È passato appena un mese dall'inizio del nuovo anno, ma il wiperware è tornato a far parlare di sé. DevPro Journal rileva un "drastico aumento" a partire dall'anno scorso, probabilmente a causa di conflitti geopolitici. Che cos'è il wiperware e come puoi proteggere la tua organizzazione?
Che cos'è il wiperware?
Il wiperware viene spesso utilizzato come parte di un attacco di minaccia persistente avanzata (APT) contro le infrastrutture critiche. A differenza degli attacchi finalizzati al guadagno finanziario attraverso l'estorsione o il furto di dati, lo scopo del wiperware è puramente quello di distruggere o causare scompiglio. Questa tattica è popolare tra gli attori degli Stati nazionali o i terroristi, per cui questi attacchi aumentano tipicamente durante i periodi di conflitto geopolitico.
Come si può contrastare il wiperware?
Pensa a un buon sistema di Identity Threat Detection and Response (ITDR) come a una cipolla, che fornisce più strati di protezione. Gli strati esterni comprendono strategie come la formazione degli utenti per individuare le e-mail di phishing e l'implementazione del rilevamento e della risposta degli endpoint (EDR).
Ma i cyberattaccanti stanno diventando sempre più abili nel trovare il modo di superare questi strati esterni. E quando gli aggressori riescono a entrare nella rete, lo step successivo è l'attacco all'infrastruttura delle identità. Per il 90% delle organizzazioni, ciò significa Active Directory (AD) e Azure AD.
L'accesso all'infrastruttura di identità ibrida può consentire agli attori delle minacce di impadronirsi di un numero ancora maggiore di risorse critiche nell'ambiente colpito. Ecco perché la sicurezza dell'infrastruttura di identità deve essere al centro della tua strategia di resilienza informatica.
Tenendo a mente questo concetto, ecco tre cose che puoi fare oggi per rafforzare la sicurezza identity-first e respingere wiperware e altre forme di attacco informatico.
Fase 1: implementare una difesa a strati
I sistemi di identità sono un obiettivo primario per gli attori delle minacce e l'uso improprio delle credenziali è il metodo più diffuso per le violazioni della sicurezza. Gartner sottolinea la necessità di una "difesa in profondità", con particolare attenzione all'identità.
L'EDR è uno strumento di sicurezza importante, ma non può essere utilizzato come unica difesa. La migliore difesa è una difesa a strati.
Per quanto possa sembrare allettante il consolidamento dei fornitori, puntare tutto su un unico paniere di sicurezza presenta notevoli svantaggi. La resilienza informatica richiede un certo livello di ridondanza per evitare un singolo punto di guasto, soprattutto quando si tratta di ITDR.
Gartner osserva che: "Un approccio a più livelli che coinvolga l'ITDR è il modo migliore per affinare la preparazione ai cyberattacchi… Occorre colmare le lacune dell'ITDR valutando l'intera gamma di vettori di attacco e la telemetria. Pianifica l'utilizzo di un mosaico di strumenti che si completino a vicenda e che possono sovrapporsi, per soddisfare i requisiti di una soluzione ITDR completa".
Il modo migliore per proteggere il sistema di identità? Cercare una soluzione ITDR che si concentri specificamente sulla protezione del sistema di identità. Per il 90% delle organizzazioni aziendali, ciò significa Active Directory (AD) e Azure AD.
Fase 2: monitorare AD ibrido
Quando si tratta di monitorare l'infrastruttura di identità on-premise o ibrida, è fondamentale un monitoraggio regolare della superficie di attacco delle identità. Il monitoraggio può aiutarti a identificare le potenziali vulnerabilità prima che lo facciano gli aggressori.
Una strategia di monitoraggio efficace deve essere specifica per Active Directory. Gli aggressori stanno diventando sempre più abili nel trovare modi per eludere l'autenticazione a più fattori (MFA), l'EDR e persino le soluzioni di gestione delle informazioni e degli eventi di sicurezza (SIEM) e di orchestrazione, automazione e risposta della sicurezza (SOAR). Per questo motivo, la sicurezza identity-first richiede una soluzione di monitoraggio che fornisca informazioni in tempo reale e strade percorribili.
Un modo semplice per iniziare è quello di esplorare gli strumenti gratuiti della comunità, come ad esempio Purple Knight e Forest Druid.Purple Knight analizza gli indicatori di sicurezza, sia gli indicatori di compromissione (IOC) che gli indicatori di esposizione (IOE). Forest Druid fornisce la mappatura e la gestione dei percorsi di attacco Tier 0. Soluzioni a pagamento come Semperis Directory Services Protector (DSP) offrono il monitoraggio di IOC e IOE, oltre al rollback automatico delle modifiche sospette e alla risposta estesa agli incidenti.
Fase 3: prepararsi al recupero
Essere presi di mira dai cyberattacchi non è più una questione di "se" ma di "quando". I backup testati e privi di malware dei sistemi di identità principali sono un must. Purtroppo, la nostra recente indagine su oltre 50 organizzazioni mostra che il 77% degli intervistati subirebbe un impatto grave o catastrofico nel caso di un cyberattacco che distrugge Active Directory.
Come si possono migliorare le possibilità di recupero da un attacco di questo tipo?
- Implementare un backup incentrato su AD. I backup dello stato del sistema e del ripristino bare-metal (BMR) non sono sufficienti per la difesa di AD. Un backup specifico per AD consente un ripristino più rapido dell'ambiente e ha un'impronta di backup più piccola. Ad esempio, Semperis Active Directory Forest Recovery (AFDR) protegge dalla reintroduzione di malware e può essere automatizzato per evitare errori umani e ridurre i tempi di inattività da ore, giorni o settimane a pochi minuti.
- Includi nel vostro piano di ripristino d'emergenza i passaggi specifici per l'implementazione e la verifica dei backup, del ripristino e della manutenzione critica i Active Directory.
- Testa i backup e pratica regolarmente i processi di ripristino della foresta AD, in modo da avere la massima preparazione necessaria per il ripristino di Active Directory.
Eliminare le minacce wiperware
Una strategia di sicurezza informatica che protegga sia gli endpoint che le fondamenta dell'identità, evitando al contempo singoli "point of failure", è la migliore difesa contro qualsiasi attacco informatico, compreso il wiperware. Aggiungi la sicurezza identity-first al tue elenco delle priorità per il 2023 e avrai una cosa in meno di cui preoccuparti.
