Nella (purtroppo) costante evoluzione delle tecniche di attacco usate dai vari threat actor, i cosiddetti "cross-domain attack" stanno diventando sempre più frequenti, sino ad essere la forma di attacco oggi prevalente nel caso degli attaccanti più pericolosi, ossia quelli state-sponsored. Ma non solo di quelli, perché anche i gruppi di eCrime più organizzati si stanno progressivamente attrezzando per rendere le proprie azioni ostili più articolate e difficili da individuare rapidamente.

Questa evoluzione - spiega Adam Meyers, SVP Counter Adversary Operations di CrowdStrike - è sempre nella scia della impostazione "storica" di CrowdStrike stessa, secondo cui le imprese e le organizzazioni devono sempre tenere presente che non hanno di fronte un problema di malware ma un problema di attaccanti. Una distinzione magari un po' ad effetto ma anche di sostanza: diventa sempre più difficile scoprire un attacco perché sempre più raramente c'è un indicatore (un malware o una sequenza di azioni automatizzate) noto da cercare.

Oggi gli attacchi interattivi - gli "hands on keyboard attack" - rappresentano la larga maggioranza degli attacchi portati avanti dai threat actor più pericolosi, indipendentemente dal tipo di azienda o di organizzazione che ne è il bersaglio. Gli attacchi "multidominio" fanno parte di questa categoria e mostrano come gli attaccanti siano diventati molto bravi a sfruttare le vulnerabilità dei sistemi per conquistare un primo accesso e da lì muoversi lateralmente all'interno dell'infrastruttura colpita. Passando anche da un "dominio" all'altro: da un endpoint a un sistema per la gestione delle identitià digitali, sino agli ambienti cloud.

Qui si fa evidente un problema già noto. I vari domini dell'IT possono apparire strettamente interconnessi fra loro ma in reltà tra di essi ci sono gap di sicurezza pericolosi, che gli attaccanti sanno sfruttare. Ciò che rende gli attacchi cross-domain particolarmente insidiosi è l'eteroegenità dei sistemi, che le moderne piattaforme IT possono nascondere ma non eliminare. Una eterogeneità per cui spesso le aziende non hanno una visibilità completa e coerente su tutti i loro ambienti digitali e non possono quindi correlare bene e in fretta le informazioni che provengono da tool, procedure e anche staff differenti.

In questa evoluzione la gestione delle identità gioca un ruolo chiave, perché il primo attacco viene sempre più spesso portato usando credenziali lecite che sono state sottratte o compromesse con attacchi precedenti o con altre azioni di hacking ostile. Sfruttando queste identità e magari qualche vulnerabilità nelle piattaforme di identity management o in altri software - specie quelli di monitoraggio e gestione da remoto (RMM) - diventa semplice penetrare in una infrastruttura IT, aumentare i propri privilegi, muoversi lateralmente. Spesso senza che le attività ostili si distinguano in qualche modo rispetto a quelle lecite.

Nel tempo CrowdStrike ha esaminato il modus operandi che alcuni importanti threat actor hanno adottato per i loro attacchi cross-domain. Il processo è mediamente quello descritto in precedenza: una volta entrati nella rete, la si attraversa e si punta rapidamente al proprio obiettivo principale, magari conquistando nel frattempo vari capisaldi e lasciandosi dietro (stavolta sì) malware e backdoor. Gli obiettivi di questa azione sono diversi e ciascun threat actor ha il suo, spaziando da una veloce esfiltrazione di informazioni, da sfruttare in seguito, alla creazione di una "presenza" silenziosa e stabile nell'infrastruttura IT del bersaglio.

Oggi questo accade sempre più spesso puntando alla risorsa chiave delle imprese: il cloud. Muoversi lateralmente sino a conquistare il controllo degli ambienti cloud del bersaglio è l'obiettivo dei criminali meglio organizzati, perché significa non solo avere un maggiore accesso a dati e risorse, ma anche e soprattutto poter istanziare risorse proprie persistenti - tipicamente una macchina virtuale o un account utente - che appaiono del tutto lecite ma che in realtà svolgono attività dannose.

Come ci si può difendere dai cross-domain attack? Il mantra di CrowdStrike è sempre quello di acquisire una visibilità trasversale e integrata su tutti i domini dell'IT, ma questo livello di "comprensione" della propria IT - che già non è semplice da ottenere, specie in ambienti di multicloud ibrido - va poi affiancato con l'implementazione di soluzioni e policy adeguate nei vari ambiti della cybersecurity coinvolti, che spaziano dalla identity protection alla cloud security in senso proprio.

Ma Adam Meyers lancia anche altri due ulteriori messaggi. Il primo è sostanzialmente che alla "partita" della cybersecurity può giocare bene solo chi si allena altrettanto bene. Quindi aziende ed organizzazioni devono sempre "allenare" le proprie tecnologie e procedure di difesa in simulazioni di attacco e di crisi, per capire - ed eliminare - eventuali punti deboli. Il secondo, per proseguire con la metafora sportiva, è che si deve conoscere il proprio avversario, quindi la threat intelligence è sempre un tassello fondamentale in ogni approccio davvero efficace alla sicurezza cyber.