Cyber attacchi sempre più ibridi: ecco come affrontarli
Ormai la grande maggioranza delle infrastrutture aziendali sono sia su sistemi on- premise che su cloud. Condizione che i pirati informatici sfruttano, tanto che la maggioranza degli attacchi sono oggi di natura ibrida.
Per le imprese vuol dire confrontarsi con minacce particolarmente difficili da bloccare per il modo in cui queste violazioni aggirano gli strumenti di prevenzione, compromettono le identità, si spostano tra domini in qualsiasi momento, spesso ad alta velocità.
Inoltre secondo l’ultimo rapporto di Vectra AI “State of Threat Detection”, in media, i team SOC ricevono quasi 4500 avvisi al giorno e oltre due terzi (67%) di essi vengono ignorati. Dati che confermano quanto sia facile per gli aggressori fare danni.
Per questo motivo Vectra AI ha esaminato alcuni esempi di attacchi ibridi per individuarne le principali caratteristiche:
1. Sono difficili da trovare
In Vectra AI parliamo di “Spirale Del Più” per descrivere la proliferazione di strumenti, alert e falsi positivi. Un volume ingestibile di input e lavoro per i team SOC che gli aggressori ibridi sfruttano a proprio vantaggio per nascondersi, spostarsi lateralmente e portare avanti i propri attacchi.
2. Attaccano più superfici
Poiché gli ambienti sono ormai ibridi, il rischio interessa l’azienda ovunque opera, ovvero gli attacchi coinvolgono più superfici. Per bloccarli occorre essere veloci nell’individuare la compromissione appena è avvenuta.
3. Violano le identità
È molto comune che questo tipo di violazione sfrutti le credenziali dell’amministratore o password rubate. Indipendentemente dal modo in cui un’identità viene compromessa, l’efficacia dell’intervento dipenderà ancora una volta dalla rapidità con cui la violazione dell’identità verrà rilevata.
4. Si mimetizzano per progredire
Gli aggressori operano ormai su una unica gigantesca superficie (ibrida) di attacco e utilizzano tecniche per accedere e controllare più sistemi remoti e account. In generale, gli aggressori ibridi riescono a capire, per esempio, come spostarsi da una superficie di attacco all’altra mimetizzandosi. Individuarli si riduce alla capacità di rilevarli una volta che sono già all’interno, indipendentemente da dove si trovino.
5. Vanno fermati all’inizio della loro progressione
Aggiungere ulteriori alert alla lunghissima coda degli avvisi dei team SOC non è la soluzione, anzi. Diversamente lo è poter disporre di uno strumento in grado di dare a ciascuno dei tantissimi segnali una priorità, permettendo di sapere come, quando e dove sta accadendo qualcosa che richiede urgentemente attenzione, tempo e, ovviamente, un pronto intervento.
