Furti di credenziali, eccesso di gestione remota incontrollata, cloud, violazioni senza malware e l’avanzare delle tecniche di social engineering. Fino agli agenti segreti interni al soldo del cybercrime. Sono tanti gli elementi che stanno complicando il panorama già di per sé complesso degli attacchi cyber. Una crescita e sofisticazione delle minacce informatiche che sta imponendo per contro anche un nuovo ruolo da parte di chi il cybercrime lo combatte. E tra i fornitori di tecnologie ecco che la parte di intelligence sta assumendo un peso sempre più importante nella valutazione della strategia più adatta alla protezione delle aziende. Proprio su una forma di vera e propria intelligence avanzata Crowdstrike basa il proprio approccio alla sicurezza, appoggiandosi alle funzionalità della propria piattaforma integrata Falcon, potenziata dall’impiego dell’intelligenza artificiale.
Un nuovo approccio che risponde a un dinamismo delle minacce e alle speculari preoccupazioni da parte delle aziende che il vendor texano ha recentemente testato attraverso il proprio “Threat Hunting Report 2024”, l’indagine che annualmente effettua a livello globale e sulle quali Luca Nilo Livrieri, Director Sales Engineering Southern Europe di Crowdstrike, ci ha rilasciato qualche dettaglio.
Nuovi attaccanti “pedinati” da Crowdstrike
“Il mercato della sicurezza IT sta crescendo in maniera esponenziale, sia in termini di volumi di attacchi sia in relazione alla crescente sofisticazione delle tecniche utilizzate – commenta -. Le minacce interattive sono aumentate del 55% negli ultimi mesi, gestite spesso da gruppi criminali organizzati e specializzati. Un sottobosco criminale che alimenta business fino a poco tempo fa inediti, come quello degli Access Broker, vere e proprie imprese del cybercrime che vendono credenziali rubate sul dark Web. Credenziali che vengono utilizzate dagli attaccanti per accedere a infrastrutture sensibili, spesso di aziende che si affidano al cloud per la gestione dei loro dati e delle loro risorse”.
Il cloud, appunto, infrastrutture dal perimetro talmente indefinito da rappresentare oggi una delle superfici d’attacco preferite dai cybercriminali, in quanto proprio le piattaforme cloud sono spesso il punto di accesso critico per l’intera infrastruttura aziendale.
Controllo remoto, lateralizzazione e “agenti segreti” che operano dall’interno
Cresce l’abilità degli attaccanti di installare strumenti di gestione remota sui sistemi target. “Abbiamo osservato una tendenza crescente di attacchi in cui vengono installati tool di gestione remota per prendere il controllo dei sistemi da lontano – prosegue Livrieri -. Un tipo di attacco che sta diventando particolarmente preoccupante, perchè permette agli aggressori di mantenere un controllo prolungato sui sistemi aziendali, spesso senza destare sospetti immediati”. In alcuni casi, ha segnalato, gli attaccanti sono persino riusciti a corrompere dipendenti interni o, in maniera ancor più sofisticata, farsi assumere dalle stesse aziende che intendono attaccare, facilitando ulteriormente il processo di compromissione delle infrastrutture.
Ma non basta. Un ulteriore aspetto preoccupante che Crowdstrike rivela nel suo report è quello degli attacchi “cross-domain”, una tecnica che consente ai criminali informatici di muoversi lateralmente all’interno di un’infrastruttura una volta che hanno ottenuto l’accesso iniziale. “Una delle tecniche più comuni che abbiamo rilevato è quella dell’Escape to Host – rivela Livrieri -, tattica strategica che permette agli attaccanti di salire di livello, passando da una macchina virtuale a quella fisica, compromettendo così il controllo di sistemi critici e l’integrità complessiva delle infrastrutture”.
Crowdstrike mette in guardia dagli attacchi malware-free. Social engineering sempre più furbo
Mentre molti attacchi continuano a utilizzare malware tradizionali, Crowdstrike segnala parallelamente l’aumento degli attacchi cosiddetti “malware-free”. Attacchi che non richiedono l’installazione di software malevolo nei sistemi delle vittime. Non è più necessario scaricare un pacchetto di malware per compromettere un’azienda. Oggi, gli attaccanti sfruttano tecniche avanzate di social engineering per ottenere accessi, assolutamente legittimi, con credenziali rubate.
Social engineering altamente evoluti che stanno rimettendo in discussione il grado di protezione delle aziende, anche di quelle che adottano sistemi di autenticazione avanzata. “Nonostante l’autenticazione a due fattori sia oggi uno standard adottato da molte aziende, non è sempre sufficiente a prevenire gli attacchi – avvisa Livrieri -. I criminali riescono a sfruttare il social engineering evoluto per bypassare questi controlli di sicurezza, convincendo la vittima stessa a fornire volontariamente, pur non conoscendone il fine malevolo, i codici di verifica, compromettendo in questo modo anche i sistemi più sicuri”.
Vale sempre e comunque adottare un atteggiamento “zero trust” e far muovere i “detective”
Per contrastare la crescente sofisticazione delle minacce, ormai alle aziende non rimane che adottare modelli di sicurezza proattivi e su più livelli. Un approccio zero trust, che si basa sul concetto che nessun utente o dispositivo può essere considerato affidabile a priori, anche se si tratta di un dipendente interno, pare essere tra metodi più seguiti, prevedendo una gestione puntuale degli accessi, a garanzia che ogni azione sia autorizzata e monitorata attentamente.
Ma Crowdstrike sta affiancando a tutte queste misure, una fitta attività di intelligence per anticipare e prevenire gli attacchi. “Crowdstrike monitora costantemente oltre 245 gruppi criminali organizzati, suddivisi tra attori criminali, governativi e attivisti. Un’attività di intelligence che ci consente di comprendere in profondità le tecniche, le tattiche e le procedure adottate da questi gruppi, permettendoci di proteggere i nostri clienti in maniera preventiva”, ha dichiarato Livrieri, che ha tenuto a sottolineare anche il fatto che Crowdstrike non si limita a fornire protezione passiva, fermamente convinta che sia importante essere allenati a rispondere agli attacchi. Un allenamento possibile grazie ai servizi simulazione degli attacchi proposti dal vendor.
“Simuliamo attacchi specifici per il settore del cliente, come esercitazione nella risposta agli incidenti – ha spiegato, concludendo, Livrieri -. Una preparazione che coinvolge tutti i reparti dell’azienda, alla stregua di quanto avviene con le esercitazioni antincendio, utile per minimizzare l’impatto di un attacco reale: sapere come reagire può fare la differenza tra un incidente contenuto e una compromissione totale dei sistemi”.
