Operazioni di Sicurezza

La Top 10 delle false percezioni sulla sicurezza

Il team di Sophos Rapid Response ha stilato un elenco delle percezioni errate sulla sicurezza più comuni riscontrate negli ultimi 12 mesi durante la neutralizzazione e l’indagine sugli attacchi informatici in un’ampia gamma di aziende.

Qui di seguito riportiamo un elenco delle prime 10, insieme a un commento di Sophos che smentisce ciascuna di esse in base all’esperienza e alle osservazioni dei soccorritori in prima linea contro gli attacchi.

Falsa percezione 1: non siamo un obiettivo; siamo troppo piccoli e/o non abbiamo beni di valore per un avversario

La smentita di Sophos: molte vittime di attacchi informatici presumono di essere troppo piccole, in un settore di nessun interesse o privo del tipo di risorse redditizie che attirerebbero un avversario. La verità è che non importa: se hai potenza di elaborazione e una presenza digitale, sei un bersaglio. Nonostante i titoli dei media, la maggior parte degli attacchi non sono perpetrati da attaccanti esperti di stati-nazione; vengono lanciati da opportunisti in cerca di prede facili, come organizzazioni con falle di sicurezza, errori o configurazioni errate che i criminali informatici possono facilmente sfruttare.

Se ritieni che la tua organizzazione non sia un obiettivo, probabilmente non stai effettuando una ricerca delle attività sospette sulla tua rete, come quella di Mimikatz (un’applicazione open source che consente agli utenti di visualizzare e salvare le credenziali di autenticazione) sul controller di dominio – e potresti non rilevare i primi segni di un attacco.

Falsa percezione 2: non abbiamo bisogno di tecnologie di sicurezza avanzate installate ovunque

La smentita di Sophos: alcuni team IT credono ancora che il software per la sicurezza degli endpoint sia sufficiente per bloccare tutte le minacce e/o di non aver bisogno di sicurezza per i propri server. Gli aggressori sfruttano appieno tali presupposti. Qualsiasi errore nella configurazione, nell’applicazione di patch o nella protezione rende i server un obiettivo primario, non secondario come avrebbe potuto essere in passato.

L’elenco delle tecniche di attacco che tentano di aggirare o disabilitare il software degli endpoint ed evitare il rilevamento da parte dei team di sicurezza IT si allunga di giorno in giorno. Gli esempi comprendono attacchi eseguiti da esseri umani che sfruttano il social engineer e vari punti vulnerabili per ottenere l’accesso; un codice dannoso pesantemente compresso e offuscato iniettato direttamente nella memoria; attacchi malware “fileless” come l’attacco basato sulla tecnica di reflective DLL (Dynamic Link Library) loading; attacchi che utilizzano agenti di accesso remoto legittimi come Cobalt Strike insieme a strumenti e tecniche di amministrazione IT quotidiane. Le tecnologie antivirus di base avranno difficoltà a rilevare e bloccare tali attività.

Allo stesso modo, l’ipotesi che gli endpoint protetti possano impedire agli intrusi di raggiungere server non protetti è un errore. In base agli incidenti su cui ha indagato il team Sophos Rapid Response, i server sono ora il bersaglio numero uno degli attacchi e gli aggressori possono facilmente trovare un percorso diretto utilizzando credenziali di accesso rubate. La maggior parte degli aggressori sa anche come aggirare una macchina Linux sulla quale spesso hackerano e installano backdoor per usarle come rifugi sicuri e mantenere l’accesso alla rete di un bersaglio.

Se la tua organizzazione si affida solo alla sicurezza di base, senza strumenti più avanzati e integrati come il rilevamento comportamentale e basato sull’intelligenza artificiale e un centro operativo di sicurezza 24 ore su 24, 7 giorni su 7, gli intrusi probabilmente riusciranno a superare le tue difese.

Ultimo, ma non meno importante, vale sempre la pena ricordare che mentre la prevenzione è l’ideale, il rilevamento è un must.

Falsa percezione 3: disponiamo di solide politiche di sicurezza

La smentita di Sophos: disporre di policy di sicurezza per applicazioni e utenti è fondamentale. Tuttavia, devono essere verificati e aggiornati costantemente man mano che nuove caratteristiche e funzionalità vengono aggiunte ai dispositivi connessi alla rete. Verifica e testa le policy, utilizzando tecniche come test di penetrazione, esercizi di simulazione e prove dei tuoi piani di ripristino di emergenza.

Falsa percezione 4: i server Remote Desktop Protocol (RDP) possono essere protetti dagli aggressori modificando le porte su cui si trovano e introducendo l’autenticazione a più fattori (MFA)

La smentita di Sophos: la porta standard utilizzata per i servizi RDP è la 3389, quindi la maggior parte degli aggressori eseguirà la scansione di questa porta per trovare server di accesso remoto aperti. Tuttavia, la scansione identificherà tutti i servizi aperti, indipendentemente dalla porta su cui si trovano, quindi cambiare le porte offre poca o nessuna protezione da sola.

Inoltre, sebbene l’introduzione dell’autenticazione a più fattori sia importante, non migliorerà la sicurezza a meno che la policy non venga applicata a tutti i dipendenti e dispositivi. L’attività RDP dovrebbe avvenire all’interno del confine protettivo di una rete privata virtuale (VPN), ma anche questo non può proteggere completamente un’organizzazione se gli aggressori hanno già un punto d’appoggio in una rete. Idealmente, a meno che il suo utilizzo non sia essenziale, la sicurezza IT dovrebbe limitare o disabilitare l’uso di RDP internamente ed esternamente.

