Gli esperti che lavorano nei Security Operations Center (SOC) e si occupano di servizi di rilevamento e risposta estesa (XDR) sono la prima linea di difesa informatica per diverse organizzazioni e ogni giorno sono subissati di allarmi e segnali di ogni sorta. Il loro compito, dunque, è innanzitutto analizzare ogni evento sospetto e metterlo in correlazione con gli altri, costruendo idealmente un mosaico di potenziali minacce per ogni organizzazione, dalla rete agli endpoint, dalle risorse cloud alle applicazioni, dalle e-mail ai server. Ma cosa succede quando uno o più tasselli del mosaico vengono a mancare?
Gli esperti del SOC di Barracuda XDR hanno analizzato tre attacchi tipo che possono colpire le aziende sprovviste di servizi di sicurezza completi.
Attacco ransomware a un’azienda IT
Un cyberattacco a un’azienda IT può iniziare con la compromissione delle credenziali VPN attraverso lo sfruttamento di una vulnerabilità zero-day come punto di partenza. In seguito, gli hacker possono spostarsi lateralmente attraverso la rete, compromettendo i server, aumentando i privilegi di accesso, manipolando gli account e i gruppi di amministrazione e creando canali di comunicazione non autorizzati con un server command and control (C2) malevolo.
Durante un attacco di questo genere, i criminali possono utilizzare una serie di strumenti informatici disponibili in commercio che, se rilevati isolatamente, non desterebbero immediatamente sospetti. Tuttavia, questi tool possono servire anche per attività dolose quali il download di payload o script dannosi da remoto o la scansione delle reti per identificare porte aperte, servizi in esecuzione e altri elementi di rete vulnerabili.
La mancanza di solide misure di sicurezza multilivello nell’infrastruttura di rete – come, ad esempio, una protezione incompleta dei dispositivi, un’autenticazione debole e l’assenza di visibilità della sicurezza connessa per il SOC – può consentire agli aggressori di causare notevoli danni quali l’esfiltrazione dei dati, l’interruzione delle operazioni con conseguente blocco dei servizi ed eventuali perdite finanziarie. Senza contare che il furto di dati può portare anche alla perdita della proprietà intellettuale e dei dati dei clienti nonché a violazioni delle norme di conformità.
Violazione dei dati di un’azienda manifatturiera
In questa tipologia di attacco, gli hacker si servono di credenziali compromesse per entrare illecitamente in un server RDP (Remote Desktop Protocol), approfittando di configurazioni di sicurezza errate, come l’esclusione impropria di directory di sistema essenziali. Queste sviste critiche possono arrivare a danneggiare centinaia di dispositivi e agevolare persino la cancellazione dei dati di backup di un’organizzazione.
Come nel primo incidente, i criminali possono utilizzare diversi strumenti per compromettere il sistema, eseguire attacchi brute-force contro account VPN, sottrarre le password, individuare le vulnerabilità di sicurezza, favorire il movimento laterale e l’esecuzione di codice da remoto.
Una tale violazione di sicurezza può bloccare i sistemi ERP e le attività dell’azienda, con gravi ricadute sulla produttività e sui ricavi, senza contare che un’eventuale perdita dei dati di backup può prolungare i tempi di inattività e il processo di ripresa, impedendo di tornare rapidamente alla piena operatività.
Esfiltrazione dei dati di un rivenditore
Nel caso in cui un’azienda lasci un server critico con il protocollo RDP esposto, gli aggressori possono approfittarne per infiltrarsi nella rete, prendendo di mira i controller di dominio – responsabili dell’applicazione dei criteri di sicurezza all’interno di un preciso dominio -, e creare degli account per poi successivamente cancellarli, in modo da nascondere le proprie tracce. A questo punto, gli hacker possono compromettere l’integrità e la riservatezza della rete, rubando i dati sensibili dai file server con il rischio che vengano diffusi o persino rivenduti sul dark web.
I file server critici violati possono contenere, infatti, informazioni preziose e sensibili sulla proprietà intellettuale e sui clienti, la cui divulgazione non autorizzata può causare danni incalcolabili alla reputazione di un’azienda, minando così la fiducia dei clienti.
“Queste tre tipologie di attacco informatico ci ricordano quanto l’incompletezza delle misure di sicurezza possa rendere le organizzazioni vulnerabili ad attacchi con potenziali conseguenze di vasta portata, sia dal punto di vista finanziario sia reputazionale – sottolinea Adam Khan, VP Global Security Operations di Barracuda XDR -. Inoltre, la mancanza di visibilità sulla sicurezza in tutto l’ambiente rende più difficile individuare le attività sospette e correlarle tra loro. Al contrario, con una soluzione XDR completa, ogni parte dell’infrastruttura IT, dalle e-mail alle applicazioni cloud, viene monitorata e protetta mediante misure di sicurezza avanzate, uno spettro completo di strumenti difensivi e strategie proattive di individuazione e risposta alle minacce. Ciò consente di agire rapidamente e di ridurre al minimo le opportunità di colpire dei criminali informatici”.