Gli aggressori lanciano attacchi contro le organizzazioni e gli utenti che esse proteggono ogni giorno e sfruttando tutte le opportunità a loro disposizione; spesso, agiscono durante le festività più importanti, quando gli utenti sono meno vigili e i team del centro operativo per la sicurezza (SOC) sono fuori sede. Le violazioni di alto profilo, che causano danni significativi, finiscono per fare notizia. Queste storie, di solito, non descrivono nel dettaglio gli eventi relativi alla sicurezza e i comportamenti impiegati dagli aggressori che aiuterebbero i team IT e di sicurezza a rafforzare le loro difese.

Utilizzo dei dati per una migliore prevenzione

Sfruttando il security cloud più grande del mondo, i nostri ricercatori interni di ThreatLabz ricevono un flusso continuo di dati, classificati come segnali, da analizzare e condividere con la più grande community di SecOps. Utilizzando tecniche avanzate, tra cui analisi basate su IA ed ML, ThreatLabz è in grado di identificare e bloccare ogni giorno più di 250 miliardi di indicatori di minacce per i nostri clienti. La maggior parte delle minacce bloccate è costituita da minacce già note, ma ThreatLabz e i clienti di Zscaler utilizzano la quarantena basata sull'IA di Zscaler Cloud Sandbox per intercettare quelle sconosciute e impedirne la consegna agli utenti. Le sequenze di attacco, che solitamente si svolgerebbero su un dispositivo, avvengono invece in un ambiente separato e virtuale che cattura e identifica i comportamenti illeciti, condividendo la protezione a tutti gli utenti, indipendentemente dalla loro posizione.

Quali sono le buone notizie? Gli attacchi informatici condividono degli schemi simili. Con un piccolo aiuto dalla matrice MITRE ATT&CK e adottando una mentalità da hacker, è possibile anticipare la mossa successiva degli aggressori e rafforzare le difese in ogni fase dell'attacco. Per illustrare meglio questo aspetto, assumiamo il ruolo di "Alex", un analista senior della sicurezza per A2Z Health Services, che ha ricevuto un avviso di attività insolite dal sistema delle cartelle cliniche dei pazienti. Dopo una rapida verifica, ha capito che A2Z si trova nel bel mezzo di un attacco, ma c'è ancora tempo per impedire ulteriori danni. Diamo uno sguardo al ciclo di vita dell'attacco e cerchiamo di capire dove gli strumenti di sicurezza di A2Z avrebbero dovuto intervenire per salvare la situazione e quali sono i punti deboli nelle misure difensive adottate.

Uno sguardo più da vicino al ciclo di vita di un attacco

1. Ricognizione

Gli aggressori più avanzati conducono delle missioni di ricognizione in cui perlustrano l'ambiente per raccogliere informazioni preziose e creare un piano di attacco. Un programma di formazione sulla sicurezza informatica condotto da esperti può aiutare i dipendenti a rimanere all'erta.

Come si suol dire, il tempo speso nella ricognizione è raramente tempo sprecato. Un gruppo di aggressori chiamato Frying Pan ha scelto A2Z Health Services come sua prossima vittima, e Jim, uno specialista in rendicontazione e finanza, come suo prossimo target. Utilizzando l'ingegneria sociale, Frying Pan ha potuto raccogliere informazioni sull'identità della vittima, ad esempio attraverso le e-mail del personale.

2. Accesso iniziale

Dopo aver identificato i vettori di ingresso, gli aggressori tenteranno di ottenere l'accesso iniziale alla rete. Le tecniche più comuni, come l'utilizzo di un account valido, possono essere contrastate con l'autenticazione a due fattori o la rotazione delle password. Sfortunatamente, lo strumento di sicurezza delle e-mail di Jim non ha rilevato una campagna di spearpishing. Per mitigare questo problema, in futuro, Alex e il suo team potranno utilizzare la quarantena basata sull'IA di Zscaler Cloud Sandbox per analizzare e bloccare i file sospetti, anche nei casi in cui il malware è distribuito tramite HTTPS, un protocollo criptato, e un provider o programma attendibile, come Google Drive e Microsoft OneDrive. Per via della fiducia riposta nel suo fornitore, Jim ha cliccato sul link di una fattura non pagata che gli ha fatto scaricare un file Excel contenente una macro dannosa. Il rilevamento e la risposta dell'endpoint (EDR) e la scansione dell'antivirus non hanno riconosciuto alcuna firma o comportamento noto.

