Top Network Security Issues, Threats, and Concerns

Con l'inizio del 2021, è un buon momento per riflettere sulle minacce che il gruppo Check Point Research ha visto nel 2020, per prepararsi all'anno successivo. Secondo il Rapporto 2021 Cyber Security, gli attacchi Sunburst che hanno violato migliaia di organizzazioni governative e del settore privato sono stati solo la punta dell'iceberg per quanto riguarda i cyberattacchi del 2020. Infatti, l'87% delle organizzazioni ha subito un tentativo di sfruttamento di una vulnerabilità nota.

Oltre all'attacco in stile Stato-nazione di Sunburst, gli attori delle minacce motivati finanziariamente continuano a lanciare campagne di malware. Stanno evolvendo le loro tecniche per utilizzare il phishing vocale (vishing), il ransomware a doppia estorsione, il dirottamento dei thread delle e-mail e gli attacchi rivolti alle infrastrutture cloud. Detto questo, ci sono anche dei lati positivi all'orizzonte.

Legga il Rapporto Frost & Sullivan

Problemi e tendenze principali della sicurezza di rete

Nel Rapporto sulla Cyber Security 2021, il gruppo Check Point Research ha delineato i principali problemi, minacce e tendenze della sicurezza di rete del 2020.

#1. Attacchi alla catena di approvvigionamento

L'8 dicembre 2020, la società di cybersicurezza FireEye ha rivelato di aver scoperto il malware Sunburst sulla propria rete. L'indagine su questa infezione ha portato alla luce una massiccia campagna di cyberattacco che ha colpito 18.000 organizzazioni, 425 aziende della classifica Fortune 500 (tra cui Microsoft), e ha preso di mira anche le agenzie governative.

Il malware SUNBURST è stato distribuito tramite aggiornamenti compromessi del software di gestione della rete SolarWinds Orion. Gli aggressori sono riusciti a compromettere SolarWinds utilizzando un nuovo attacco contro i suoi account Office 365, che ha permesso loro di falsificare un token Azure Active Directory per un account privilegiato e di utilizzare le credenziali admin compromesse per ottenere l'accesso al server di gestione degli aggiornamenti dell'azienda.

Con l'accesso al server di gestione degli aggiornamenti di SolarWinds, gli aggressori sono stati in grado di modificare gli aggiornamenti durante la pipeline di sviluppo per includere il malware backdoor. Questa ampia portata dell'attacco lo ha reso l'attacco alla catena di approvvigionamento di maggior successo finora conosciuto. Nell'attacco di SolarWinds, il monitoraggio si è rivelato essenziale per identificare prima e rispondere poi all'attacco.

Per prevenire gli attacchi futuri è necessario implementare le migliori pratiche di sicurezza, come ad esempio:

  • Privilegio minimo e segmentazione della rete: Queste best practice possono aiutare a tracciare e controllare i movimenti all'interno della rete di un'organizzazione.
  • DevSecOps: l' integrazione della sicurezza nel ciclo di vita dello sviluppo può aiutare a rilevare se il software (come gli aggiornamenti di Orion) è stato modificato in modo malevolo.
  • threat prevention e Threat Hunting automatizzati: Gli analisti dei Centri Operativi di Sicurezza (SOC) devono difendersi in modo proattivo dagli attacchi in tutti gli ambienti, tra cui rete, endpoint, cloud e mobile.

#2. Vishing

Sebbene il phishing sia il tipo di attacco di ingegneria sociale più conosciuto, altre tecniche possono essere altrettanto efficaci. Al telefono, un visher può utilizzare tecniche di social engineering per ottenere l'accesso alle credenziali e ad altre informazioni chiave, bypassare la 2FA o convincere la vittima ad aprire un file o a installare un software dannoso.

Il vishing è una minaccia crescente per la cybersicurezza aziendale. Nell'agosto 2020, il CISA e l'FBI hanno lanciato un avvertimento sugli attacchi di vishing, e il vishing è stato utilizzato nelle campagne di malware e dai gruppi APT. Un attacco di alto profilo ha permesso a un adolescente di prendere il controllo di diversi account Twitter di celebrità nel 2020. La minaccia del vishing non potrà che peggiorare con il miglioramento e la maggiore diffusione della tecnologia di registrazione deepfake.

