Ottobre è il Cybersecurity Awareness Month, ossia il mese che ricorda l’importanza di proteggere le risorse digitali. Se da un lato le nuove soluzioni innovative di cloud e di AI generativa oggi aiutano le imprese ad innovare, dall’altro è cruciale capire come queste soluzioni abbiano aumentato la complessità delle attuali minacce informatiche e come le organizzazioni possano affrontarle. Ecco perché IBM, in qualità di leader nelle aree della security, del cloud, dell’AI a livello globale, invita le aziende ad adottare un approccio proattivo per integrare la sicurezza in tutti gli aspetti della loro attività.
A tal fine, l’IBM X-Force Cloud Threat Landscape Report 2024 fornisce una panoramica approfondita sui rischi più impattanti che le organizzazioni si trovano ad affrontare oggi e sul perché l’applicazione di adeguate strategie di mitigazione della sicurezza per gli ambienti cloud sia fondamentale per il successo di un’organizzazione. Grazie agli insight sulle minacce, all’impegno nel fornire soluzioni per fronteggiare gli incidenti e alle partnership con Cybersixgill e Red Hat Insights, il team X-Force di IBM offre una visione unica di come i cybercriminali stiano perpetrando diverse tipologie di attacchi che compromettono l’infrastruttura cloud, sfruttando gli attacchi adversary-in-the-middle (AITM), oltre alla posta elettronica aziendale (BEC).
Ad esempio, il report di quest’anno evidenzia come l’interesse dei criminali informatici si focalizza sulle credenziali, che sono le chiavi degli ambienti cloud e, pertanto, sono molto ricercate nel dark web. Per questo, utilizzano phishing, keylogging, watering hole e attacchi brute force per rubare le credenziali. Inoltre, la ricerca sul dark web evidenzia la popolarità degli infostealer, utilizzati per rubare le credenziali specifiche di piattaforme e servizi cloud.
Alcune delle principali evidenze del report di quest’anno hanno messo in luce alcuni metodi di attacco sofisticati e modalità di sfruttamento degli ambienti cloud, tra cui:
- Il phishing è il principale vettore di accesso iniziale: Negli ultimi due anni, il phishing ha rappresentato il 33% degli incidenti legati al cloud, con i cybercriminali che spesso utilizzano il phishing per rubare le credenziali attraverso attacchi adversary-in-the-middle (AITM).
- Gli attacchi BEC (Business Email Compromise): Gli attacchi BEC, in cui i criminali informatici falsificano gli account di posta elettronica spacciandosi per qualcuno dell’organizzazione vittima o di un’altra organizzazione fidata, hanno rappresentato il 39% degli incidenti negli ultimi due anni. Gli autori delle minacce di solito sfruttano le credenziali raccolte dagli attacchi di phishing per impadronirsi degli account e-mail e condurre ulteriori attività malevole.
- Continua la richiesta di credenziali cloud sul dark web, nonostante la saturazione del mercato: L’accesso tramite credenziali cloud compromesse è stato il secondo vettore di accesso iniziale più comune con il 28%, nonostante le menzioni complessive di piattaforme SaaS sui marketplace del dark web siano diminuite del 20% rispetto al 2023.
Il phishing AITM porta alla compromissione della posta elettronica aziendale e all’acquisizione delle credenziali
Il phishing AITM è una forma più sofisticata di attacco di phishing in cui i cybercriminali si posizionano tra la vittima e un’entità legittima per intercettare o manipolare le comunicazioni. Questo tipo di attacco è particolarmente pericoloso perché può aggirare alcune forme di MFA, rendendolo uno strumento potente per i criminali informatici.
Una volta entrati nell’account della vittima, gli attori delle minacce cercano di portare a termine i loro obiettivi. Due delle azioni più comuni osservate da X-Force sono state gli attacchi BEC (39%) e la raccolta di credenziali (11%). Ad esempio, dopo aver compromesso una piattaforma di posta elettronica ospitata nel cloud, un aggressore potrebbe eseguire diverse operazioni, come intercettare comunicazioni sensibili, manipolare transazioni finanziarie o utilizzare gli account di posta elettronica compromessi per condurre ulteriori attacchi.
Utilizzare le informazioni sulle minacce alla sicurezza per aggiornare i programmi di formazione dedicati ai dipendenti dell’azienda può essere fondamentale per contribuire a mitigare tutte le forme di attacchi di phishing, compreso l’AITM. I dipendenti devono essere preparati a riconoscere con precisione e a segnalare ai team IT o ai responsabili della sicurezza le tecniche di phishing, le e-mail spoofed e i link sospetti. Anche l’integrazione di strumenti avanzati di filtraggio e protezione delle e-mail che sfruttano l’intelligenza artificiale per rilevare e bloccare i tentativi di phishing, i link e gli allegati dannosi prima che possano raggiungere gli utenti finali è una strategia di mitigazione efficace. Infine, le opzioni di autenticazione senza password, come il codice QR o l’autenticazione FIDO2, possono contribuire a proteggere dagli attacchi di phishing AITM.
