Semperis

Ogni anno, il numero totale di attacchi informatici e il costo dei danni legati al ransomware aumentano a livello globale. Microsoft ha recentemente riferito che i tentativi di attacco con password sono passati "da circa 3 miliardi al mese a oltre 30 miliardi". È evidente che un approccio proattivo alla mitigazione degli attacchi basati sull'identità è un buon proposito per il nuovo anno.

Per aiutarvi a ottenere il massimo dalla pianificazione del rilevamento e della risposta alle minacce all'identità (ITDR) di quest'anno, i nostri esperti di sicurezza dell'identità hanno individuato tre tendenze che ci aspettiamo diventino sempre più rapide nel 2024:

  • Gli attori delle minacce aumenteranno gli attacchi informatici alle infrastrutture critiche, tra cui l'energia, la sanità e l'istruzione.
  • L'evoluzione delle tattiche, delle tecniche e delle procedure (TTP) delle minacce renderà la sicurezza delle identità a più livelli più importante che mai.
  • La sicurezza basata sull'identità continuerà a essere un fattore primario per la sicurezza operativa e la resilienza.

Ecco cosa c'è da sapere su queste tendenze.

Tendenza 1: attacchi basati sull'identità alle infrastrutture critiche

Ricordate quando i cyberattaccanti dichiaravano di tenersi alla larga da ospedali e altre agenzie e organizzazioni critiche? Quei giorni sono passati.

Si consideri la ritorsione del gruppo di ransomware BlackCat/ALPHV per l'interruzione delle sue operazioni da parte dell'FBI alla fine dello scorso anno. Il gruppo ha notificato agli affiliati il suo programma di ransomware-as-a-service (RaaS): "Ora potete bloccare ospedali, centrali nucleari, qualsiasi cosa, ovunque".

Cosa sta guidando questa tendenza?

Le crescenti tensioni geopolitiche e la semplice avidità hanno messo le infrastrutture nel mirino degli attacchi basati sull'identità.

Quando si tratta del settore pubblico - unacategoria che comprende la polizia, i servizi medici di emergenza (EMS), i centri traumatologici di livello 1, l'acqua, l'energia elettrica, gli aeroporti, i porti e altre infrastrutture critiche "sempre attive" - "la posta in gioco non è solo in termini di dollari e Bitcoin. Sono in gioco vite umane", afferma Jeff Pitts, direttore del settore pubblico di Semperis.

Le organizzazioni federali, statali, locali e dell'istruzione (SLED) negli Stati Uniti e in tutto il mondo stanno lanciando l'allarme.

Il National Cyber Security Center (NCSC) Annual Review 2023 del Regno Unito ha evidenziato che "gli attori allineati agli Stati sono una nuova ed emergente minaccia informatica per le infrastrutture critiche nazionali", osservando che "la sfida è globale e sistemica". Particolarmente preoccupante:

  • Gli hacker sponsorizzati dallo Stato cinese prendono di mira le infrastrutture statunitensi
  • Attacchi DDoS e wiper di matrice russa contro l'Ucraina
  • Campagne di spear-phishing contro obiettivi governativi ed educativi di "interesse" per l'Iran
  • Attacchi informatici nordcoreani "prolifici", anche contro organizzazioni governative

La rete di condivisione dell'intelligence Five Eyes, che comprende funzionari dell'intelligence di Stati Uniti, Gran Bretagna, Canada, Australia e Nuova Zelanda, ha anche avvertito che un gruppo cinese sponsorizzato dallo Stato, noto come "Volt Typhoon", sta prendendo di mira le infrastrutture critiche, tra cui telecomunicazioni, trasporti e istruzione.

"Con gli operatori di infrastrutture critiche nel mirino di gruppi sponsorizzati da Stati nazionali, sono in arrivo attacchi che potrebbero avere un impatto su un'intera nazione o addirittura sul mondo sviluppato", afferma Gil Kirkpatrick, Chief Architect di Semperis.

"Le organizzazioni devono prepararsi a potenziali attacchi informatici contro i governi e gli operatori di infrastrutture critiche come centrali nucleari, reti elettriche, reti di telecomunicazioni, impianti di trattamento delle acque reflue e altro ancora".

Gli Stati nazionali potrebbero utilizzare i cyberattacchi per integrare la guerra sul campo, interrompendo le infrastrutture critiche o i sistemi finanziari...

Simon Hodgkinson, consulente strategico di Semperis

Simon Hodgkinson, ex CISO di bp e consulente strategico di Semperis, concorda. "Gli Stati nazionali potrebbero utilizzare i cyberattacchi per integrare la guerra sul campo, interrompendo ad esempio le infrastrutture critiche o i sistemi finanziari".

