La tendenza strutturale all'aumento del numero e della severità degli attacchi impone un cambio nella tattica difensiva, che passa per la capacità di individuare tempestivamente i movimenti laterali. Prima questo accade, prima si può circoscrivere l'attacco e limitare i danni.

Per chiarirsi le idee, un movimento laterale è una tattica utilizzata dagli attaccanti che consiste nel muoversi all'interno della rete, con l'obiettivo di prenderne il controllo. La destinazione del criminale informatico è il cuore del sistema informativo, per assumerne l'amministrazione. Fatto questo, potrà estrarre i dati dell’azienda, cancellarli dai server, eventualmente crittografarli, e alla fine chiedere un riscatto.

La tattica è sempre la stessa, con la catena di attacco che parte con una email di phishing formulata con le tecniche di social engineering. Chiunque apra l'allegato o selezioni il link contenuto nella comunicazione apre di fatto le porte del sistema agli attaccanti, che iniziano un'esplorazione (i movimenti laterali appunto) che può protrarsi per giorni o settimane.

Massimiliano Galvagna, Country Manager Italia di Vectra AI

Durante questo periodo gli attaccanti lavorano sull'account che hanno violato, usandone i privilegi per ottenerne altri. Con l'escalation dei privilegi aumentano progressivamente il loro livello di autorizzazioni e acquisiscono diritti sempre più importanti.

Serve strategia

Per bloccare sul nascere la catena di attacco occorre ridurre ai minimi termini, se non annullare, l’errore umano, che secondo Massimiliano Galvagna, Country Manager Italia di Vectra AI, è alla base di 9 casi su 10 di violazioni della sicurezza informatica, e neutralizzare il ruolo del phishing (nel 94% dei casi).

Le vecchie strategie di difesa informatica, incentrate sui punti di ingresso e sulla protezione del perimetro, sono quindi inadeguate. Occorre invece adottare soluzioni per identificare i movimenti laterali all'interno degli ecosistemi IT. Basate sull'intelligenza artificiale e sul Machine learning, queste soluzioni mirano a rilevare gli account che effettuano movimenti laterali considerati sospetti.

Un tirocinante delle risorse umane ha il diritto di accedere ai dati sensibili alle tre del mattino? Un ingegnere di prodotto è autorizzato ad acquisire diritti di un gruppo di lavoro in cui non è inserito? Sono questi i movimenti qualificabili come sospetti, che devono essere rilevati, e attivare una catena di alert tale da permette il blocco delle attività a loro legate.