Falsa percezione 5: il blocco degli indirizzi IP di regioni ad alto rischio come Russia, Cina e Corea del Nord ci protegge dagli attacchi provenienti da quelle aree geografiche

La smentita di Sophos: è improbabile che il blocco di IP da regioni specifiche rappresenti un pericolo, ma potrebbe dare un falso senso di sicurezza se ci si affida solo a questo per la protezione. Gli avversari ospitano la loro infrastruttura dannosa in molti paesi, con hotspot che comprendono Stati Uniti, Paesi Bassi e resto d’Europa.

Falsa percezione 6: i nostri backup forniscono immunità dall’impatto del ransomware

La smentita di Sophos: mantenere backup aggiornati dei documenti è fondamentale per l’azienda. Tuttavia, se i tuoi backup sono connessi alla rete, significa che sono alla portata degli aggressori e vulnerabili alla cifratura, all’eliminazione o alla disattivazione in un attacco ransomware.

Vale la pena notare che limitare il numero di persone con accesso ai backup potrebbe non migliorare significativamente la sicurezza poiché gli aggressori avranno trascorso del tempo nella tua rete alla ricerca di queste persone e delle loro credenziali di accesso.

Allo stesso modo, anche l’archiviazione dei backup nel cloud deve essere eseguita con cura: in un incidente riscontrato da Sophos Rapid Response, gli aggressori hanno inviato un’e-mail al provider di servizi cloud da un account amministratore IT compromesso e gli hanno chiesto di eliminare tutti i backup. Il fornitore ha prontamente eseguito la richiesta.

La formula standard per backup sicuri che possono essere utilizzati per ripristinare dati e sistemi dopo un attacco ransomware è 3:2:1: ovvero 3 copie di tutto, utilizzando 2 sistemi diversi, di cui 1 offline.

Un’ultima nota di cautela, avere backup offline in atto non proteggerà le tue informazioni da attacchi ransomware basati su estorsioni, in cui i criminali rubano e minacciano di pubblicare i tuoi dati oltre a crittografarli.

Falsa percezione 7: I nostri dipendenti comprendono la sicurezza

La smentita di Sophos: secondo lo State of Ransomware 2021, il 22% delle organizzazioni ritiene di poter essere colpita da ransomware nei prossimi 12 mesi perché è difficile impedire agli utenti finali di compromettere la sicurezza.

Le tattiche di social engineer come il phishing stanno diventando più difficili da individuare. I messaggi e-mail sono spesso realizzati a mano, scritti con precisione, persuasivi e mirati. I tuoi dipendenti devono sapere come individuare i messaggi sospetti e cosa fare quando ne ricevono uno. Sanno chi devono avvisare in modo che gli altri dipendenti possano essere messi in allerta?

Falsa percezione 8: i team di incident response possono recuperare i miei dati dopo un attacco ransomware

La smentita di Sophos: Questo è molto improbabile. Gli aggressori oggi commettono molti meno errori e il processo di cifratura è migliorato, quindi fare affidamento sui soccorritori per trovare una scappatoia non è una buona idea, la possibilità che possano annullare il danno è estremamente rara. Anche i backup automatici come le copie shadow del volume di Windows vengono eliminati dalla maggior parte dei ransomware moderni che sovrascrivono i dati originali memorizzati sul disco, rendendo impossibile il ripristino se non tramite il pagamento del riscatto.

Falsa percezione 9: pagare il riscatto ci farà recuperare i nostri dati dopo un attacco ransomware

La smentita di Sophos: secondo il sondaggio State of Ransomware 2021, un’organizzazione che paga il riscatto recupera in media circa i due terzi (65%) dei propri dati. Solo l’8% ha recuperato tutti i propri dati e il 29% ne ha recuperati meno della metà. Pagare il riscatto – anche quando sembra l’opzione più semplice e/o è coperto dalla tua polizza di cyber-assicurazione – non è quindi una soluzione semplice per rimetterti in piedi.

Inoltre, il ripristino dei dati è solo una parte del processo: nella maggior parte dei casi il ransomware disabilita completamente i computer e il software e i sistemi devono essere ricostruiti da zero prima che i dati possano essere recuperati. L’indagine del 2021 ha rilevato che i costi di recupero sono, in media, dieci volte superiori alla richiesta di riscatto.

Falsa percezione 10: il rilascio del ransomware è l’intero attacco: se sopravviviamo, siamo a posto

La smentita di Sophos: sfortunatamente, questo è raramente il caso. Il ransomware rappresenta solo il momento in cui gli aggressori vogliono che tu capisca che sono lì e cosa hanno fatto.

È probabile che gli avversari siano stati nella tua rete per giorni se non settimane prima di rilasciare il ransomware, esplorare, disabilitare o eliminare i backup, trovare le macchine con informazioni di alto valore o applicazioni da prendere di mira per la cifratura, rimuovere informazioni e installare payload aggiuntivi come backdoor. Mantenere una presenza costante nelle reti della vittima consente agli aggressori di lanciare un secondo attacco se lo desiderano.

Risorse addizionali