Inoltre, avverte, "le nazioni e le organizzazioni sanzionate potrebbero ricorrere alla criminalità informatica per finanziare le loro attività, attaccando aziende che pagano riscatti o rubando criptovalute".

Cosa potete fare

Fortunatamente, afferma Kirkpatrick, "il settore pubblico e quello privato stanno diventando sempre più resistenti" agli attacchi basati sull'identità. La chiave è la crescente attenzione all'ITDR.

Ad esempio, Active Directory, che gestisce l'accesso a praticamente tutti gli utenti e i sistemi negli ambienti che la includono, è coinvolto nella maggior parte dei cyberattacchi. La protezione di Active Directory, quindi, è fondamentale per identificare e fermare gli aggressori prima che possano causare danni.

"I servizi per leinfrastrutture critiche sono vulnerabili ai cyberattacchi che hanno come bersaglio l'identità, in genere Active Directory", spiega Pitts.

I sistemi di infrastrutture critiche collegati al dominio Active Directory, in particolare i sistemi SCADA, devono includere una piattaforma appositamente creata per gestire le minacce ad Active Directory.

Jeff Pitts, Direttore del settore pubblico, Semperis

"I sistemi di infrastrutture critiche collegati a domini Active Directory, in particolare i sistemi SCADA, devono includere una piattaforma appositamente costruita per gestire le minacce ad Active Directory", afferma Pitts. "E gli operatori di questi sistemi devono essere in grado di ripristinare Active Directory in poche ore, non ingiorni, nel caso di un attacco informatico devastante".

Tendenza 2: evoluzione dei TTP di attacco basati sull'identità

La maggior parte delle organizzazioni riconosce la necessità di protezione degli endpoint, di autenticazione a più fattori (MFA) e di formazione degli utenti. Dopo tutto, gli aggressori prediligono il phishing e l'ingegneria sociale come metodi per entrare negli ambienti delle vittime.

Ma gli attori delle minacce sono sempre più inventivi. Mentre un numero sempre maggiore di organizzazioni impiega l'MFA o rifiuta di pagare il riscatto, gli aggressori stanno sviluppando nuovi modi per eludere le difese e scatenare il caos attraverso attacchi basati sull'identità.

Ad esempio, il gruppo BlackCat ha recentemente presentato un reclamo su una delle sue presunte vittime alla Securities and Exchange Commission (SEC), sostenendo che l'azienda era stata violata e utilizzando poi il reclamo per esercitare ulteriori pressioni per il pagamento o come avvertimento per i futuri obiettivi.

Cosa sta guidando questa tendenza?

Questo comportamento "non è sorprendente nell'economia del ransomware in continua evoluzione", afferma Sean Deuby, Principal Technologist di Semperis e conduttore dell'Hybrid Identity Protection (HIP) Podcast. Gli attacchi MFA fatigue, ad esempio, sono aumentati in modo vertiginoso con l'implementazione dell'MFA da parte di un numero sempre maggiore di organizzazioni. Deuby si aspetta di vedere un comportamento più "creativo" da parte degli aggressori nel 2024.

Anche gli utenti con un elevato livello di consapevolezza della sicurezza possono essere colti di sorpresa da tentativi di phishing incredibilmente ben congegnati.

Guido Grillenmeier, Principal Technologist, Semperis

"Per prevedere quale sarà la prossima trovata dei criminali informatici, basta seguire questa semplice ricetta", consiglia Deuby. "Massimizzare il profitto riducendo al minimo il tempo e l'impegno, eliminare ogni moralità e aggiungere un pizzico di evitamento del controllo governativo".

Le nuove tecnologie hanno anche influenzato l'evoluzione dei metodi di ingresso iniziali degli aggressori, afferma Guido Grillenmeier, Principal Technologist di Semperis.

"L'intelligenza artificiale sta permettendo ai criminali informatici di creare campagne di phishing sempre più sofisticate e convincenti che giocano con le emozioni degli utenti. Anche gli utenti con un elevato livello di consapevolezza della sicurezza possono ora essere colti in fallo da tentativi di phishing incredibilmente ben congegnati".

Cosa potete fare

Per contrastare l'evoluzione delle TTP, i nostri esperti hanno un semplice consiglio: Tornare alle origini.

"I punti deboli principali utilizzati dagli aggressori non sono cambiati nel corso degli anni e vengono ancora sfruttati con successo", osserva Grillenmeier. "Prendiamo ad esempio Active Directory, il servizio di identità principale di Microsoft. Gli aggressori utilizzano Active Directory per ottenere i privilegi degli utenti e penetrare più a fondo nella rete della vittima".

