L'identità è il nuovo campo di battaglia

I cyberattacchi degli attori di stato-nazione sono in aumento. Nonostante le loro ampie risorse, questi avversari spesso si affidano a tattiche semplici per rubare le password indovinate facilmente. In questo modo, possono ottenere un accesso facile e veloce agli account dei clienti. In caso di attacchi aziendali, la penetrazione nella rete di un'organizzazione consente agli attori di stato-nazione di ricavare un punto di appoggio che possono usare per muoversi verticalmente, tra utenti e risorse simili, oppure orizzontalmente, accedendo a risorse e credenziali più preziose.

Spear-phishing, attacchi di ingegneria sociale e password spraying su larga scala sono le tattiche di base usate dagli attori di stati-nazione per rubare o indovinare le password. Microsoft ottiene dati analitici sui risultati e sulle tecniche commerciali degli utenti malintenzionati osservando le tattiche e le tecniche in cui investono e con cui raggiungono i loro obiettivi. Se le credenziali utente sono gestite male o lasciate vulnerabili senza misure di protezione cruciali come l'autenticazione a più fattori (MFA) e le funzionalità senza password, gli stati-nazione continueranno a usare le stesse semplici tattiche.

La necessità di adottare la MFA o funzionalità senza password non può essere enfatizzata troppo, perché la semplicità e i costi ridotti degli attacchi basati sulle identità le rendono pratiche ed efficaci per gli attori. La MFA non è l'unico strumento di gestione delle identità e degli accessi che le organizzazioni dovrebbero usare, ma può fornire anche un efficace deterrente per gli attacchi.

L'uso improprio delle credenziali è un'arma cui ricorre molto spesso NOBELIUM, un antagonista di stato-nazione collegato alla Russia. Tuttavia, altri antagonisti, come DEV 0343 collegato all'Iran, si affidano anche al password spraying. L'attività di DEV-0343 è stata osservata tra le società di difesa che producono radar militari, tecnologie di droni, sistemi satellite e sistemi di comunicazione di risposta di emergenza. Altre attività hanno colpito i porti regionali di ingresso nel Golfo Persico e diverse società di trasporto merci e marittimo con interessi commerciali in Medio Oriente.

Abilitare l'autenticazione a più fattori: così facendo, riduce il rischio che le password cadano nelle mani sbagliate. Ancora meglio, dovrebbe eliminare direttamente le password usando la MFA senza password.

Controllare i privilegi degli account: gli account dotati di accesso con privilegi, se dirottati, diventano un'arma potente che gli utenti malintenzionati possono usare per ottenere un accesso maggiore alle reti e alle risorse. I team della sicurezza dovrebbero controllare i privilegi di accesso regolarmente, applicando il principio dei privilegi minimi per consentire ai dipendenti di svolgere le loro attività.

Rivedere, rafforzare e monitorare tutti gli account amministratore tenant: i team della sicurezza dovrebbero rivedere attentamente tutti gli utenti amministratore tenant o gli account collegati a privilegi amministrativi con delega per verificare l'autenticità di utenti e attività. Dovrebbero quindi disabilitare o rimuovere eventuali privilegi amministrativi con delega non utilizzati.

Stabilire e applicare una baseline di sicurezza per ridurre i rischi: gli stati-nazione usano strategie a lungo termine e hanno i fondi, la determinazione e la scalabilità necessari per sviluppare nuove tecniche e strategie di attacco. Ogni iniziativa di rinforzo della rete ritardata a causa della larghezza di banda o della burocrazia gioca a loro vantaggio. I team della sicurezza dovrebbero dare la priorità all'implementazione di pratiche Zero Trust come la MFA e gli aggiornamenti senza password . Possono iniziare dagli account con privilegi per ottenere una protezione rapidamente, per poi andare avanti in fasi incrementali e continue.

La narrazione dominante sembra essere che ci sono tantissime nuove minacce ransomware che superano le capacità dei difensori. Tuttavia, l'analisi di Microsoft mostra che questo non è esatto. C'è anche una percezione che alcuni gruppi di ransomware sono un'unica entità monolitica, ma anche questa è un'informazione errata. Esiste invece un'economia di criminali informatici in cui diverse figure in catene di attacchi commoditizzati fanno scelte deliberate. Seguono un modello economico per massimizzare i profitti in base a come ognuno di loro sfrutta le informazioni cui ha accesso. La grafica di seguito mostra come diversi gruppi traggono profitto da varie strategie di cyberattacco e informazioni ottenute dalle violazioni dei dati.

Capire che il ransomware sfrutta le credenziali predefinite o compromesse: di conseguenza, i team della sicurezza dovrebbero accelerare misure di protezione come l'implementazione di MFA senza password su tutti gli account utente e la prioritizzazione a dirigenti, amministratori e altri ruoli con privilegi.

Capire come individuare le anomalie spia in tempo utile: accessi in anticipo, spostamento di file e altri comportamenti che introducono ransomware possono sembrare comuni. Tuttavia, i team devono monitorare le anomalie e agire velocemente.

Avere un piano di risposta al ransomware e condurre esercizi di recupero: viviamo nell'era della sincronizzazione e condivisione sul cloud, ma le copie di dati sono diverse da interi sistemi IT e database. I team devono visualizzare ed esercitarsi sulle modalità di recupero.

Gestire gli avvisi e occuparsi rapidamente della mitigazione: tutti temono gli attacchi ransomware, ma i team della sicurezza dovrebbero concentrarsi innanzitutto sul rafforzamento delle configurazioni della sicurezza deboli che consentono la riuscita degli attacchi. Dovrebbero gestire le configurazioni della sicurezza in modo che avvisi e rilevamenti vengano gestiti in modo appropriato.

Minacce dell'endpoint:
Microsoft Defender per endpoint ha bloccato più di 9,6 miliardi di minacce malware contro dispositivi di clienti aziendali e consumer, tra gennaio e dicembre 2021.

Minacce tramite posta elettronica:
Microsoft Defender per Office 365 ha bloccato più di 35,7 miliardi di phishing e altre email dannose contro clienti aziendali e consumer, tra gennaio e dicembre 2021.

Minacce alle identità:
Microsoft (Azure Active Directory) ha rilevato e bloccato più di 25,6 miliardi di tentativi di dirottare account di clienti aziendali con credenziali rubate tramite attacchi di forza bruta, tra gennaio e dicembre 2021.