Quali minacce stanno affrontando le aziende, che cosa serve per gestirle al meglio e che cosa ci aspetta nell’immediato futuro, secondo CrowdStrike.
CrowdStrike si è presentata a Cybertech 2024 con una visione chiara e strutturata di come proteggere le aziende dalle minacce moderne. Luca Nilo Livrieri, Director, Sales Engineering Southern Europe di CrowdStrike, ha condiviso con Security Open Lab alcuni degli aspetti più preoccupanti e innovativi in tema di minacce e difese cyber e ha illustrato un approccio basato sulla conoscenza dell'avversario, sulla visibilità cloud e sulle tecnologie integrate.
La conversazione si è concentrata sulle tendenze attuali degli attacchi informatici e sulle soluzioni adottate per contrastarli. Uno dei temi principali è stato l'aumento degli attacchi cross-domain, ossia quelli multidominio, che sfruttano vulnerabilità in diverse aree dell'infrastruttura IT. In particolare, gli attacchi iniziano sempre più spesso dal cloud, attraverso credenziali legittime rubate, per poi muoversi lateralmente, come argomentato nel recente Threat Hunting Report 2024. Quanto ai movimenti laterali, Livrieri ha spiegato che la tecnica più diffusa in questo contesto è chiamata escape to host e consente di passare da un'applicazione o da un container a livelli superiori dell'infrastruttura, accedendo a risorse critiche come file condivisi, posta elettronica e altre applicazioni aziendali.
Un'altra preoccupazione crescente è costituita dall'abuso degli strumenti di Remote Monitoring and Management (RMM) legittimi, sfruttati dagli attaccanti per accedere a un numero maggiore di endpoint e assumere il controllo di intere reti. Livrieri ha sottolineato che questa tecnica si lega a un fenomeno sempre più comune negli Stati Uniti, che consiste nella infiltrazione di insider mediante assunzioni illegittime. In sostanza, gli attaccanti si candidano con falsi documenti d'identità per ruoli aziendali da svolgere da remoto, e una volta assunti utilizzano i loro notebook aziendali per accedere alle reti e perpetrare attacchi coordinati su larga scala. Sono già oltre 100 le aziende statunitensi colpite da questi attacchi, con perdite stimate in milioni di dollari.
Luca Nilo Livrieri, Director, Sales Engineering Southern Europe di CrowdStrike
Una delle prime best practice consigliate da Livrieri è garantire una completa visibilità delle piattaforme cloud e delle risorse ad esse collegate, dato che un gran numero di attacchi proviene da dispositivi non gestiti. Livrieri ha aggiunto che spesso gli attacchi prendono di mira dipartimenti non IT, come quello commerciale, dove l'attenzione alla sicurezza è inferiore. Qui si inseriscono le soluzioni di Cloud Security Posture Management (CSPM) di CrowdStrike, che monitorano le configurazioni cloud e assicurano che le applicazioni siano protette durante l'esecuzione.
Un'altra misura essenziale è l'applicazione del principio del privilegio minimo all'interno di un'architettura Zero Trust. CrowdStrike incoraggia l'uso dell'autenticazione a due fattori solo nei casi di necessità, per evitare quella che Livrieri ha definito multifactor authentication fatigue. La piattaforma di CrowdStrike è in grado di monitorare il comportamento degli utenti e applicare una maggiore sicurezza solo quando vengono rilevate anomalie.
Oltre alle misure preventive, Livrieri ha evidenziato l'importanza della simulazione degli attacchi e della gestione degli incidenti come parte della strategia di difesa. A tale proposito CrowdStrike offre servizi di red teaming e di incident response proprio per preparare le aziende a gestire situazioni reali, mettendo a disposizione anche i playbook di IR con la guida dettagliata per la gestione e la comunicazione della crisi.
Elemento distintivo della strategia di CrowdStrike è l’approccio orientato alla conoscenza dell'avversario. Per questo vendor, infatti, è essenziale capire chi c'è dietro gli attacchi per elaborare una difesa efficace, da qui il mantra "Non hai un problema di malware, hai un problema di avversario" che porta a coltivare una threat intelligence di alto livello. Livrieri ha sottolineato come attualmente siano monitorati oltre 245 gruppi criminali a livello globale e come queste informazioni vengano impiegate proattivamente per migliorare la propria piattaforma.
Guardando al futuro, Livrieri prevede due grandi sfide: una per i clienti e una per gli attaccanti. Dal lato dei clienti, la difficoltà principale sarà gestire l'enorme mole di log e di incidenti e determinare quali di essi richiedano realmente attenzione. Un problema che si affronta con l'integrazione e la visibilità consentite dalle diverse tecnologie presenti all'interno delle infrastrutture IT e di sicurezza. In questo CrowdStrike vanta oltre 400 partnership tecnologiche che hanno dato vita a un ecosistema aperto e integrato.
Dal punto di vista degli attaccanti, la sfida principale riguarda l'uso sempre più sofisticato del cloud e dell'intelligenza artificiale per orchestrare attacchi su larga scala. I criminali informatici non solo sfruttano le vulnerabilità del cloud per ottenere il controllo completo dell'infrastruttura, ma utilizzano anche l'intelligenza artificiale per rendere i loro attacchi più veloci e mirati.
Un'ultima riflessione riguarda l'aumento degli attacchi ai bucket cloud mal configurati, che si lega anche al discorso della scarsa comprensione del modello di responsabilità condivisa, oltre alla mancanza di skill. Entrambi gli elementi portano la sicurezza intrinseca del cloud ad essere troppo bassa, agevolando l'attaccante. Il rimedio è l'adozione di un sistema di gestione delle configurazioni legato a un'adeguata visione sull'esecuzione runtime delle applicazioni.