Catena di Uccisione della Cyber Security

Come in ogni forma di guerra tradizionale, gli attacchi informatici più efficaci iniziano con una grande raccolta di informazioni. La ricognizione è il primo passo nella catena di uccisione della cybersecurity e utilizza molte tecniche, strumenti e funzionalità di navigazione web comunemente utilizzate, tra cui:

• Motori di ricerca
• Archivi web
• Servizi cloud pubblici
• Registri dei nomi di dominio
• Comando WHOIS
• Sniffer di pacchetti (Wireshark, tcpdump, WinDump, ecc.)
• Mappatura di rete (nmap)
• Comando DIG
• Ping
• Scanner di porte (Zenmap, TCP Port Scanner, ecc.)

Esiste una vasta gamma di strumenti e tecniche usati dagli hacker per raccogliere informazioni sui loro obiettivi, ognuno dei quali espone diversi dati che possono essere utilizzati per trovare porte d'accesso alle tue applicazioni, reti e database, che stanno diventando sempre più basati sul cloud. È importante proteggere i tuoi dati sensibili dietro difese SASE basate sul cloud, crittografia e pagine web sicure, per evitare che gli aggressori si imbattano in informazioni compromettenti mentre navigano tra le tue risorse accessibili pubblicamente, incluse app e servizi cloud.

Una volta che un attaccante ha raccolto abbastanza informazioni sul suo bersaglio, sceglierà uno o più vettori di attacco per iniziare l'intrusione nel tuo spazio. Un vettore di attacco è un mezzo per un hacker di ottenere accesso non autorizzato ai tuoi sistemi e alle tue informazioni. I vettori di attacco vanno da semplici a altamente tecnici, ma la cosa da tenere a mente è che, per gli hacker, i bersagli vengono spesso scelti valutando costi rispetto a ROI.

Tutto, dalla potenza di calcolo al time-to-value, è un fattore che gli attaccanti prendono in considerazione. Gli hacker tipici scorrono come acqua verso il percorso di minor resistenza, motivo per cui è così importante considerare tutti i possibili punti di ingresso lungo la superficie di attacco (tutti i punti totali in cui sei vulnerabile a un attacco) e rafforzare la sicurezza di conseguenza.

I vettori di attacco più comuni includono:

• Credenziali deboli o rubate
• Servizi di accesso remoto (RDP, SSH, VPN)
• Dipendenti negligenti
• Aggressori interni
• Crittografia scarsa o nessuna
• Errata configurazione del sistema
• Relazioni di fiducia tra dispositivi/sistemi
• Phishing (ingegneria sociale)
• Attacchi di negazione del servizio
• Attacchi man-in-the-middle (MITM)
• Trojan
• Attacchi di iniezione SQL
• E molti altri

Ricorda: un hacker ha bisogno di un solo vettore di attacco per avere successo. Pertanto, la tua sicurezza è forte solo quanto il suo punto più debole e sta a te scoprire dove si trovano quei potenziali vettori di attacco. Gli attacchi ransomware continuano a sfruttare i servizi di accesso remoto per entrare, effettuare movimenti laterali, rilevare dati sensibili per l'esfiltrazione, tutto prima di criptare e fare richieste di riscatto.

Quindi, di solito, una volta che un attaccante è dentro, la mossa successiva è trovare modi diversi per muoversi lateralmente nella rete o nelle risorse cloud e aumentare i privilegi di accesso affinché l'attacco raccoglia le informazioni più preziose e rimanga inosservato il più a lungo possibile. Prevenire questo tipo di comportamento richiede l'adozione dei principi di "Zero Trust" che, applicati all'architettura di sicurezza e reti, richiedono costantemente la riaffermazione dell'identità man mano che gli utenti si spostano da un'area all'altra all'interno di reti o applicazioni.

Rapporti: Rapporti di Netskope Threat Labs

Ora che un hacker ha avuto accesso ai tuoi sistemi, avrà la libertà di consegnare il carico utile di qualsiasi cosa abbia in serbo per te (malware, ransomware, spyware, ecc.). Configureranno programmi per ogni tipo di attacco, siano essi immediati, con ritardo temporale o innescati da una certa azione (attacco logico a bomba). A volte questi attacchi sono una mossa una tantum, altre volte gli hacker instaurano una connessione remota alla tua rete che viene costantemente monitorata e gestita.

