A cura di Alessio Mercuri, Senior Security Engineer di Vectra AI
Sono sempre di più le organizzazioni che hanno adottato il cloud e anche i criminali informatici stanno rapidamente seguendo l’esempio. Il rapporto Cost of a Data Breach di IBM ha rilevato che il 45% di tutte le violazioni di dati nel 2022 sono state basate sul cloud, con un costo medio di 5 milioni di dollari.
Non è più una questione di “se”, ma di “quando” la vostra organizzazione dovrà affrontare un attaccante informatico. Poiché gli attacchi sono inevitabili, la scelta degli strumenti di sicurezza giusti è fondamentale per ottimizzare le metriche SecOps chiave, come il tempo di rilevamento, di indagine e di risposta. Una soluzione di Cloud detection and response avanzata (CDR) è la risposta.
Compromissioni sofisticate del cloud: la nuova normalità
Lo scorso anno hanno fatto notizia molte vulnerabilità e attacchi al cloud, ma nessuno più dell’attacco a LastPass. L’azienda di gestione delle password ha subito una serie di attacchi alla sua distribuzione ibrida, che hanno portato al furto di dati sensibili dei clienti dalle sue risorse di archiviazione cloud.
Quello che inizialmente era stato segnalato come un accesso parziale a un singolo account di uno sviluppatore, si è presto rivelato un vero e proprio furto di credenziali che ha portato all’esfiltrazione di snapshot crittografati delle password dei clienti dalle risorse di archiviazione cloud di LastPass. Gli snapshot possono potenzialmente essere forzati dall’attaccante per decifrare i dati delle password. Quando la violazione è stata segnalata per la prima volta, si riteneva che le informazioni critiche dei clienti, tra cui le password, i dati e le informazioni personali, fossero totalmente al sicuro. Sfortunatamente, questa comunicazione si è rivelata falsa.
Nell’ambito della sicurezza, la fiducia è tutto. Compromissioni di questa portata comportano notizie di stampa negative, giudizi da parte della community della sicurezza e spesso danni irreparabili alla reputazione.
Credenziali rubate: il vettore di minaccia preferito per gli attacchi diretti al cloud
Quando si parla di sicurezza, contare sulle persone e sui processi giusti è importante, ma la tecnologia giusta può fare la differenza. Nell’attacco a LastPass, il cloud è stato sfruttato utilizzando credenziali valide e rubate. Non è una sorpresa. Oggi, la maggior parte degli attacchi sofisticati nel cloud arriva da attaccanti che utilizzano campagne di phishing per rubare le credenziali e mascherarsi da utenti legittimi. Purtroppo, questi vettori spesso aggirano i più diffusi strumenti di sicurezza preventiva di cui un’organizzazione può disporre.
Rimediare a queste minacce sofisticate che derivano da credenziali rubate è impegnativo. Infatti, il rapporto di IBM Security ha rilevato che gli attacchi originati da credenziali rubate hanno il tempo medio più lungo per l’identificazione (243 giorni) e il tempo medio più lungo per il contenimento (84 giorni) di qualsiasi vettore iniziale in una violazione dei dati. Considerando che le kill-chain nel cloud sono poco profonde rispetto alle reti on-premise, un avversario esperto con credenziali valide non ha bisogno di molto tempo per creare canali di persistenza e passare rapidamente dall’accesso iniziale alle fasi di impatto.
Per proteggere gli ambienti cloud, è indispensabile che i team SOC si concentrino sull’identificazione degli incidenti di sicurezza che coinvolgono queste tattiche avversarie, perfettamente adatte alle capacità di uno strumento CDR.
L’importanza di scegliere gli strumenti di sicurezza giusti
Per le aziende oggi l’adozione del cloud non è un’opzione, ma una necessità. I vantaggi del cloud sono molti, ma il costo della migrazione è complesso. Questa adozione sta alimentando una crescita vertiginosa delle funzionalità offerte dai fornitori di cloud.
Questa crescita e l’adozione di servizi cloud ha portato a una superficie di attacco più ampia e in continua evoluzione. Le organizzazioni che navigano in questo panorama dinamico devono proteggersi non solo da nuovi attacchi, ma anche da minacce già diffuse come l’esposizione dei dati.
Per garantire la sicurezza, i team SOC si affidano a diversi strumenti. Tuttavia, al giorno d’oggi esistono centinaia di vendor che offrono opzioni di strumenti che possono sopraffare i team SOC, rendendo difficile comprendere le funzionalità offerte dai vari sistemi di sicurezza cloud. Inoltre, la messa in funzione di questi strumenti spesso porta alla creazione di punti ciechi non voluti nella postura di sicurezza dell’organizzazione.
Perché affidarsi alla soluzione Vectra CDR per bloccare gli attacchi cloud avanzati
Sebbene gli strumenti di prevenzione facciano un ottimo lavoro nel fornire visibilità sulle risorse cloud, sulle configurazioni errate e sulle impostazioni non conformi, non sono all’altezza quando si tratta di rilevare nuovi vettori di attacco. Sono proprio questi i vettori di minaccia che dovrebbero destare preoccupazione.
Nel 2022 il phishing e le credenziali rubate costituiranno circa il 35% di tutte le violazioni dei dati, un numero significativamente superiore a quello delle violazioni attribuite a configurazioni errate del cloud (pari al 15%). Affidarsi solo a strumenti di prevenzione significa rendere l’organizzazione vulnerabile agli attaccanti esperti.
Grazie all’Attack Signal Intelligence, Vectra CDR monitora tutte le azioni in un ambiente cloud e rileva i comportamenti sospetti in tempo reale. Sfrutta l’AI per andare oltre le anomalie basate su eventi o semplici linee di base, concentrandosi invece sui comportamenti – i TTP alla base di tutti gli attacchi. La chiarezza del segnale che ne deriva permette a Vectra di portare alla luce tempestivamente attacchi sofisticati in più fasi, in modo che i team SecOps possano rapidamente stabilire le priorità, indagare e rispondere alle minacce più urgenti. L’Attack Signal Intelligence è in grado di distinguere le azioni sospette dalle attività legittime.
