Per il 13° anno consecutivo, Verizon ha pubblicato il suo Data Breach Investigations Report, una fonte completa di informazioni relative alle violazioni di dati che offre approfondimenti preziosi ai CISO e ai CIO. Il report di quest’anno è stato stilato sulla base dei dati ricevuti da 81 organizzazioni, tra cui società di sicurezza informatica, forze dell’ordine, centri di analisi e condivisione di informazioni (ISAC), team di risposta alle emergenze informatiche (CERT), società di consulenza e agenzie governative. Include 157.525 incidenti segnalati e 108.069 violazioni. Nelle sue 119 pagine offre numerose informazioni da assimilare. Qui illustreremo in dettaglio i risultati più importanti e forniremo suggerimenti per la gestione delle vostre operazioni di sicurezza.
Chi c’è dietro la maggior parte degli attacchi informatici?
Sebbene gli attacchi da parte di insider siano in aumento e rappresentino circa il 30% del totale, il numero di gran lunga maggiore di minacce per la vostra organizzazione proviene da autori esterni. I dati dell’anno scorso mostrano che il 70% delle violazioni è stato portato a termine da esterni. Solo l’1% ha coinvolto più parti e, ancora una volta, solo l’1% ha coinvolto azioni dei partner. Nel report si legge che:
È bene comunque precisare che il numero di minacce provenienti da una particolare origine non riflette necessariamente la dimensione del rischio presentato da tali minacce: un attacco da parte di un insider, infatti, potrebbe, a seconda della natura, causare un danno dieci volte superiore rispetto a un attacco esterno. Detto questo, e premesso che i team di sicurezza devono comunque continuare a concentrarsi sugli attacchi di qualsiasi origine, dai dati risulta abbastanza chiaro che gli autori di minacce esterni sono pronti non solo per bussare alla vostra porta, ma per sbaragliare le vostre difese.
Chi sono questi “autori esterni”, oltre a non essere vostri dipendenti? Circa il 55% di essi è stato classificato come “criminalità organizzata”, un termine che si riferisce a “criminali che seguono processi precisi, non alla mafia”. Forse una definizione più chiara potrebbe essere attacchi da parte di criminali con un obiettivo e una metodologia osservabili in modo chiaro. Parleremo degli “obiettivi” nella prossima sezione; per il momento, è importante notare che l’utilizzo del termine “criminali” esclude gli autori sponsorizzati da stati nazione, mentre l’uso di “processi” esclude gli attacchi opportunistici, gli hacktivisti e gli attacchi per i quali non è stato possibile individuare un movente.
Qual è l’obiettivo degli autori di minacce?
Se pensate che la risposta a questa domanda da 64 milioni di dollari sia “soldi”, avete ragione. Almeno per quanto riguarda la stragrande maggioranza degli attacchi. Secondo il report, le motivazioni finanziarie sono alla base di circa l’86% delle violazioni. Ciò non dovrebbe stupire chi opera nel settore della sicurezza, mentre potrebbe sorprendere altri nella vostra organizzazione che continuano a sentir parlare di hacker di alto profilo sponsorizzati da stati nazionale e di APT (minacce persistenti avanzate).
Il fatto che l’accento sia posto sul ritorno economico ci porta a fare un’altra interessante considerazione: gli hacker lanciano per lo più attacchi che non comprendono più di due o tre fasi. Attacchi più complicati vengono abbandonati o probabilmente vengono condotti da più hacker persistenti Il motivo è che i criminali informatici spinti da ragioni economiche cercano di automatizzare il più possibile gli attacchi, accontentandosi di raccolti meno ricchi piuttosto che investire tempo e sforzi per prendere di mira bersagli più ostici. Dietro il fatto che operino a velocità elevata e su vasta scala e che utilizzino strumenti di targeting e sfruttamento automatizzati c’è il semplice calcolo del ROI. La lezione che i defender possono trarre da questa considerazione è semplice: se si coprono le basi della sicurezza e si fa lavorare sodo i criminali, la maggior parte di essi si rivolgerà altrove.