Ottenere l’accesso tramite credenziali cloud è diventato più conveniente che mai
Il costo medio per credenziali cloud compromesse nel dark web nel 2024 è di 10,23 dollari, in calo del 12,8% rispetto al 2022. Questo calo di costo, oltre alla diminuzione del 20% delle menzioni complessive di piattaforme SaaS sui marketplace del dark web, potrebbe indicare che il mercato di queste credenziali sta diventando eccessivamente saturo. Tuttavia, riflette anche una crescente disponibilità di queste credenziali che gli autori delle minacce possono sfruttare prima e durante gli attacchi. Non sorprende quindi che più di un quarto degli incidenti legati al cloud coinvolga l’uso di credenziali valide, che lo rendono il secondo vettore di attacco iniziale più comune. Con la diminuzione del costo delle credenziali cloud in vendita, per i cybercriminali sta diventando più conveniente compromettere le organizzazioni accedendo con credenziali valide.
Il desiderio degli aggressori di ottenere le credenziali del cloud per scopi malevoli e profitti illeciti è evidente anche dalla continua tendenza al furto di credenziali da parte di infostealer specificamente progettati per esfiltrare le credenziali dai servizi cloud. Questa minaccia evidenzia la necessità per le organizzazioni di gestire la propria esposizione informatica e il rischio digitale. Le aziende dovrebbero cercare una soluzione che si concentri specificamente sulla scoperta, l’indicizzazione e il tracciamento di operatori, malware e dati attraverso le fonti del clear web e del deep e dark web. Il rilevamento tempestivo delle credenziali compromesse consente di adottare misure di risposta rapide, come la reimpostazione delle password e la modifica dei controlli di accesso, per prevenire potenziali violazioni future.
Un framework solido per migliorare la sicurezza del cloud
La sicurezza del cloud è particolarmente importante nell’ambiente aziendale odierno, in cui le imprese migrano sempre più spesso i dati aziendali critici dalle soluzioni on-prem agli ambienti cloud. Parallelamente a questa migrazione tecnologica si affianca un panorama di minacce informatiche in evoluzione, in cui i criminali informatici cercano attivamente di compromettere la forte dipendenza delle organizzazioni dalle infrastrutture cloud, in particolare quelle che gestiscono dati aziendali sensibili. Questa crescente dipendenza dall’infrastruttura cloud non ha fatto altro che ampliare la superficie potenziale di attacco e per questo motivo la protezione del cloud è più cruciale che mai.
Finché gli ambienti cloud delle vittime rimarranno accessibili attraverso credenziali valide, i criminali informatici continueranno a cercarli e ad utilizzarli per i loro attacchi, sia attraverso il phishing, che attraverso la compromissione delle e-mail aziendali (BEC) o la loro vendita sul dark web. Come si evince dal 2024 Cost of a Data Breach di IBM report, le implicazioni finanziarie e le interruzioni dell’attività per le organizzazioni continuano a crescere.
Questi esempi illustrano l’impatto ad ampio raggio delle credenziali rubate nel cloud, dal furto di proprietà intellettuale alla diffusione di ransomware. Gli aggressori possono utilizzare credenziali valide per non essere individuati e aggirare le misure di sicurezza standard, rendendo gli attacchi basati sulle credenziali una minaccia significativa e continua per le organizzazioni.
Adottando un approccio olistico alla sicurezza del cloud, che includa la protezione dei dati, una strategia di gestione dell’identità e dell’accesso (IAM), la gestione proattiva dei rischi e la preparazione a rispondere a un incidente nel cloud, le organizzazioni possono essere meglio preparate a difendere la propria infrastruttura e i propri servizi cloud e a ridurre il rischio complessivo di attacchi basati sulle credenziali.
In questo quadro, IBM è costantemente impegnata nel rilasciare report rilevanti sulla sicurezza, come il 2024 Cost of a Data Breach e il 2024 Threat Intelligence Index, oltre a report, come questo, incentrato sul cloud che analizza i rischi specifici che le aziende devono fronteggiare nel percorso di migrazione al cloud. Per un’analisi più approfondita delle ultime minacce e tendenze legate al cloud, è possibile scaricare il 2024 IBM X-Force Cloud Threat Landscape.
