Le aziende del settore tecnologico hanno creato gli strumenti che utilizziamo per costruire e gestire le operazioni di business, elaborare le transazioni dei consumatori, abilitare la comunicazione e organizzare le nostre vite personali e professionali. La tecnologia ha dato forma al mondo moderno per come lo conosciamo e la fiducia riposta nei suoi riguardi continua a crescere.

Il ruolo strategico del settore tecnologico non è passato inosservato nemmeno ai criminali informatici, né ai gruppi sponsorizzati dagli stati nazione, che prendono di mira le aziende tecnologiche per diversi motivi: perseguire obiettivi strategici, militari ed economici; ottenere l’accesso a dati aziendali sensibili per richiedere un riscatto o per venderli sul dark web; per compromettere le supply chain e molto altro.

È da molto tempo che i cyber criminali prendono di mira le aziende di questo settore, ma lo scorso anno tali attacchi hanno registrato un aumento esponenziale. Secondo i dati sulle minacce di CrowdStrike quello tecnologico è stato il settore più preso di mira dalle intrusioni informatiche tra luglio 2021 e giugno 2022, nonché il più colpito dagli autori delle minacce: negli ultimi dodici mesi, gli esperti in threat hunting di CrowdStrike hanno registrato infatti oltre 77 mila potenziali intrusioni, approssimativamente una potenziale intrusione ogni sette minuti.

Michael Sentonas, Chief Technology Officer, CrowdStrike

Le aziende di ogni dimensione, appartenenti al settore tecnologico, dovrebbero essere preoccupate dal potenziale dell’attività criminale informatica, spesso incentrata sul furto dei dati. In questo articolo, Michael Sentonas analizza da vicino le principali minacce informatiche e le tattiche di attacco che colpiscono le aziende tecnologiche, fornendo alcuni suggerimenti utili a bloccare questi attacchi.

Come gli autori delle minacce prendono di mira le aziende tecnologiche

Le aziende di piccole e medie dimensioni (PMI) e le startup devono essere consapevoli delle minacce che le riguardano e come difendersi da esse. I cyber-criminali si stanno progressivamente allontanando dal malware nel tentativo di eludere il rilevamento: i dati delle minacce di CrowdStrike mostrano come l’attività priva di malware si attesti attorno al 71% di tutti i rilevamenti effettuati tra luglio 2021 e giugno 2022. Questo cambiamento è, in parte, legato all’aumento dell’abuso di credenziali valide da parte degli autori delle minacce, al fine di ottenere l’accesso e mantenere la persistenza (come stabile l’accesso a lungo termine ai sistemi nonostante interruzioni come riavvii o modifiche alle credenziali) negli ambienti IT. Tuttavia, c’è anche un altro fattore: la velocità con cui le nuove vulnerabilità si diffondono e con cui gli avversari possono rendere operativi gli exploit.

Il numero di zero-day e di nuove vulnerabilità divulgate continua ad aumentare anno dopo anno. I dati sulle minacce di CrowdStrike mostrano oltre 20 mila nuove vulnerabilità registrate nel 2021, il numero più alto rispetto a qualsiasi anno precedente; oltre 10 mila di queste sono state registrate dall’inizio di giugno 2022. Un chiaro segnale di un trend che non sembra dare cenni di rallentamento.

Analizzando da vicino le tattiche, le tecniche e le procedure (TTPs) usate durante le intrusioni emergono schemi comuni nel modo di operare dell’attività criminale. Quando una vulnerabilità viene sfruttata con successo, è seguita abitualmente dall’implementazione di web shell (come script malevoli che consentono agli avversari di compromettere i server web e di lanciare ulteriori attacchi).

Che cosa possono fare le aziende tecnologiche per fermare le minacce?

Il settore tecnologico deve mantenere un alto livello di difesa contro uno scenario delle minacce in constante evoluzione. I nemici informatici di oggi stanno cambiando le loro TTP per apparire più discreti, per evadere il rilevamento e causare più danni. È compito delle aziende difendersi per proteggere i workload, le identità e i dati da cui dipende il proprio business.

Non esiste un modello univoco per il modo in cui i criminali informatici conducono i loro attacchi e nemmeno un modo in cui le aziende possono difendersi da ciascuna intrusione. Tuttavia, l’attività di intrusione rivela alcune aree critiche su cui gli addetti all’IT e alla sicurezza devono concentrarsi. Ecco di seguito i suggerimenti di CrowdStrike per le aziende del settore tecnologico:

• È fondamentale che le aziende tecnologiche dispongano delle basi dell’igiene della sicurezza. Questo include l’implementazione di un solido programma di gestione delle patch, la garanzia di un robusto controllo dell’account utente e della gestione degli accessi privilegiati per mitigare gli effetti delle credenziali compromesse.
• Verificare regolarmente i servizi di accesso remoto: gli avversari informatici sfrutteranno ogni strumento pre-esistente di accesso remoto a loro disposizione o tenteranno di installare un software di accesso remoto legittimo, nella speranza di evadere qualsiasi rilevamento automatico. I controlli regolari dovrebbero mostrare se lo strumento è autorizzato e se l’attività rientra in un intervallo di tempo previsto, ad esempio nell’orario di lavoro aziendale. Le connessioni effettuate dallo stesso account utente a molteplici host in un periodo di tempo ristretto possono essere un segnale di compromissione delle credenziali.
• Cacciare le minacce proattivamente: una volta che un avversario informatico viola le difese di un’azienda tecnologica, può essere difficile individuarlo mentre recupera silenziosamente i dati, guarda le informazioni sensibili o ruba le credenziali. È qui che entra in gioco la caccia alle minacce. Cercando proattivamente gli avversari nel loro ambiente, le aziende tecnologiche possono rilevare gli attacchi anticipatamente e rafforzare la loro posture di sicurezza.
• Dare priorità alla protezione dell’identità: gli avversari informatici stanno prendendo sempre più di mira le credenziali per violare le aziende tecnologiche. Qualsiasi utente, a prescindere che si tratti di un dipendente, vendor di terze parti o un cliente, può essere inconsapevolmente compromesso e fornire agli avversari un percorso di attacco. Le aziende tecnologiche devono autenticare ogni identità e autorizzare ogni richiesta, al fine di prevenire attacchi informatici, ad esempio alla supply chain, attacchi ransomware o violazioni dei dati.
• Mai dimenticare la prevenzione delle minacce: per le aziende tecnologiche, gli strumenti di prevenzione possono bloccare le minacce informatiche ancor prima che queste possano penetrare in un ambiente o danneggiarlo. Il rilevamento e la prevenzione vanno di pari passo. Al fine di prevenire le minacce informatiche è necessario rilevarle in tempo reale. Più è grande l’ambiente IT, maggiore è la necessità di strumenti che aiutino a rilevare e prevenire le minacce.

L'evoluzione del crimine informatico e dell’attività sponsorizzata dagli stati nazione mostra alcun segnale di rallentamento. Le aziende del comparto tecnologico devono rafforzare le loro difese e comprendere le tecniche degli avversari, al fine di proteggere i loro workload, identità, dati e l’operatività aziendale.

Michael Sentonas è Chief Technology Officer di CrowdStrike