In “Break the Attack Chain”, una serie di blog in tre parti, esaminiamo in che modo gli autori delle minacce violano le nostre difese e si spostano lateralmente all’interno delle reti per acquisire privilegi di livello più elevato e prepararsi per la partita finale.
Se dovessimo riassumere in una frase lo stato del panorama attuale delle minacce, sceglieremmo questa: i criminali informatici non violano più i sistemi, ma semplicemente vi accedono.
Piuttosto che cercare di aggirare le nostre difese o di sferrare attacchi di forza bruta, oggi gli hacker si concentrano soprattutto sui nostri utenti. O, per essere più precisi, sulle preziose credenziali e identità di questi ultimi.
Ciò vale per quasi tutte le fasi della catena d’attacco. Sfruttare le identità non è solo un modo estremamente efficiente di infiltrarsi nelle organizzazioni, ma offre anche l’accesso ai dati più importanti e sensibili. Di conseguenza, nell’ambito della sicurezza informatica il gioco del gatto e del topo sta diventando sempre più simile agli scacchi: anziché aprirsi un varco con la forza come hanno sempre fatto, ora i criminali adottano un modus operandi più metodico.
I criminali informatici sono ormai abili nello spostarsi lateralmente all’interno delle reti e prendono di mira gli utenti per aumentare il livello dei privilegi e gettare le basi per la partita finale.
Se da un lato questa tattica è potenzialmente più dannosa, dall’altro offre ai team addetti alla sicurezza maggiori opportunità di individuare e bloccare gli attacchi. Se riusciamo a comprendere per intero il piano degli autori delle minacce, dalla violazione iniziale al suo impatto, possiamo adottare misure di protezione lungo tutta la catena d’attacco.
Comprendere le possibili mosse iniziali
Proseguendo con l’analogia degli scacchi, se conosciamo il repertorio delle mosse iniziali del nostro avversario saremo meglio attrezzati per contrastarlo.
Per quanto riguarda lo spostamento laterale, possiamo essere certi che la stragrande maggioranza degli hacker seguirà la via di minor resistenza. Perché tentare di superare le difese e rischiare di essere scoperti quando è molto più facile cercare le credenziali memorizzate sull’endpoint violato?
Potrebbe trattarsi di file password.txt, credenziali salvate di tipo RDP (Remote Desktop Protocol) o di contenuti di valore presenti nel cestino. Possibile che sia così semplice? Purtroppo sì. Un approccio di questo tipo non richiede privilegi di amministratore. È improbabile che faccia scattare allarmi. E, purtroppo, spesso ha successo.
Attraverso le sue ricerche, Proofpoint ha scoperto che un endpoint su sei presenta rischi legati alle identità che, se sfruttati, consentono agli autori delle minacce di aumentare il livello dei privilegi e spostarsi lateralmente. Maggiori informazioni a riguardo sono disponibili nel nostro report sull’analisi dei rischi legati alle identità.
Per quanto riguarda gli attacchi su larga scala, si stanno facendo sempre più strada quelli di tipo DCSync, che vengono utilizzati dagli stati nazione e da numerosi gruppi di hacker. Sono talmente diffusi che, se fossero degli zero-day, i responsabili della sicurezza chiederebbero a gran voce una patch.
Tuttavia, poiché è opinione comune che Active Directory sia molto difficile da proteggere, vulnerabilità come questa sono considerate accettabili.
In breve, un attacco DCSync consente a un hacker di simulare il comportamento di un controller di dominio e di sottrarre i dati delle password degli utenti con privilegi di Active Directory. Anche in questo caso, si tratta di un approccio estremamente facile da seguire.
Con un semplice comando PowerShell, gli autori delle minacce possono trovare gli utenti che dispongono delle autorizzazioni richieste. Aggiungendo poi uno strumento intuitivo come Mimikatz, in pochi secondi possono accedere a tutti gli hash e ai privilegi di Active Directory della rete.
Perfezionare le misure di difesa
Una volta che gli autori delle minacce si sono infiltrati nell’organizzazione, le tradizionali misure di difesa perimetrali sono inefficaci. Occorre invece adottarne altre che limitino l’accesso degli hacker a ulteriori privilegi e li spingano a svelare i loro movimenti.
La prima fase è una valutazione del nostro ambiente. Proofpoint Identity Threat Defense offre una trasparenza completa, consentendo agli addetti alla sicurezza di conoscere i punti di maggiore vulnerabilità della rete. Queste informazioni ci permettono di ridurre la superficie di attacco potenziale applicando maggiori misure di protezione agli utenti con privilegi e mettendo ordine negli endpoint, in modo da ostacolare l’accesso dei criminali informatici alle identità.
Proofpoint Identity Threat Defense permette di eseguire automaticamente questi processi per correggere su base continua le vulnerabilità in tempo reale, anche quando gli hacker si stanno già spostando lateralmente all’interno dei nostri ambienti.
Ma ovviamente, non si può stare tranquilli finché sappiamo che i criminali informatici hanno penetrato le nostre difese. Pertanto, oltre a ridurre il potenziale aumento dei privilegi, dobbiamo anche spingere gli hacker a uscire allo scoperto, rivelando gli strumenti, le tecniche e le procedure che utilizzano.
Per farlo, possiamo ampliare la superficie di attacco percepita. Proofpoint Identity Threat Defense utilizza 75 tecniche diversive per imitare credenziali d’accesso, connessioni, dati, sistemi e altri artefatti di interesse per i criminali informatici.
Sappiamo che, nella maggior parte dei casi, gli hacker seguono la via di minor resistenza. Pertanto, possiamo essere certi che cercheranno di conquistare la nostra regina, se sembra essere scoperta. Così facendo, però, attiveranno le nostre misure di difesa, fornendoci informazioni su accessi violati, screenshot di attività dannose e molto altro ancora.
Questo approccio consente agli addetti alla sicurezza di rilevare e bloccare lo spostamento laterale e di osservare la minaccia dal punto di vista del suo autore. Possiamo vedere quanto si è avvicinato alle risorse critiche, come ci è arrivato e in che modo interagisce con i nostri dati diversivi. Tutte queste informazioni ci aiutano a perfezionare il nostro piano difensivo in preparazione dell’inevitabile prossima mossa dell’hacker.
Per saperne di più
Guarda questo webinar per ottenere maggiori informazioni su come interrompere la catena d’attacco e proteggere i dipendenti con una soluzione di sicurezza incentrata sulle persone.
Scopri di più su Proofpoint Identity Threat Defense e non perdere l’appuntamento della settimana prossima con la fase finale della catena d’attacco: l’insediamento e l’estorsione.