Aggressori ibridi: gli attacchi paragonati a quelli del regno animale

Parlando del comportamento degli aggressori ibridi viene quasi inevitabile assimilarne le tattiche a quelle del regno animale: implacabili, scaltre e spesso raffinate.

Per questo Vectra AI ha esaminato alcuni esempi di attacchi ibridi: per capire come gli aggressori di oggi s’infiltrano, aumentano i loro vantaggi e progrediscono negli attacchi, così da individuare aspetti comuni.

Infrastrutture aziendali ibride: pirati informatici in agguato

La dinamica principale in questa tipologia di attacco è che ormai la grande maggioranza delle infrastrutture aziendali sono ibride: una condizione che i pirati informatici sanno sfruttare a loro vantaggio, quindi in pratica la grande maggioranza degli attacchi oggi è di natura ibrida.

Per le imprese, questo vuol dire confrontarsi in maniera crescente con minacce particolarmente difficili da bloccare, per il modo in cui queste aggirano gli strumenti di prevenzione, compromettono le identità, elevano e nascondono privilegi, si spostano tra domini in qualsiasi momento, spesso ad alta velocità.

Inoltre, in molti casi le soluzioni di cybersecurity adottate aggiungono benzina al fuoco: secondo l’ultimo rapporto di Vectra AI “State of Threat Detection”, in media i team SOC (Security Operations Center) ricevono oltre 4480 avvisi al giorno con oltre i due terzi (67%) che vengono ignorati. In altre parole, individuare una minaccia ibrida è come cercare un ago in un pagliaio.

Tuttavia, conoscere alcuni aspetti comuni di questa tipologia di sfida è un importante punto di partenza: di seguito ne indichiamo 5 principali.

1 – Gli attacchi ibridi sono difficili da trovare

Nello stesso studio emerge che il 97% degli analisti teme di ignorare un attacco rilevante perché sepolto da un’ondata di avvisi.

In Vectra AI si definisce questa situazione come “Spirale del Più”: più strumenti, più rilevamenti, più alert e più “falsi positivi”.

Un volume ingestibile di input e lavoro per i team SOC, che gli aggressori ibridi sfruttano a proprio vantaggio per nascondersi, spostarsi lateralmente e portare avanti i propri attacchi.

2 – Gli attacchi ibridi si verificano su più superfici

Dato che gli ambienti sono ormai ibridi, l’esposizione alle minacce interessa l’azienda ovunque opera, ovvero gli attacchi coinvolgono più superfici.

Ad esempio, un utente malintenzionato potrebbe essere fermato nel tentativo di compromettere un endpoint se si dispone di EDR (Endpoint Detection & Response), ma questo non significa che non tenterà di farsi strada in un percorso diverso o di bypassare completamente la protezione dell’endpoint con credenziali rubate, ottenendo l’accesso VPN, forse entrambi o qualcosa di diverso.

La chiave per bloccare la compromissione risiede quindi nella velocità con cui si sarà in grado di individuarla quando è già avvenuta.

3 – Gli attacchi ibridi sono basati sulle identità

Oltre a interessare più superfici di attacco, è molto comune che questo tipo di violazione sfrutti le credenziali dell’amministratore o password rubate.

D’altronde, il Threat Horizons Report 2023 di Google Cloud ha rilevato che «i problemi relativi alle credenziali continuano a essere una sfida centrale, rappresentando oltre il 60% dei fattori di compromissione».

L’espansione delle imprese ibride sta inoltre influenzando anche la capacità di difensori di proteggere ogni identità. Indipendentemente dal modo in cui un’identità viene compromessa, che si tratti di spear phishing o di metodi più recenti basati sull’intelligenza artificiale, l’efficacia dell’intervento dipenderà ancora una volta dalla rapidità con cui la violazione dell’identità verrà rilevata e le sarà data priorità.

4 – Gli aggressori ibridi si nascondono e dopo la compromissione prosperano

I team SOC pensano in termini di superfici di attacco individuali, ma gli aggressori operano ormai su una unica gigantesca superficie (ibrida) di attacco.

Si stima che il 25% di tutti gli attacchi informatici comporti movimenti laterali anche se la percentuale si stima sia molto più alta. La maggior parte degli attacchi contengono infatti qualche tecnica per accedere e controllare più sistemi remoti e account.

In generale, gli aggressori ibridi riescono a capire come spostarsi da una superficie di attacco all’altra, ottenere credenziali per mimetizzarsi, applicare la cosiddetta tecnica LOL (Living OFF the Land) con cui utilizzano strumenti e funzionalità legittimi già nell’ambiente della vittima e spostarsi dove poter sfruttare qualsiasi accesso in modo da condurre ricognizioni e conoscere l’ambiente.

Il movimento laterale è solo un esempio, ma il punto è che fermare gli aggressori ibridi si riduce alla capacità di rilevarli, dare priorità alla violazione e fermarli una volta che sono già all’interno, indipendentemente da dove siano.

5 – Gli attacchi ibridi si possono fermare all’inizio

Gli attacchi ibridi sono difficili da trovare, mirano a ottenere l’accesso, rubare credenziali per poi spostarsi per progredire e, in ultima analisi, causare danni ma aggiungere ulteriori alert alla lunghissima coda degli avvisi degli analisti SOC non è la soluzione.

Anzi, a volte gli strumenti di cybersecurity possono dare l’illusione di essere al sicuro, quando non lo si è. Il 71% degli analisti SOC dichiara che la propria organizzazione potrebbe essere stata compromessa pur non sapendolo. Poter disporre invece di uno strumento in grado di dare ai tantissimi segnali che i team SOC devono analizzare, una priorità, permette di sapere come, quando e dove sta accadendo qualcosa che richiede attenzione, tempo e talento urgenti e poter agire di conseguenza.

— a cura di Massimiliano Galvagna, country manager di Vectra AI per l’Italia.