Cinque aspetti degli attacchi ibridi che ogni SOC dovrebbe conoscere

Quando si parla di come si comportano gli aggressori ibridi è quasi inevitabile assimilare queste tattiche a quelle implacabili, scaltre e raffinate del regno animale. Per questo motivo Vectra AI ha esaminato alcuni esempi di attacchi ibridi per capire come gli aggressori di oggi si infiltrano, aumentano i loro vantaggi e progrediscono negli attacchi e per individuare degli aspetti comuni.

Iniziamo con il dire che la dinamica principale che tocca questa tipologia di attacco è che ormai la grande maggioranza delle infrastrutture aziendali sono ibride, condizione che ovviamente i pirati informatici sfruttano a proprio vantaggio. Perciò praticamente la grande maggioranza degli attacchi sono oggi di natura ibrida.

Per le imprese vuol dire confrontarsi in maniera crescente con minacce particolarmente difficili da bloccare per il modo in cui queste violazioni aggirano gli strumenti di prevenzione, compromettono le identità, elevano e nascondono privilegi, si spostano tra domini in qualsiasi momento, spesso ad alta velocità. Inoltre, in molti casi, le soluzioni di cybersecurity adottate aggiungono benzina al fuoco. Secondo l’ultimo rapporto di Vectra AI "State of Threat Detection", in media, i team SOC ricevono oltre 4.480 avvisi al giorno e oltre due terzi (67%) di essi vengono ignorati. In altre parole, individuare una minaccia ibrida è come cercare un ago in un pagliaio.  

Tuttavia, conoscere alcuni aspetti comuni di questa tipologia di sfida è un importante punto di partenza

Gli attacchi ibridi sono difficili da trovare - Non stupisce che, sempre dallo stesso studio, emerga che il 97% degli analisti ha affermato di temere di ignorare un attacco rilevante perché sepolto da un’ondata di avvisi. In Vectra AI definiamo questa situazione come la “Spirale Del Più”: più strumenti, più rilevamenti, più alert e più falsi positivi. Un volume ingestibile di input e lavoro per i team SOC che gli aggressori ibridi sfruttano a proprio vantaggio per nascondersi, spostarsi lateralmente e portare avanti i propri attacchi. 

Gli attacchi ibridi si verificano su più superfici - Poiché gli ambienti sono ormai ibridi, l’esposizione alle minacce interessa l’azienda ovunque opera, ovvero gli attacchi coinvolgono più superfici. Ad esempio, un utente malintenzionato potrebbe essere fermato nel tentativo di compromettere un endpoint se si dispone di EDR (rilevamento e risposta dell'endpoint), ma ciò non significa che non tenterà di farsi strada attraverso un percorso diverso o di bypassare completamente la protezione dell'endpoint con credenziali rubate, ottenendo l'accesso VPN, forse entrambi o qualcosa di completamente diverso. La chiave per bloccare la compromissione risiede nella velocità con cui si sarà in grado di individuarla quando è già avvenuta.

Gli attacchi ibridi sono basati sulle identità - Oltre a interessare più superfici di attacco, è molto comune che questo tipo di violazione sfrutti le credenziali dell’amministratore o password rubate. D’altronde, il Threat Horizons Report 2023 di Google Cloud ha rilevato che “i problemi relativi alle credenziali continuano a essere una sfida centrale, rappresentando oltre il 60% dei fattori di compromissione”. E l’espansione delle imprese ibride sta influenzando anche la capacità di difensori di proteggere ogni identità. Indipendentemente dal modo in cui un'identità viene compromessa, che si tratti di spear phishing o di metodi più recenti basati sull'intelligenza artificiale, l’efficacia dell’intervento dipenderà ancora una volta dalla rapidità con cui la violazione dell'identità verrà rilevata e le sarà data priorità. 

Gli aggressori ibridi si nascondono per prosperare dopo la compromissione - I team SOC pensano in termini di superfici di attacco individuali, ma gli aggressori operano ormai su una unica gigantesca superficie (ibrida) di attacco. Si stima che il 25% di tutti gli attacchi informatici comporti movimenti laterali ma nella realtà è probabile che questa percentuale sia molto più alta. La maggior parte degli attacchi che valutiamo contengono infatti una qualche tecniche per accedere e controllare più sistemi remoti e account. In generale, gli aggressori ibridi riescono a capire come spostarsi da una superficie di attacco all’altra, ottenere credenziali per mimetizzarsi, applicare la cosiddetta tecnica LOL (Living OFF the Land) con cui utilizzano strumenti e funzionalità legittimi già presenti nell'ambiente della vittima e, ancora, spostarsi dove possono sfruttare qualsiasi accesso abbiano ottenuto in modo da poter condurre ricognizioni e conoscere l’ambiente. Il movimento laterale è solo un esempio, ma il punto è che fermare gli aggressori ibridi si riduce, va ribadito, alla capacità di rilevarli, dare priorità alla violazione e fermarli una volta che sono già all’interno, indipendentemente da dove si trovino.

Gli attacchi ibridi possono essere fermati, all'inizio della loro progressione - Gli attacchi ibridi sono difficili da trovare, mirano a ottenere l'accesso, rubare credenziali per poi spostarsi per progredire e, in ultima analisi, causare danni ma aggiungere ulteriori alert alla lunghissima coda degli avvisi degli analisti SOC non è la soluzione. Anzi, a volte gli strumenti di cybersecurity possono dare l’illusione di essere al sicuro, quando non lo si è. Il 71% degli analisti SOC dichiara che la propria organizzazione potrebbe essere stata compromessa pur non sapendolo. Poter disporre invece di uno strumento in grado di dare ai tantissimi segnali che i team SOC devono analizzare, una priorità, permette di sapere come, quando e dove sta accadendo qualcosa che richiede attenzione, tempo e talento urgenti e poter agire di conseguenza.

Articolo di Massimiliano Galvagna, country manager di Vectra AI per l’Italia (in foto)