Il rilevamento del malware con SWG di nuova generazione per TLS, decrittare e ispezionare il traffico web e cloud sono componenti chiave per impedire la consegna di questi tipi di payload. Sempre più gli attacchi sono consegnati via cloud, con il 68% dei malware che utilizza la consegna cloud invece che la consegna web. Eseguire servizi di scansione delle minacce inline per il traffico web e cloud, insieme a tenere conto dello stato di tutti i dispositivi endpoint, è fondamentale per garantire che la tua azienda non sia infettata da software malevolo.

Una volta che il payload previsto dall'attaccante è stato consegnato, inizia lo sfruttamento di un sistema, a seconda del tipo di attacco. Come già detto, alcuni attacchi sono ritardati e altri dipendono da un'azione specifica compiuta dal bersaglio, nota come logic bomb. Questi programmi a volte includono funzionalità di offuscamento per nascondere la loro attività e origine e prevenire il rilevamento.

Una volta attivato il programma eseguibile, l'hacker potrà iniziare l'attacco come previsto, il che ci porta ai passaggi successivi, che comprendono diversi tipi di sfruttamento.

Se un hacker vede l'opportunità per futuri attacchi, la sua prossima mossa è installare una backdoor per un accesso costante ai sistemi del bersaglio. In questo modo possono muoversi dentro e fuori dalla rete del bersaglio senza correre il rischio di essere rilevati rientrando attraverso altri vettori di attacco. Questo tipo di backdoor può essere creato tramite rootkit e credenziali deboli, e finché il loro comportamento non sollevi segnali d'allarme per il team di sicurezza (come tempi di accesso insoliti o grandi movimenti di dati), queste intrusioni possono essere difficili da rilevare. L'architettura SASE sta unendo le difese di sicurezza per raccogliere metadati ricchi su utenti, dispositivi, app, dati, attività e altri attributi per facilitare le indagini e migliorare la rilevazione delle anomalie.

Ora che i programmi e le backdoor sono installati, un attaccante prenderà il controllo dei sistemi ed eseguirà qualsiasi attacco abbia in serbo per te. Qualsiasi azione intrapresa qui è esclusivamente per mantenere il controllo della situazione con il bersaglio, che può assumere ogni tipo di forma, come la piazza di ransomware, spyware o altri mezzi per l'esfiltrazione di dati in futuro.

Purtroppo, una volta che scopri un'intrusione ed esfiltrazione, probabilmente è troppo tardi: gli hacker hanno il controllo del tuo sistema. Ecco perché è importante avere misure di sicurezza che monitorino e valutino i movimenti dei dati per qualsiasi attività sospetta. Una macchina ha molte più probabilità di rilevare e prevenire comportamenti dannosi più rapidamente rispetto a qualsiasi amministratore di rete.

White Paper: Proteggere i dati tramite machine learning

Tutto ha portato a questo. Questa è la fase di esecuzione continua in cui un attaccante agisce sul proprio bersaglio e può criptare i tuoi dati per riscatto, esfiltrare i tuoi dati per guadagno economico, far crollare la rete tramite il negazione del servizio o monitorare il comportamento del sistema per eventuali altre aperture tramite spyware, solo per citare alcuni possibili risultati. Spionaggio e monitoraggio sono azioni guida in quest'ultimo passaggio della kill chain, dove gli attaccanti mantengono un profilo basso e persistono.

È qui che il monitoraggio in tempo reale del movimento dei dati e il rilevamento di comportamenti sospetti sono cruciali, poiché gli attaccanti si muovono il più rapidamente possibile per raggiungere i loro obiettivi. Non c'è mai abbastanza tempo per reagire a ogni possibile anomalia all'interno di una grande struttura aziendale, quindi il tuo ruolo nella prevenzione deve essere proattivo invece che reattivo.