Il vishing è un attacco a bassa tecnologia, il che significa che la formazione dei dipendenti è essenziale per proteggersi da esso. Le aziende possono educare i propri dipendenti a non fornire informazioni sensibili e a verificare in modo indipendente l'identificazione del chiamante prima di soddisfare le richieste.

#3. ransomware

Il ransomware è stato una delle minacce informatiche più costose per le organizzazioni nel 2020. Alle aziende costerà 20 miliardi di dollari nel 2020, in aumento rispetto agli 11,5 miliardi di dollari del 2019. Nel terzo trimestre del 2020, il pagamento medio del riscatto è stato di 233.817 dollari, con un aumento del 30% rispetto al trimestre precedente.

In quel trimestre, quasi la metà di tutti gli incidenti di ransomware includeva una doppia minaccia di estorsione. Questa innovazione è progettata per migliorare la probabilità che la vittima paghi il riscatto. Lo fa impiegando una nuova seconda minaccia oltre alla crittografia dei file, ossia l'estrazione di dati sensibili e la minaccia di esposizione pubblica o vendita dei dati. Sebbene i backup possano consentire a un'organizzazione di riprendersi da un attacco ransomware senza pagare, la minaccia di una violazione di informazioni sensibili e personali offre un'ulteriore leva all'aggressore.

L'aumento di questi attacchi di doppia estorsione significa che le organizzazioni devono adottare una strategia threat prevention e non affidarsi solo al rilevamento o alla bonifica. Una strategia incentrata sulla prevenzione dovrebbe includere:

  • Soluzioni anti-Ransomware: Le organizzazioni dovrebbero implementare soluzioni di sicurezza progettate specificamente per rilevare ed eliminare le infezioni da ransomware in un sistema.
  • Gestione delle vulnerabilità: L'applicazione di patch ai sistemi vulnerabili o l'utilizzo di tecnologie di patch virtuali, come un Intrusion Prevention System (IPS), è necessaria per chiudere i vettori di infezione comuni del ransomware, come il protocollo desktop remoto (RDP).
  • Formazione dei dipendenti: Informi i dipendenti sui rischi di aprire gli allegati o di cliccare sui link in malicious email.

#4. Dirottamento del thread

Gli attacchi di dirottamento del thread utilizzano le sue stesse e-mail contro di lei. Dopo aver compromesso un account e-mail interno, un aggressore può rispondere a un thread e-mail con un allegato contenente malware. Questi attacchi sfruttano il fatto che il thread di e-mail sembra legittimo... perché lo è.

Il malware bancario Emotet, una delle botnet più grandi, è in cima alla classifica delle minacce informatiche e ha preso di mira quasi il 20% delle organizzazioni globali nel 2020. Dopo aver infettato una vittima, utilizza l'e-mail della vittima per inviare file dannosi a nuove vittime. Qbot, un altro malware bancario, ha utilizzato tecniche simili di raccolta di e-mail.

La protezione contro il thread hijacking richiede la formazione dei dipendenti affinché osservino le e-mail alla ricerca di segni di phishing anche quando provengono da una fonte affidabile e, se un'e-mail sembra sospetta, verifichino l'identità del mittente con una telefonata. Le organizzazioni dovrebbero anche implementare una soluzione di sicurezza e-mail che utilizzi l'IA per rilevare il phishing e metta in quarantena le e-mail con allegati e/o link dannosi.

#5. Vulnerabilità dell'accesso remoto

L'aumento del lavoro a distanza sulla scia del COVID-19 ha reso l'accesso remoto un obiettivo comune dei criminali informatici nel 2020. La prima metà dell'anno ha visto un aumento drammatico degli attacchi contro le tecnologie di accesso remoto, come RDP e VPN. Ogni giorno sono stati rilevati quasi un milione di attacchi contro RDP.

Nel secondo semestre, i criminali informatici si sono concentrati sui portali VPN, sui gateway e sulle applicazioni vulnerabili, poiché sono state rese note nuove vulnerabilità in questi sistemi. La rete di sensori di Check Point ha registrato un aumento degli attacchi contro otto vulnerabilità note nei dispositivi di accesso remoto, tra cui Cisco e Citrix.