Ma sebbene il denaro possa essere in ultima analisi l’obiettivo principale degli hacker, spesso ottengono molto di più. Più in particolare, il 58% degli attacchi ha portato alla compromissione di dati personali, mentre il 37% di essi è stato caratterizzato dall’utilizzo o dal furto delle credenziali degli utenti. Ciò indica, come vedremo sotto, che le credenziali degli utenti sono un bene primario per gli autori di minacce. È importante inoltre notare che la violazione di un’organizzazione potrebbe servire per prendere di mira un altro obiettivo più redditizio. Magari avete un server poco sicuro che un hacker è interessato a sfruttare solo per introdurre una botnet nell’ambito di un attacco DDoS diretto a qualcun altro; oppure fate parte della supply chain di una vittima più redditizia o siete un provider di servizi gestiti compromesso il cui reale valore per l’autore di una minaccia risiede nei vostri clienti piuttosto che nella vostra organizzazione in sé.
Come fanno gli hacker a violare le vostre difese?
I dati a questo riguardo sono : furto, phishing o sottrazione di credenziali mediante attacchi brute force sono i mezzi principali degli hacker che, una volta infiltratisi nella rete della vittima, perseguono un altro obiettivo principale: sottrarre ulteriori credenziali da vendere o utilizzare per ottenere persistenza. In oltre l’80% dei casi, le violazioni effettuate tramite hacking hanno incluso brute force o l’utilizzo di credenziali utente smarrite o rubate. Questo non ci sorprende. Si ritiene che il credential stuffing, che implica l’utilizzo di un elenco di combinazioni di nome utente e password (spesso ottenuti in seguito ad altre violazioni) su più account, avvenga decine di milioni di volte al giorno.
Ciò è strettamente legato al fatto che numerose organizzazioni hanno trasferito una quantità notevole di servizi e dati nel cloud, dove è più difficile introdurre il malware. Gli hacker, invece, optano per una soluzione molto più semplice e scalabile: bombardano il servizio con richieste di accesso utilizzando le credenziali che hanno sottratto o ottenuto mediante dump di dati. E, dato che ora i ransomware attack più aggressivi estraggono i dati prima di crittografarli, è molto probabile che questi dati vengano venduti o addirittura riutilizzati dagli stessi hacker per “infiltrarsi” nuovamente nell’account della stessa organizzazione in un secondo momento. Nel report si legge che:
Data la notevole attenzione posta al furto di credenziali, sia per la compromissione che per ottenere persistenza, è imperativo che le organizzazioni si concentrino maggiormente sulla propria sicurezza.
Il social engineering continua a essere il principale metodo utilizzato per sottrarre nuovi credenziali, supportare le prime fasi degli attacchi e/o effettuare tentativi di frode a scopo economico ai danni delle aziende. Circa il 96% degli attacchi di phishing è stato effettuato tramite e-mail malevole o malspam. I tipi di file maggiormente utilizzati dagli autori delle minacce sono stati i documenti di Office e le applicazioni di Windows. Altri tipi di file utilizzati in misura minore sono script di shell, archivi, Java, Flash, PDF, DLL e applicazioni Linux, Android e macOS.
Quali sono le risorse che gli hacker sfruttano maggiormente?
Sebbene gli attacchi contro asset on-premise abbiano continuato a dominare il panorama delle minacce con circa il 70% delle violazioni, nell’ultimo anno gli asset cloud sono stati interessati da circa il 24% delle violazioni. Di questi, i server di posta elettronica o di applicazioni web sono stati interessati il 73% delle volte e, in questi casi, il furto di credenziali è avvenuto il 77% delle volte. È chiaro che gli hacker sanno che le organizzazioni conservano informazioni sensibili nelle infrastrutture e nelle applicazioni cloud e, di conseguenza, stanno adattando i loro sforzi in linea con questa tendenza al fine di sottrarre e ottenere un ritorno economico da queste informazioni.
I server di applicazioni web sono presi di mira più frequentemente di qualsiasi altra risorsa (incluso il social engineering diretto alle persone). In genere, gli attacchi implicano l’utilizzo di credenziali rubate (come già detto in precedenza) o lo sfruttamento di vulnerabilità non coperte da patch.
