Cyber Attacks. Recent Breaches.
Il lavoro a distanza è spesso citato come uno dei motivi principali dell’aumento della criminalità informatica nel 2020. È però ben lungi dall’essere l’unica sfida crescente per i CISO di oggi. Mettiamo da parte il bombardamento con lo zoom, le truffe di phishing e l’anello debole dei dispositivi domestici. Diamo un’occhiata a 5 recenti violazioni della sicurezza uniche e a ciò che possiamo imparare su come aumentare l’efficacia dei test di vulnerabilità.
Cyber Attacks. Middleware.
Estee Lauder aveva 440 milioni di record esposti nel febbraio 2020. Molti di questi erano correlati al middleware che l’azienda utilizza internamente, come il software di messaggistica, i servizi applicativi e la gestione delle API. Il middleware potrebbe essere l’obiettivo finale di un attacco. Può anche essere utilizzato come percorso per iniettare malware altrove nella rete scoprendo informazioni sui sistemi operativi o sui percorsi di comunicazione. Quando i test di sicurezza sono limitati, spesso si concentrano solo sui punti deboli delle applicazioni principali. È facile quindi avere punti ciechi e lacune nella rete. È importante riconoscere che anche quelle che a prima vista sembrano informazioni “non importanti” possono essere utilizzate come trampolino di lancio per il movimento laterale o la ricognizione della rete.
Cyber Attacks. On-premises Security Tools.
FireEye ha rivelato a dicembre di essere stata vittima di un Nation-State attack. Hanno descritto la violazione come diversa dalle decine di migliaia di attacchi a cui hanno risposto negli ultimi 25 anni, dimostrando che nuovi metodi di attacco, o combinazioni di metodi di attacco, compaiono continuamente. Gli strumenti di red teaming e penetration test di FireEye sono stati presi di mira e rubati durante l’attacco, gli stessi che l’azienda utilizza per testare le reti dei propri clienti. Questi strumenti devono ancora essere trapelati o utilizzati altrove, ma potrebbero essere utilizzati per scoprire vulnerabilità contro obiettivi futuri o semplicemente esposti come mezzo per screditare direttamente FireEye.
Cyber Attacks. Shore up Credentials.
Un attacco a Wishbone all’inizio di quest’anno (la seconda violazione dei dati su larga scala che l’azienda ha subito dal 2017) ha messo le credenziali sotto i riflettori. Durante l’attacco sono trapelati 40 milioni di record, inclusi numeri di cellulare, date di nascita, dettagli degli account Facebook e Twitter e anche password. Queste password non erano in chiaro, ma con hash MD5, un algoritmo considerato “crittograficamente danneggiato” dal 2010 e un promemoria che le organizzazioni devono assicurarsi di aggiornare i propri protocolli di sicurezza. Quando si considera una piattaforma come Wishbone che detiene così tanti record privati relativi a minori, rivedere i processi di sicurezza per assicurarsi che le politiche non siano obsolete è più essenziale che mai. Le aziende che fanno affidamento su piattaforme di scansione delle vulnerabilità ne prendono nota. È importante concentrarsi sul modo in cui gli aggressori possono accedere ai dati, ma anche sulla mitigazione aggiornata e prioritaria per proteggere le credenziali se vengono esposte. In questo caso, la tokenizzazione o la crittografia sicura dei dati avrebbe potuto proteggere gli utenti e impedire che i dati venissero trapelati e riutilizzati nel Dark Web.
Cyber Attacks. Shared Responsibility Model.
Solo il 10% dei consumatori ritiene di avere il controllo sui propri dati personali. Le fughe di dati, come il recente esempio dell’azienda di fitness VShred, spiegano in qualche modo il motivo. Si è scoperto che la società aveva esposto un bucket AWS contenente le PII di decine di migliaia di utenti, comprese foto sensibili, numeri di previdenza sociale, nomi utente, password e altro ancora. La risposta della società è stata che non erano consapevoli del fatto che gli utenti potevano sfogliare e accedere in modo anonimo a queste informazioni e che avevano intenzionalmente mantenuto pubblico il bucket in modo che gli utenti potessero scaricare contenuti come i piani dei pasti. Anche le piccole aziende devono essere in grado di dimostrare che stanno proteggendo i dati dei loro clienti e stanno rispettando le leggi di conformità come il GDPR che richiedono valutazioni approfondite del rischio sullo storage nel cloud, nonché una rigida politica in materia di conservazione e accesso.
Cyber Attacks. Ransomware Toll.
Il 2020 è stato un anno difficile per Toll Group, con sede in Australia, vittima di due attacchi ransomware in soli tre mesi. Il primo attacco ha crittografato i file critici per l’azienda utilizzando il ransomware MailTo, noto anche come Netwalker. Il secondo utilizzava NetFilm, una nuova variante di Nemty, che si pensa venga distribuita tramite RDP esposto, e utilizza la crittografia AES-128 per bloccare i file. Quasi 9 mesi dopo, Toll sta ancora subendo l’impatto degli attacchi, compreso il tentativo di limitare i danni causati dai 220 GB di dati rubati, alcuni dei quali esposti sul Dark Web. L’azienda ha quindi avviato un programma di resilienza informatica della durata di 12 mesi per rafforzare le proprie difese. Poiché oltre 1.000 aziende definiscono il ransomware un fattore di rischio per le loro organizzazioni, il 2021 potrebbe essere l’anno in cui i team di sicurezza si attivano in merito a rischi e vulnerabilità basati sulla rete.
Cyber Attacks. Vulnerability Management.
Questi 5 attacchi sono un importante promemoria per i team di sicurezza che il livello della minaccia informatica odierna è avanzato. Le nostre pratiche di convalida della sicurezza e di emulazione delle minacce devono tenere il passo. È stata creata una lacuna su questo fronte della convalida della sicurezza in cui i test periodici o manuali della penna non sono in grado di valutare il rischio derivante da queste minacce, sia nella sofisticazione che nell’ampiezza degli attacchi. Le aziende devono esaminare strumenti in grado di emulare gli attacchi più recenti in modo sicuro per sapere se sono preparati. Questa è una nuova pratica di convalida della sicurezza continua che deve essere adottata. Le tecnologie scelte devono supportare la gestione sicura di un ambiente ibrido e fornire dati intelligenti per supportare e dare priorità alla mitigazione per ridurre il rischio e prepararti se lo scenario peggiore dovesse bussare alla tua porta.
La tecnologia Pcycys è distribuita da Bludis: https://www.bludis.it/pcysys/
Ti interessa capire se Pcysys è adatto alle esigenze della tua azienda e quali potenzialità ti offre? Partecipa al webinar che si terrà giovedì 29 aprile alle ore 11:00 CET.
Clicca su questo link per la registrazione!
Se vuoi maggiori informazioni di carattere tecnico o commerciale contatta gli specialisti di Bludis allo 0643230077 o invia una e-mail a sales@bludis.it
Canale Sicurezza è il blog di approfondimento sulle tematiche di sicurezza informatica di Bludis S.r.l.
Pensato e strutturato come servizio e strumento per mantenere sempre aggiornati gli utenti sia professionali che domestici sulle ultime novità.