Per gestire i rischi delle vulnerabilità dell'accesso remoto, le organizzazioni dovrebbero applicare direttamente le patch ai sistemi vulnerabili o implementare tecnologie di patch virtuali come gli IPS. Dovrebbero anche proteggere gli utenti remoti distribuendo una protezione completa degli endpoint con tecnologie di rilevamento e risposta degli endpoint (EDR) per migliorare la bonifica e la caccia alle minacce.

#6. Minacce mobili

COVID-19 ha dominato la sfera delle minacce mobili. L'uso di dispositivi mobili è aumentato drasticamente a causa del lavoro da remoto, così come le app dannose mascherate da app legate al coronavirus.

I dispositivi mobili sono stati anche bersaglio di grandi campagne di malware, tra cui malware bancari come Ghimob, EventBot e ThiefBot negli Stati Uniti. I gruppi APT hanno preso di mira anche i dispositivi mobili, come la campagna iraniana per aggirare il 2FA e spiare gli espatriati iraniani. Le vulnerabilità degne di nota sui dispositivi mobili sono state le debolezze di Achille 400 nei chip Qualcomm e le vulnerabilità in app come Instagram, il sistema di accesso di Apple e WhatsApp.

Le aziende possono proteggere i dispositivi mobili dei loro utenti con una soluzione di sicurezza mobile leggera per i dispositivi non gestiti. Dovrebbero anche istruire gli utenti a proteggersi installando solo applicazioni dagli app store ufficiali, per ridurre al minimo i rischi.

#7. Escalation dei privilegi nel cloud

Nel nostro riepilogo dei principali problemi di sicurezza, torniamo a parlare delle tecniche di attacco di SolarWinds. A differenza dei precedenti attacchi al cloud, che si basavano su configurazioni errate che lasciavano esposte le risorse del cloud come i bucket S3 (e che sono ancora un problema), ora viene attaccata anche la stessa infrastruttura del cloud.

Gli aggressori di SolarWinds hanno preso di mira i server di Active Directory Federation Services (ADFS), utilizzati anche nel sistema di single sign-on (SSO) dell'organizzazione per l'accesso ai servizi cloud come Office 365. A questo punto, gli aggressori hanno utilizzato una tecnica chiamata Golden SAML per ottenere la persistenza e l'accesso completo, difficile da individuare, ai servizi cloud della vittima.

Anche altri attacchi ai sistemi di gestione dell'identità e dell'accesso (IAM) nel cloud sono stati degni di nota. I ruoli IAM possono essere abusati utilizzando 22 API presenti in 16 servizi AWS. Questi attacchi si basano su una profonda comprensione dei componenti, dell'architettura e della politica di fiducia dei provider IaaS e SaaS.

Le aziende hanno bisogno di una visibilità olistica sugli ambienti cloud pubblici e di implementare protezioni cloud-native unificate e automatizzate. Ciò consente alle aziende di sfruttare i vantaggi offerti dal cloud, garantendo al contempo una sicurezza continua e la Conformità alle normative.

Gli attacchi all'assistenza sanitaria sono stati senza precedenti nel 2020

Il COVID-19 ha fatto sì che le organizzazioni sanitarie siano al centro dell'attenzione di tutti, compresi i criminali informatici. Alcune campagne di malware hanno promesso di abbandonare gli attacchi contro l'assistenza sanitaria, ma le promesse non hanno avuto sostanza: gli ospedali sono stati ancora un obiettivo per il malware Maze e DopplePaymer.

A ottobre, CISA, FBI e DHS hanno pubblicato un avviso sugli attacchi contro l'assistenza sanitaria, menzionando il malware Trickbot utilizzato per distribuire il ransomware Ryuk. Inoltre, gli attacchi APT sponsorizzati da una nazione hanno preso di mira le istituzioni coinvolte nello sviluppo del vaccino COVID-19.

L'assistenza sanitaria negli Stati Uniti è stata la più bersagliata dai cyberattaccanti. Check Point Research ha visto un aumento del 71% da settembre a ottobre e un aumento globale di oltre il 45% a novembre e dicembre.