I team di sicurezza dovrebbero prestare attenzione a questo particolare fatto: solo in circa la metà dei casi le vulnerabilità segnalate vengono effettivamente corrette entro tre mesi dalla rilevazione. Ciò rappresenta un punto debole per due motivi. In primo luogo, gli hacker agiscono spesso rapidamente per anticipare il ciclo delle patch, utilizzando servizi come Shodan per scansionare l’intera rete alla ricerca di dispositivi vulnerabili. In secondo luogo, e questo è un punto che potrebbe venire tralasciato, i team IT che non applicano patch entro i primi tre mesi dalla rilevazione di una vulnerabilità hanno maggiori probabilità di non farlo nemmeno in seguito. Tra le vulnerabilità che ricevono un’attenzione particolare da parte degli hacker vi sono quelle relative a SQL, a PHP e all’iniezione locale di file, mentre gli obiettivi più frequenti sono quelli del settore retail.
Prassi di sicurezza inadeguate rendono le aziende più vulnerabili?
Si dice che errare sia umano, ma le organizzazioni sono persone guidate da processi e l’errore umano è qualcosa che le aziende, se non gli individui al loro interno, possono controllare con una migliore implementazione e supervisione dei processi. In particolare, nelle violazioni segnalate l’errore umano è sempre più spesso una causa di configurazioni errate dello storage. Secondo i dati, gli errori sono stati significativi nel 22% delle violazioni confermate. Per avere un’idea più chiara delle proporzioni, i dati in questione indicano che si tratta della stessa percentuale attribuita all’utilizzo del social engineering da parte degli hacker.
Se da una parte è positivo che un certo numero, forse anche significativo, di violazioni dovute a un’errata configurazione dello storage sia segnalato dagli esperti di sicurezza piuttosto che essere rilevato dagli autori delle minacce, dall’altra tali segnalazioni tendono a fare notizia e il danno alla reputazione, anche se difficile da quantificare, potrebbe comportare costi pari al furto di dati da parte di un hacker.
Quali sono i malware più utilizzati dagli hacker?
Circa il 17% delle violazioni confermate ha riguardato una qualche forma di malware. Più in particolare, nel 27% dei casi si è trattato di ransomware. Ciò non dovrebbe sorprendere, visto il volume di incidenti di alto profilo segnalati dai media nel corso dell’anno precedente.
Come SentinelLabs nota da qualche tempo, le tattiche che coinvolgono ransomware si sono evolute negli ultimi mesi e ora includono un elemento di estorsione: dopo aver estrapolato i dati prima della cifratura, gli hacker minacciano di diffondere i dati sensibili o la proprietà intellettuale dei clienti se le vittime non pagano. Questa tendenza è diventata più diffusa dopo il termine utile per la raccolta dati di Verizon, per cui sarà maggiormente in primo piano nel report del prossimo anno. Tuttavia, anche prima dell’ottobre 2019 (data ultima dei dati inclusi nel report 2020), il ransomware aveva mostrato un incremento già nella prima parte dell’anno. Il ransomware era stato descritto nel seguente modo:
Tra i vari settori inclusi nel report, quello pubblico e quello dell’istruzione sono stati pesantemente presi di mira dagli autori di attacchi ransomware nel corso dell’anno.
Il tipo di malware più comune è risultato essere il dumper di password, il che è in linea con i dati che indicavano che il furto di credenziali era la priorità assoluta per la maggior parte degli autori di minacce. Dopo i dumper, i malware più diffusi sono risultati essere i downloader (ad esempio, Emotet e TrickBot) e i cavalli di Troia, che in larga misura sono uno strumento associato agli hacker di livello avanzato che cercano la persistenza a lungo termine attraverso backdoor e funzionalità C2. È interessante notare il significativo calo registrato dal malware criptojacking, la cui popolarità era risultata in forte ascesa nel corso del 2017 e, in particolare, del 2018.
I suggerimenti di SentinelOne
Sebbene non sia possibile illustrare qui tutti i dettagli inclusi nelle 119 pagine del report, ci auguriamo di essere riusciti a tracciare un quadro chiaro dei suoi principali risultati. In questa sezione, offriremo alcuni suggerimenti basati sulla lettura dell’intero report e sulla telemetria di SentinelOne.
A differenza delle APT, la maggior parte degli hacker non cerca attacchi estremamente complicati in più fasi. Ciò significa che la rilevazione di un attacco in qualsiasi fase – piuttosto che in ogni fase – del ciclo di vita della minaccia (la cosiddetta “kill chain”) aumenterà significativamente le vostre possibilità di evitare una violazione. Inoltre, più tempestiva è la rilevazione, maggiori sono le possibilità di costringere l’hacker a restare a mani vuote e a tentare la sua fortuna altrove. Come recentemente dimostrato dai risultati della valutazione MITRE ATT&CK, SentinelOne offre prestazioni eccellenti nel bloccare gli attacchi in tutte le fasi, ma è particolarmente efficace nel prevenire che si diffondano. Ecco allora il nostro primo suggerimento: assicuratevi di disporre di un’affidabile e comprovata piattaforma AI di nuova generazione per proteggere i vostri endpoint.
