalità remota del router Citrix NetScaler o della VPN di Fortinet. Questo ha permesso di ottenere il controllo dei sistemi firewall Fortinet, minando le difese della rete.
Come operano i criminali
Gli hacker utilizzano queste vulnerabilità per compromettere migliaia di dispositivi. Ottenendo in questo modo un accesso continuativo e installando webshell per il controllo a lungo termine. Questo dà priorità proprio allo sfruttamento delle vulnerabilità Zero-Day appena divulgate per infiltrarsi nelle reti delle organizzazioni.
Le fragilità dei dispositivi edge negli Zero Day Attack
L’interesse per i dispositivi perimetrali come punti di accesso nasce dal fatto che questi risiedono al confine delle reti principali. La loro compromissione può garantire agli aggressori un “facile” punto di ingresso e d’appoggio all’interno delle reti stesse. Casi come quelli citati dimostrano anche che i dispositivi di sicurezza possono diventare passivi. Infatti gli hacker, violando questi apparati, possono manipolare o disabilitare le funzionalità di sicurezza, rendendo inefficaci i controlli tradizionali.
Serve un cambio di strategia
Gli strumenti di sicurezza tradizionali spesso non sono infatti in grado di rilevare attività dannose provenienti da dispositivi come i firewall. Poiché questi dispositivi sono considerati sicuri per impostazione predefinita, i comportamenti anomali possono passare inosservati. Una volta compromessi, i dispositivi possono essere utilizzati impunemente per agire in tutta l’organizzazione, diventando potenti strumenti per gli aggressori per intensificare le loro attività. Per esempio, grazie alle vulnerabilità CVE-2024-3400 di PAN-OS gli aggressori sono stati in grado di scaricare le configurazioni del firewall, raccogliere le credenziali e disabilitare le registrazioni e gli alert.
Accesso completo alla rete
In particolare, una volta all’interno della rete, gli aggressori in genere si impegnano in diverse attività post-compromissione, in particolare:
- Ricognizione. I cyber criminali analizzano l’architettura di rete, identificano le strutture di Active Directory. Inoltre individuano server o database con informazioni di alto valore come nell’attacco SolarWinds.
- Raccolta delle credenziali. Gli aggressori estraggono le credenziali per aumentare i privilegi e ottenere un accesso completo alla rete. Ciò comporta spesso l’acquisizione di password memorizzate, l’utilizzo di strumenti per il download delle credenziali o il loro furto da configurazioni di sistemi compromessi. Nel caso dell’attacco Midnight Blizzard sono stati utilizzati phishing e malware per rubare credenziali con privilegi elevati permettendo l’accesso a sistemi di posta elettronica sensibili e ambienti cloud.
Il diverso approccio degli Zero Day Attack
- Movimento laterale. I criminali usano protocolli come SMB, RDP e WinRM per spostarsi tra i sistemi. Espandendo così la loro posizione all’interno dell’organizzazione e arrivando a infettare numerosi endpoint come nell’attacco ransomware WannaCry.
- Esfiltrazione dei dati. Gli aggressori raccolgono e trasferiscono dati sensibili al di fuori della rete. Spesso crittografandoli o inviandoli a server esterni sotto il loro controllo, utilizzandoli per estorsioni, la vendita sul dark web o sfruttati per ulteriori attacchi. Ciò è accaduto con il ransomware Clop che ha sfruttato la vulnerabilità MOVEit Transfer per rubare dati sensibili da centinaia di organizzazioni, utilizzandoli successivamente per ottenere dalle vittime denaro.
- Mantenere l’accesso. Gli aggressori creano backdoor per mantenere l’accesso continuo alla rete compromessa. Nel 2023, gli attori delle minacce hanno sfruttato un approccio Zero-Day alle vulnerabilità di Citrix NetScaler ADC per installare webshell che fornivano un accesso persistente.
Oltre gli strumenti tradizionali
Alla luce di questi attacchi sofisticati, affidarsi esclusivamente alle misure di sicurezza tradizionali non è più sufficiente. Le organizzazioni hanno bisogno di un sistema avanzato per rilevare le attività dannose che bypassano o provengono da dispositivi compromessi. In particolare occorre dotarsi di soluzioni di Network Detection and Response (NDR) in quanto permettono:
- rilevamento indipendente delle minacce. L’NDR opera separatamente dalla sicurezza degli endpoint e dai dispositivi compromessi, garantendo una visibilità continua.
- Analisi comportamentale. Analizzando i modelli di traffico di rete, l’NDR può identificare anomalie indicative di ricognizione, movimento laterale e altre attività dannose.
- Rilevamento rapido. Le soluzioni NDR come quella di Vectra AI utilizzano modelli avanzati di apprendimento automatico per rilevare le minacce in tempo reale, riducendo al minimo la finestra di opportunità per gli aggressori.
- Copertura completa. I tool NDR monitorano tutto il traffico di rete, comprese le comunicazioni interne spesso sfruttate durante il movimento laterale.
In questa direzione la piattaforma di Vectra AI è progettata specificamente per identificare, indagare. E, non da ultimo, per rispondere alle minacce che sono sfuggite o hanno avuto origine da un’infrastruttura di sicurezza compromessa. La tecnologia proprietaria Attack Signal Intelligence di Vectra AI sfruttando l’intelligenza artificiale avanzata e l’apprendimento automatico (ML) permette di analizzare il traffico di rete in tempo reale e rilevare anche i minimi segnali di comportamenti dannosi.