3. Esecuzione

Ora che gli aggressori hanno ottenuto l'accesso, possono utilizzare più tattiche contemporaneamente, a seconda dei loro obiettivi. Tornando a Frying Pan, questo utente malintenzionato vuole eseguire il malware sul sistema locale di Jim per far sì che la macro avvii il download e l'installazione di DLL dannose. Per identificare una compromissione in corso e avvisare i team pertinenti, dovrebbero essere attive delle funzioni di EDR e SIEM (Security Information Event Management). Per gli utenti di Zscaler Internet Access (ZIA) con Advanced Cloud Sandbox, l'ispezione dei contenuti inline identifica la potenziale minaccia sconosciuta, analizza i contenuti e termina le connessioni dannose.

4. Accesso alle credenziali ed escalation dei privilegi

Per mantenere l'accesso continuo ed eludere il rilevamento, gli avversari hanno bisogno di nomi degli account e password. Alex e il team di sicurezza hanno determinato che Frying Pan ha ottenuto le credenziali degli utenti sfruttando gli archivi delle password e la forza bruta, tecniche attraverso cui è stato possibile raggiungere un utente con più privilegi e con accesso al controller di dominio. Dopo aver modificato le configurazioni che mediano e rispondono alle richieste di autenticazione di sicurezza, Frying Pan si è aperto la strada verso la rete e i sistemi di A2Z. Purtroppo per Alex e A2Z, le loro soluzioni VPN e di gestione degli accessi sono state bypassate; inoltre, non disponendo della segmentazione da utente ad app e tra carichi di lavoro o di esche da sfruttare, non è stato possibile bloccare la diffusione dell'infezione.

5. Movimento laterale

Facendo leva su un accesso praticamente senza ostacoli, gli aggressori sono ora in grado di passare da un'applicazione all'altra e da un sistemo o un account all'altro per portare a termine la loro missione. Invece di installare il proprio strumento di accesso remoto, Frying Pan ha utilizzato delle credenziali legittime per spostarsi lateralmente, e per questo motivo ha potuto agire in modo indisturbato senza farsi notare. Questo si verifica molto spesso, sopratutto perché la maggior parte delle organizzazioni si affida ai firewall di nuova generazione (NGFW) o alla segmentazione della rete.

Un'architettura zero trust è fondamentale per ostacolare il movimento laterale. Il principio che garantisce che Zscaler Private Access (ZPA) connetta solo utenti e dispositivi autenticati alle app autorizzate può essere riassunto nel motto "Mai fidarsi, verificare sempre". Se gli utenti non vengono mai collocati sulla rete, le app non vengono mai pubblicate su Internet, e rimangono quindi invisibili agli utenti non autorizzati.

6. Raccolta ed esfiltrazione

Analogamente alla fase di ricognizione, gli aggressori cercano e raccolgono informazioni rilevanti, ma a differenza della fase precedente, ora i dati raccolti sono destinati a essere utilizzati per altri scopi nefasti, come l'estorsione. Un CASB (Cloud Access Security Broker) e una tecnologia di prevenzione della perdita di dati (DLP) possono intervenire per impedire la condivisione eccessiva e bloccare l'esfiltrazione dei dati.

La fase di raccolta era in corso quando Alex ha notato per la prima volta delle attività di rete sospette nel sistema delle cartelle cliniche dei pazienti, come l'accesso al sistema durante orari non lavorativi e da località geografiche insolite che indicavano tragitti impossibili. Dopo qualche altra indagine, è risultato evidente che le tecniche di esfiltrazione non erano iniziate. Anche se alcuni aggressori si fermano qui, con l'intenzione di lasciare una backdoor aperta per raccogliere e rubare altri dati o proprietà intellettuali, Alex e il team di sicurezza anticipano un attacco ransomware e agiscono disconnettendo il sistema dei dati dei pazienti dalla rete e disabilitando l'accesso per gli utenti compromessi.

Per le sfortunate vittime di un attacco ransomware, i passaggi successivi all'esfiltrazione dei dati sono:

7. Installazione del ransomware e richiesta di pagamento del riscatto

Di solito, i criminali informatici non creano un proprio ransomware. Sono invece affiliati a dei creatori di ransomware-as-a-service, come LockBit o Conti, e corrispondono loro una determinata percentuale della somma ottenuta per il riscatto. In questo modo, i criminali possono concentrarsi sulla ricerca e sul targeting delle vittime, mentre i creatori sullo sviluppo del loro "prodotto".

I team addetti alla sicurezza se la vedono molto dura nello scenario attuale. Più cresce l'impronta dell'azienda, più risulta fondamentale impedire agli utenti malintenzionati di ottenere l'accesso iniziale e di muoversi lateralmente, sfruttando la protezione da paziente zero e la protezione dalle minacce inline di Zscaler Cloud Sandbox, una componente di Zero Trust Exchange. Scopri di più su come la piattaforma Zero Trust Exchange offre una difesa completa contro l'intero ciclo di vita di un attacco.