Come abbiamo visto sopra, gli hacker utilizzano attacchi automatici per rendersi la vita più facile. Per complicargli le cose, allora, non lasciate aperte porte non necessarie e riducete il numero delle porte esposte. Consentite l’accesso a internet solo ai servizi essenziali e limitate l’utilizzo di questi servizi solo a chi ne ha effettivamente bisogno. SSH e Telnet (rispettivamente sulle porte predefinite 22 e 23) sono un bersaglio comune per i tentativi di connessione malevoli. Chi ne ha effettivamente bisogno nella vostra organizzazione? Dopo averlo stabilito, limitatene l’accesso da parte degli altri.
Per gli hacker le credenziali costituiscono una miniera d’oro. Assicuratevi che i vostri sistemi Windows non utilizzino più i vecchi protocolli LM e NTLMv1 e applicate i nostri suggerimenti riportati qui per proteggere le credenziali di Windows.
I dati sono la vostra linfa vitale. Controllate l’accesso ai dati, mantenete un inventario aggiornato dei file riservati e sensibili e, soprattutto, utilizzate la crittografia.
Oltre ai server protetti in modo inadeguato, un altro dei principali “asset” bersaglio degli hacker sono le persone, vittime di attacchi di social engineering e phishing. Continuate quindi a gestire i programmi di sensibilizzazione degli utenti per informare il vostro personale in merito agli attacchi di phishing. Supportateli con un software automatizzato per la sicurezza degli endpoint in grado di rilevare il malware anche se cliccano su un link malevolo o scaricano un file nell’ambito di uno scam. Rendete la vita più difficile agli hacker implementando il metodo 2FA e MFA per tutti gli account di accesso degli utenti.
Errori e configurazioni non corrette sono la porta di accesso secondaria che gli hacker utilizzano per la compromissione. Eseguite una revisione approfondita delle autorizzazioni di storage e, fattore altrettanto importante, implementate processi di revisione adeguati che possano aiutare a prevenire e identificare eventuali errori di configurazione. Quante persone sono autorizzate a gestire repository senza alcun tipo di revisione o controllo di sicurezza? “Nessuna” è la risposta che cercate.
Infine, un suggerimento che vi è stato già offerto in precedenza e di cui senza dubbio sentirete parlare di nuovo: applicate le patch in modo tempestivo e frequente. Secondo le statistiche, la mancata applicazione di patch entro i primi tre mesi dal rilevamento di una vulnerabilità indica che la vostra organizzazione non provvederà a farlo nemmeno in futuro, una mancanza che non vorrete diventi nota ai vostri avversari.
Conclusione
È risaputo, ma vale la pena ribadirlo, che la maggior parte degli autori di minacce è in cerca di denaro. E se è vero che le organizzazioni hanno iniziato la migrazione dall’on-premise al cloud, gli hacker non sono stati certo a guardare. Mentre il modello della rete senza perimetro e Zero Trust si diffonde in tutte le imprese globali, gli hacker si preoccupano soprattutto di ottenere credenziali di accesso dal valore inestimabile. E fintanto che le organizzazioni continueranno a fare affidamento sulle e-mail e si aspetteranno che le persone clicchino sui link per svolgere il loro lavoro, gli hacker continueranno a inviare link di phishing per svolgere il loro lavoro.
I dati più recenti delle indagini sulle violazioni riflettono le attuali prassi di comportamento delle organizzazioni. Qualunque direzione prendano, gli hacker sono pronti a seguirle. Per prevenire le violazioni è necessario riconoscere questa relazione simbiotica, anticipare i pericoli e mettere in atto le soluzioni di sicurezza, le prassi relative alle persone e i processi organizzativi in grado di rendere il prezzo di un attacco superiore a quello che l’autore di una minaccia è disposto a pagare.
Per scoprire in che modo SentinelOne può aiutarvi a proteggere la vostra azienda dalle violazioni della sicurezza, contattateci oggi stesso o richiedete una demo gratuita.