L’approssimarsi delle feste si riflette ormai sempre più di frequente sull’attività dei criminali informatici che, sfruttando i cambiamenti messi in atto dalle aziende a livello organizzativo e operativo in questo periodo, ricorrono a truffe di ingegneria sociale e attacchi alle vulnerabilità per entrare illecitamente nelle reti informatiche, rubare gli accessi a dati e sistemi e venderli al miglior offerente.
Sono i cosiddetti access broker a risultare particolarmente attivi in questo periodo. Si tratta di gruppi criminali (threat actors) che agiscono come “intermediari” e vendono gli accessi su forum clandestini ad altri hacker, i quali a loro volta possono utilizzarli per condurre attività criminali. CrowdStrike rileva l’intensificarsi della loro attività durante le feste.
Bart Lenaerts-Bergmans, Counter Adversary Operations di CrowdStrike, suggerisce alle aziende 5 consigli per difendersi da questi pericolosi avversari in vista del periodo festivo e non solo.
- Comprendere l’ambiente in cui ti trovi: il proverbio “non si può proteggere ciò che non si vede” non è mai stato così vero. Negli ultimi anni, le aziende hanno incrementato l’uso del cloud, con un conseguente aumento della presenza digitale sulle varie piattaforme. I team di sicurezza devono avere una visione completa della superficie di attacco dell’azienda per identificare le aree di esposizione e colmarne le lacune.
- Privilegiare la protezione dell’identità: a causa dell’aumento di attacchi privi di malware, di violazioni basate sull’ingegneria sociale e di altri tentativi simili di appropriazione di credenziali, è necessario proteggere attentamente la propria identità. Shields Up, l’iniziativa promossa da CISA, esorta le aziende ad applicare l’MFA (Multi Factor Authentication) e a identificare e valutare rapidamente i comportamenti insoliti in rete. Si consigliano policy basate sui rischi rilevati all’accesso condizionale per ridurre l’onere dell’autenticazione multi-fattore affidato agli utenti legittimi. La formazione sull’uso dei social media è fondamentale: non è consigliato annunciare le chiusure dei reparti o le modifiche dei servizi IT sui canali social, ed è buona norma invitare i dipendenti a non condividere dati personali sui social network. È necessario inoltre istruire il personale affinché non condivida le proprie credenziali durante le chiamate di assistenza, nelle e-mail o nei ticket. Infine, è preferibile non inserire le informazioni di contatto dei dirigenti o dell’IT sul sito web dell’azienda: potrebbero aiutare gli avversari nei tentativi di impersonificazione.
- Rafforzare la protezione del cloud: il numero di casi di utilizzo del cloud per scopi di criminalità informatica è cresciuto del 95% rispetto al 2022. Gli aggressori stanno prendendo di mira in modo aggressivo l’infrastruttura cloud e sfruttano un’ampia gamma di tattiche, tecniche e procedure per compromettere i dati e le applicazioni aziendali in cloud strategiche. Per fermare queste violazioni sono necessarie funzionalità agentless per la protezione da configurazioni errate, attacchi control-plane e attacchi basati sull’identità, nonché una sicurezza runtime per proteggere i carichi di lavoro su cloud.
- Conoscere l’avversario: le aziende spendono enormi quantità di tempo e denaro per combattere contro minacce fantasma e avvisi clamorosi, senza mai sapere “perché, come e chi” si cela dietro gli attacchi informatici. Se non si conosce l’avversario, risulta più difficile affrontarlo. È quindi necessario investire in sistemi di intelligence che permettano di capire chi sono gli avversari, le loro motivazioni, le strategie che adottano e gli strumenti che utilizzano. Si consiglia di utilizzare sistemi di threat intelligence per analizzare i forum clandestini alla continua ricerca di identità e dati esposti. Inoltre, è indispensabile monitorare i siti web o i domini di nuova creazione che simulano l’azienda. Se tempo o risorse da impiegare non sono disponibili internamente, è possibile servirsi di una società esterna per limitare i rischi associati a questi siti web.
- Migliorare con la pratica: pianificare ed eseguire regolarmente esercitazioni e simulazioni, predisponendo team di attacco e difesa per identificare le lacune ed eliminare i punti deboli presenti nelle pratiche di cybersecurity.
Occorre prepararsi a fronteggiare gli avversari con una panoramica completa di ciò che accade sugli endpoint aziendali e andare a caccia degli intrusi cercando web shell e strumenti di monitoraggio remoto che potrebbero essere attivi nel sistema aziendale. È inoltre fondamentale cercare supporto da parte di team di esperti che conoscano gli access broker e le loro strategie, per mitigare le minacce nascoste.
Gli access broker compiono attacchi sempre più sofisticati di exploitation, social engineering e spear-phishing per ottenere e vendere credenziali durante tutto il corso dell’anno. La fine dell’anno è il momento ideale per agire: i dipartimenti di supporto IT sono distratti, i team di sicurezza hanno uno staff ridotto e gli utenti richiedono nuove credenziali al loro ritorno. È quindi necessario implementare solide difese e non lasciare che gli access broker riempiano i loro regali di Natale con le credenziali aziendali durante le feste.