Rivestimenti d'argento

Nel comprendere le minacce alla sicurezza di rete del 2020, è anche importante notare le numerose azioni di successo delle forze dell'ordine - supportate dalla comunità di Cyber Security - per rintracciare e incriminare numerosi individui e gruppi di minacce coinvolti nel crimine informatico in tutto il mondo.

Alcuni esempi di operazioni di cyber-legge di successo nel 2020 includono:

  • A ottobre, l'infrastruttura di Trickbot collegata a oltre un milione di host infetti è stata eliminata.
  • L'UE ha guidato le indagini per smantellare le operazioni DisRupTor, in cui 179 venditori di merci illecite sono stati arrestati e le merci illecite sono state sequestrate dalle forze dell'ordine.
  • Sono stati emessi dei mandati per gli attori delle minacce del gruppo APT in Russia e in Cina.
  • Gli sforzi guidati da Microsoft, come l'eliminazione di TrickBot, hanno anche eliminato la rete bot Necurs.
  • Il Centro nazionale britannico per la sicurezza informatica (NCSC) ha eliminato più di 22.000 URL associati al coronavirus scam.
  • L'alleanza globale contro le minacce informatiche Cyber Threat Coalition (CTC) si è unita per condividere gli IoC COVID-19.
  • Cyber Security i ricercatori continuano a trovare e a divulgare responsabilmente le vulnerabilità.
  • Check Point ha trovato e divulgato una vulnerabilità RCE nel cloud con un punteggio di rischio CVE massimo di 10.0 e anche la vulnerabilità SigRed nei server DNS di Windows.
  • I ricercatori del settore hanno trovato dei bug in Pulse Secure VPN e F5 Big-IP.
  • Sono stati trovati dei bug nel malware che aiutano ad abbattere il malware.
  • Un bug di buffer overflow in Emotet ha agito come un kill switch, consentendo l'abbattimento per 6 mesi, seguito da un abbattimento della botnet Emotet nel gennaio 2021.

Raccomandazioni per rimanere al sicuro

Le minacce informatiche e le preoccupazioni per la sicurezza della rete non si limitano al 2020. Molte di queste tendenze di attacco sono in corso e nel 2021 portano nuovi problemi di sicurezza della rete e innovazioni del crimine informatico. Per proteggersi dall'evoluzione del panorama delle minacce informatiche, abbiamo raccolto le seguenti raccomandazioni:

  • Si concentri sulla prevenzione in tempo reale: Il rilevamento e la risposta agli incidenti sono importanti, ma rilevare un attacco una volta che si è verificato significa che il danno potrebbe essere già stato fatto. Concentrarsi su threat prevention piuttosto che sul rilevamento limita i danni e i costi associati ai cyberattacchi.
  • Protegga tutto: i criminali informatici attaccano i frutti più facili, il che significa che andranno alla ricerca di bersagli facili. Le organizzazioni devono proteggere ogni aspetto della loro superficie di attacco, compresa la rete, l' infrastruttura cloud, gli utenti, gli endpoint e il mobile.
  • Consolidare per ottenere visibilità: Le soluzioni di cybersecurity autonome possono essere buone per risolvere un problema, ma una confusione di soluzioni di sicurezza scollegate tra loro è opprimente per i team di sicurezza e si traduce in rilevamenti mancati. L'unificazione della sicurezza rende i team più efficienti e più capaci di rilevare e rispondere rapidamente agli attacchi.
  • Applichi i paradigmi di fiducia zero: Permessi e accessi eccessivi rendono troppo facile che un errore o un account compromesso si trasformi in un grave incidente di sicurezza. L'implementazione della fiducia zero consente all'organizzazione di gestire l'accesso alle risorse caso per caso, riducendo al minimo il rischio di cybersecurity.
  • Mantenga aggiornato il sito threat intelligence: Il panorama delle minacce informatiche è in continua evoluzione. Le organizzazioni hanno bisogno di accedere in tempo reale a threat intelligence per proteggersi dalle minacce informatiche più recenti.

Per saperne di più sui principali problemi di sicurezza di rete di oggi, consulti il Rapporto completo sulla Cyber Security 2021. Può anche richiedere un checkup della sicurezza per identificare i problemi che mettono a rischio la sicurezza della sua organizzazione.

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativa sui cookie.
OK