Le superfici di attacco si espandono più velocemente di quanto i team di security e gli stack tecnologici in uso alle aziende siano in grado di rilevare: nel 2023 la percentuale di violazioni basate sul cloud è stata stimata attorno al 50%, segno che una percentuale crescente dei moderni attacchi informatici è ormai diventata “ibrida”.
Indice degli argomenti
Cos’è e come funziona un attacco ibrido
Un attacco ibrido è, in sintesi, un attacco che può essere innescato da qualsiasi fonte in qualsiasi punto dell’infrastruttura, può spostarsi ovunque in qualsiasi momento, sfruttando vulnerabilità, accessi compromessi o risorse cloud scalabili, e interrompere le operazioni aziendali su scala, nonostante siano state adottate tutte le misure preventive.
Le identità sono spesso il vettore ideale: funzionando da collante tra i diversi domini di un’azienda, si rivelano una porta di ingresso preziosa anche per gli attaccanti, che possono muoversi lateralmente e far progredire gli attacchi.
Con il passaggio delle aziende ad ambienti ibridi e multi-cloud, un numero sempre maggiore di attacchi è in grado di nascondersi ed eludere i migliori sforzi di rilevamento messi in campo dai team di sicurezza.
Poiché tutti gli ambienti sono ormai ibridi, l’esposizione alle minacce è presente ovunque si operi. Al di là del semplice data center, anche il cloud pubblico, SaaS, IaaS, PaaS, le identità, gli endpoint e qualsiasi altra superficie può rappresentare una via di compromissione da sfruttare per gli attaccanti.
Il caso dell’attacco Mango Sandstorm e DEV-1084
È il caso dell’attacco ibrido lanciato da Mango Sandstorm e Storm-1084, osservato lo scorso anno. Mango Sandstorm è uno state actor con stretti legami con il governo iraniano. Alleato del gruppo Storm-1084, ha fatto degli attacchi ibridi il suo modus operandi, prendendo di mira sia il cloud sia i servizi interni alle organizzazioni.
L’attacco lanciato da Mango Sandstorm e Storm-1084 nel 2023 si è manifestato per la prima volta in uno dei data center dell’organizzazione presa di mira. I criminali informatici sono riusciti a sfruttare una vulnerabilità su un server esposto su Internet. Hanno quindi preso il controllo remoto di questo server utilizzando un command and control (C&C) e hanno eseguito una discovery utilizzando strumenti Microsoft nativi. Hanno quindi iniziato una serie di movimenti laterali (basandosi su RPC, WMI, RDP) tramite account compromessi.
Utilizzando le credenziali rubate, si sono collegati al server Azure AD Connect e hanno ottenuto l’accesso a un altro account con privilegi elevati.
L’attacco è stato in grado di progredire all’interno di Entra ID e Azure. Sono stati aggiunti diritti a un’applicazione esistente e manipolate le autorizzazioni dell’account e una progressione di privilegi ha permesso ai criminali informatici di diventare “Global Admins”, ossia amministratori generali del sistema, acquisendo diritti sulle sottoscrizioni Azure.
Le difficoltà di rilevamento dietro agli attacchi ibridi
A rendere difficoltoso il compito degli analisti nel fermare gli attacchi ibridi è anche il modo in cui i cyber criminali aggirano la prevenzione, compromettono le identità, elevano e nascondono i privilegi per muoversi lateralmente tra i domini, spesso ad alta velocità.
In molti casi, gli strumenti di sicurezza aggiungono benzina al fuoco: secondo il rapporto State of Threat Detection condotto da Vectra AI nel 2023, in media i team SOC ricevono 4.484 avvisi al giorno e oltre due terzi di essi (67%) vengono ignorati.
Il 63% degli analisti SOC intervistati ha dichiarato che la superficie di attacco è aumentata significativamente solo negli ultimi tre anni e il 97% degli analisti teme che possa sfuggirgli un evento di sicurezza perché impegnato ad analizzare una quantità enorme di avvisi di sicurezza.
Per fermare gli attaccanti ibridi è, invece, necessario essere in grado di individuarli, dare loro priorità e fermarli una volta che sono già all’interno del sistema aziendale, indipendentemente dal luogo in cui si trovano.
La sicurezza aziendale, d’altronde, pensa in termini di singole superfici di attacco, ma gli attaccanti hanno una visione di insieme.
La maggior parte degli attacchi che analizziamo contiene una qualche forma di movimento laterale. Di regola, gli aggressori trovano il modo di spostarsi da una superficie di attacco a un’altra, di ottenere credenziali che li aiutino a mimetizzarsi o di spostarsi dove possono per imparare a conoscere l’ambiente.
Come difendersi dagli attacchi ibridi
Per affrontare in modo tempestivo ed efficace gli attacchi ibridi, il team SOC ha bisogno di un’unica cosa: chiarezza del segnale.
Per difendersi dall’esposizione a minacce sconosciute, occorre innanzitutto sapere in quali punti gli attaccanti hanno dimostrato di potersi infiltrare nell’organizzazione e applicare queste conoscenze per anticipare i rischi.
Le organizzazioni devono analizzare il traffico di rete nella sua interezza, così come il comportamento degli utenti e gli ambienti cloud, al fine di rilevare e dare priorità alle minacce informatiche nell’ambiente ibrido.
È poi fondamentale eliminare le compromissioni sconosciute, dotandosi di strumenti che permettono di rilevare quando un attaccante ibrido si è infiltrato nell’ambiente aziendale. L’assenza di queste informazioni è spesso il risultato di un numero eccessivo di strumenti isolati, che inviano segnali di rilevamento troppo numerosi e disparati agli analisti SOC.
È importante eliminare la complessità che rende più facile per gli attaccanti ibridi infiltrarsi, mimetizzarsi e avanzare all’interno dell’organizzazione senza essere visti.
Infine, occorre rilevare e risolvere rapidamente gli attacchi ibridi sconosciuti.
Sapere in che modo i criminali informatici si muovono lateralmente tra i domini per portare avanti le loro campagne di attacco è l’unico modo per fermarli e prevenire l’esfiltrazione dei dati.
Ciò è possibile solo grazie a un segnale chiaro e immediatamente azionabile, che offra ai team di sicurezza una visione unificata di tutte le macchine e gli account sospetti.
