Sono sempre di più le organizzazioni che hanno adottato il cloud e anche i criminali informatici stanno rapidamente seguendo l'esempio. Il rapporto Cost of a Data Breach di IBM ha rilevato che il 45% di tutte le violazioni di dati nel 2022 sono state basate sul cloud, con un costo medio stimato in 5 milioni di dollari.
Non è più una questione di “se”, ma di “quando” le organizzazioni dovranno affrontare un attaccante informatico. Poiché le minacce sono inevitabili, la scelta degli strumenti di sicurezza giusti è fondamentale per ottimizzare le metriche SecOps chiave, come il tempo di rilevamento, di indagine e di risposta. Una soluzione di cloud detection and response avanzata (Cdr) può rappresentare una risposta efficace.
Lo scorso anno hanno fatto notizia molte vulnerabilità al cloud, ma nessuna più dell’attacco a LastPass. L’azienda di gestione delle password ha subito una serie di azioni mirate alla sua distribuzione ibrida, che ha portato al furto di dati sensibili dei clienti dalle sue risorse di archiviazione cloud.
Quello che inizialmente era stato segnalato come un accesso parziale a un singolo account di uno sviluppatore, si è presto rivelato un vero e proprio furto di credenziali, che ha portato all’esfiltrazione di snapshot crittografati delle password dei clienti dalle risorse di archiviazione cloud di LastPass. Gli snapshot possono potenzialmente essere forzati dall’attaccante per decifrare i dati delle password. Quando la violazione è stata segnalata per la prima volta, si riteneva che le informazioni critiche dei clienti, tra cui le password, i dati e le informazioni personali, fossero totalmente al sicuro. Sfortunatamente, questa comunicazione si è rivelata falsa.
Nell’ambito della sicurezza, la fiducia è tutto. Compromissioni di questa portata comportano notizie di stampa negative, giudizi da parte della community della sicurezza e spesso danni irreparabili alla reputazione.
Credenziali rubate: il vettore di minaccia preferito per gli attacchi
Quando si parla di sicurezza, contare sulle persone e sui processi giusti è importante, ma la tecnologia giusta può fare la differenza. Nell’attacco a LastPass, il cloud è stato sfruttato utilizzando credenziali valide e rubate. Non è una sorpresa. Oggi, la maggior parte degli attacchi sofisticati nel cloud arriva da attaccanti che utilizzano campagne di phishing per rubare le credenziali e mascherarsi da utenti legittimi. Purtroppo, questi vettori spesso aggirano i più diffusi strumenti di sicurezza preventiva di cui un’organizzazione può disporre.
Rimediare a queste minacce sofisticate, che derivano da credenziali rubate, è impegnativo. Infatti, il rapporto di IBM Security ha rilevato che gli attacchi originati da credenziali sottratte hanno il tempo medio più lungo per l’identificazione (243 giorni) e per il contenimento (84 giorni) di qualsiasi vettore iniziale in una violazione dei dati. Considerando che le kill-chain nel cloud sono poco profonde rispetto alle reti on-premise, un avversario esperto con credenziali valide non ha bisogno di molto tempo per creare canali di persistenza e passare rapidamente dall’accesso iniziale alle fasi di impatto.
Per proteggere gli ambienti cloud, è indispensabile che i team Soc si concentrino sull’identificazione degli incidenti di sicurezza che coinvolgono queste tattiche avversarie, certamente adatte alle capacità di uno strumento Cdr.
Per le aziende, oggi, l’adozione del cloud non è un’opzione, ma una necessità. I vantaggi del cloud sono molti, ma il costo della migrazione è complesso. Questa adozione sta alimentando una crescita vertiginosa delle funzionalità offerte dai fornitori di cloud.
Questa crescita e l’adozione di servizi cloud ha portato a una superficie di attacco più ampia e in continua evoluzione. Le organizzazioni che navigano in questo panorama dinamico devono proteggersi non solo da nuovi attacchi, ma anche da minacce già diffuse come l’esposizione dei dati.
Per garantire la sicurezza, i team Soc si affidano a diversi strumenti. Tuttavia, al giorno d’oggi, esistono centinaia di vendor che offrono opzioni di strumenti che possono sopraffare le linee di difesa, rendendo difficile comprendere le funzionalità offerte dai vari sistemi di sicurezza cloud. Inoltre, la messa in funzione di questi strumenti spesso porta alla creazione di punti ciechi non voluti nella postura di sicurezza dell’organizzazione.
Sebbene gli strumenti di prevenzione facciano un ottimo lavoro nel fornire visibilità sulle risorse cloud, sulle configurazioni errate e sulle impostazioni non conformi, non sono all’altezza quando si tratta di rilevare nuovi vettori di attacco. Sono proprio questi i vettori di minaccia che dovrebbero destare preoccupazione.
Nel 2022 il phishing e le credenziali rubate costituiranno circa il 35% di tutte le violazioni dei dati, un numero significativamente superiore a quello delle violazioni attribuite a configurazioni errate del cloud (pari al 15%). Affidarsi solo a strumenti di prevenzione significa rendere l’organizzazione vulnerabile agli attaccanti esperti. Una soluzione Cdr, invece, monitora tutte le azioni in un ambiente cloud e rileva i comportamenti sospetti in tempo reale. Inoltre, essa sfrutta l’AI per andare oltre le anomalie basate su eventi o semplici linee di base, concentrandosi invece sui comportamenti, ovvero i Ttp alla base di tutti gli attacchi.
Alessio Mercuri, Senior Security Engineer di Vectra AI