Grillenmeier attende con ansia la prossima release di Windows Server 2025, che promette di introdurre ulteriori funzioni di sicurezza in Active Directory. "È positivo vedere che ci si concentra maggiormente sulla protezione delle identità", afferma.

Gli aggressori utilizzano Active Directory per ottenere i privilegi degli utenti e penetrare più a fondo nella rete della vittima.

Guido Grillenmeier, Principal Technologist, Semperis

Nel frattempo, la sicurezza identity-first non deve essere necessariamente onerosa. Le organizzazioni possono iniziare scaricando uno strumento gratuito di verifica di Active Directory come Purple Knightche analizza rapidamente l'ambiente Active Directory ibrido (compresi Entra ID e Okta) e fornisce un elenco di facile comprensione di potenziali vulnerabilità e indicatori di compromissione (IOC).

Trend 3: resilienza operativa e sicurezza identity-first

La terza tendenza deriva dalle prime due. Con l'aumento della sofisticazione dei cyberattacchi e il crescente desiderio di colpire le infrastrutture, gli attori delle minacce che un tempo si limitavano alle minacce informatiche stanno rivolgendo la loro attenzione alla tecnologia operativa (OT) e alle catene di approvvigionamento. L'obiettivo: passare inosservati abbastanza a lungo da interrompere le operazioni.

Cosa sta guidando questa tendenza?

Tradizionalmente, i team IT e OT hanno avuto obiettivi e aree di interesse separati.

"I professionisti della cybersicurezza informatica si concentrano innanzitutto sulla sicurezza informatica", ha recentemente dichiarato Hodgkinson a Cyber Magazine. "Vogliono proteggere le informazioni dal furto, impedire l'accesso non autorizzato ai sistemi IT e bloccare gli attacchi di phishing ai loro utenti. Gli ingegneri OT, invece, si preoccupano meno di questi aspetti. Si concentrano invece sui controllori e sui sensori che influenzano i processi e i sistemi fisici".

"In quanto tali, si preoccupano dei tempi di attività operativa, della sicurezza fisica e della sicurezza. [Un ostacolo per i professionisti della sicurezza è quello di colmare l'abisso culturale con gli ingegneri OT".

Il famigerato attacco al Colonial Pipeline del 2021 è un primo esempio del tipo di attacco cross-over che gli esperti si aspettano di vedere aumentare nel 2024. (È stato anche un primo indicatore dello spostamento degli aggressori verso le infrastrutture critiche).

Cosa potete fare

"È fondamentale che gli operatori delle infrastrutture critiche nazionali agiscano per evitare che gli aggressori si nascondano nei loro sistemi", ha osservato lo scorso anno il direttore dell'NCSC Paul Chichester.

Il primo passo, dice Deuby, è "identificare i sistemi critici, compresa l'infrastruttura come Active Directory, prima che si verifichino gli attacchi, e costruire la resilienza in questi sistemi".

Identificate i vostri sistemi critici, compresa l'infrastruttura come Active Directory, prima che si verifichino attacchi.

Sean Deuby, Tecnologo principale, Semperis

Anche la segmentazione della rete e il tiering amministrativo sono passi importanti. Deuby raccomanda di isolare i sistemi informatici e di autenticazione dai sistemi di controllo dei processi e di garantire che questi due gruppi di sistemi utilizzino ciascuno credenziali uniche.

Mickey Bresman, CEO di Semperis, sottolinea che la resilienza dell'infrastruttura di identità è la chiave della resilienza operativa complessiva. Dopo tutto, gli aggressori tentano quasi sempre di invadere l'infrastruttura di identità nel tentativo di scalare i privilegi e ottenere un accesso elevato.

"Qual è la differenza tra un'azienda che si riprende in un tempo relativamente breve dopo un attacco legato all'identità e un'azienda il cui recupero si trascina per giorni o settimane, con costi enormi per l'organizzazione? In base alla mia esperienza diretta, ho concluso che la differenza più grande è la capacità dell'organizzazione di orchestrare, automatizzare e testare il processo di ripristino".

La conoscenza è potere

La conoscenza delle tendenze della cybersecurity e del comportamento e delle motivazioni degli aggressori può aiutarvi a sviluppare una solida strategia di difesa informatica e operativa per respingere gli attacchi basati sull'identità. Pianificare il peggio non è paranoia, ma una mossa intelligente e necessaria.

Avete bisogno di aiuto per costruire la vostra strategia? Il nostro team di servizi di preparazione e risposta alle violazioni può aiutarvi.