Nella mentalità di un attore di minacce

WEBINAR SU RICHIESTA

Di seguito sono riportate le domande che sono state poste durante il webinar sulla Gestione delle crisi informatiche.

1. Immagino che non esista un "Tripadvisor" per gli agenti Ransomware: quanto è probabile che i suoi dati vengano ripristinati se ha pagato?

La risposta è che dipende. È nell'interesse dell'attore della minaccia aiutarla a recuperare i dati una volta pagato il riscatto, per costruire la propria credibilità per gli attacchi futuri. Ci sono molti esempi di organizzazioni che hanno recuperato con successo dopo il pagamento. Detto questo, lo strumento di decriptazione fornito potrebbe non funzionare o non essere affidabile e lei potrebbe incontrare problemi nel processo di recupero.

2. In base alla sua esperienza, ha riscontrato che molte organizzazioni dispongono effettivamente di piani di Incident Response attuabili, che vengono simulati e poi effettivamente seguiti in caso di incidente grave? Oppure si tratta più di un caso in cui il Piano di risposta agli incidenti esiste per soddisfare i requisiti di compliance, ma non è attuabile/praticato e le organizzazioni preferiscono rivolgersi ad esperti di incident response?

Questa è una grande domanda. Purtroppo, si tende a svilupparlo per soddisfare la Compliance. Secondo la nostra esperienza, l'aspetto più prezioso di questi piani si trova nel loro sviluppo, dove gli stakeholder chiave possono effettivamente discutere la loro risposta e collaborare.

Diventano più efficaci con le simulazioni e gli incidenti reali, quando le lezioni apprese vengono messe in pratica. L'adattabilità è fondamentale, poiché ogni incidente è unico, ma non avere un processo è dannoso.

3. Mi preoccupa il single sign on, in quanto può dare agli attori delle minacce un facile accesso a più sistemi una volta violati. Se questi sistemi sono legati al settore OT, è una vera preoccupazione. Consiglierebbe l'SSO per i sistemi OT? Non sono convinto dei benefici rispetto ai rischi. Soprattutto se gli utenti sono pochi, meno di 5.

La risposta può dipendere dalla persona con cui si parla, ma sono propenso a concordare con la sua affermazione che l'SSO, soprattutto sui sistemi OT e critici, può rappresentare un rischio significativo. Dal punto di vista di un aggressore, se riesco a compromettere un asset interno e scopro che un'applicazione all'interno dell'ambiente si autentica automaticamente tramite SSO, sono libero di muovermi nell'ambiente con facilità.

Spesso nella sicurezza difensiva si parla di "separazione dei privilegi". A mio avviso, soprattutto nei sistemi critici, la separazione dei privilegi dovrebbe essere applicata anche agli asset interni fidati.

4. Può parlare dell'incident response in una grande organizzazione multistrato e di come gestire la crisi a diversi livelli (ad esempio: direzione globale dalla sede centrale e compiti operativi nelle sedi locali)?

Speriamo che la spiegazione fornita durante il webinar abbia aiutato a rispondere alla sua domanda, ma per approfondire ulteriormente: per le organizzazioni più grandi, è fondamentale disporre di un quadro di crisi che descriva in dettaglio come i team operativi locali lavoreranno con i team strategici.

Dovrebbe cercare di chiarire i ruoli e le responsabilità a ciascun livello e identificare i modi migliori per far interagire questi gruppi. Questo può essere fatto attraverso briefing efficaci, rapporti sulla situazione e, infine, esercitandosi in simulazioni, ecc.

5. Ci sono delle specificità da considerare per la cyber incident response nell'ambiente OT?

Certamente sì. Come si è detto nel corso del webinar, gli attori delle minacce potrebbero potenzialmente manipolare i sistemi OT per causare ulteriori danni fisici, o almeno minacciare di farlo nel tentativo di esercitare pressione. Potrebbero anche bloccare o rallentare la produzione. Ci sono molti rischi specifici legati all'ambiente OT, con ulteriori informazioni sul nostro sito web, se può essere utile qui.

6. Dato il punto di ingresso delle password deboli in ABC/CBA, quanto migliorerebbe l'MFA?

L'MFA fornisce sempre un miglioramento significativo nella prevenzione della compromissione, soprattutto con i comuni vettori di accesso iniziale incentrati sulle credenziali. Tuttavia, durante gli impegni del Red Teaming, vediamo ancora spesso organizzazioni che non la implementano a fondo in tutto il loro patrimonio, consentendo agli aggressori di prendere di mira alcune aree.

Va inoltre notato che esistono strumenti pubblicamente disponibili che consentono di catturare il token MFA durante le campagne di phishing (come evilginx2), il che può consentire ad un aggressore di compromettere gli account a prescindere.

La chiave per identificare questo aspetto dal punto di vista dell'incident response è assicurarsi che i login siano impostati per registrare i tentativi di accesso MFA basati sulla posizione, per identificare i tentativi di accesso "fuori norma".

7. Esistono casi noti in cui l'archiviazione blob di una grande azienda tecnologica è stata compromessa e crittografata (quindi non server di file ospitati ma archiviazione cloud vera e propria)? Come Google Drive...

Gli attacchi contro lo storage blob/cloud sono meno comuni, ma vengono comunque eseguiti. S3 è stato un fattore significativo nella violazione di Capital One di qualche anno fa. Spesso queste violazioni sono dovute a configurazioni errate che potevano essere evitate.

Anche se il ransomware potrebbe ancora avere un impatto su queste soluzioni di archiviazione, la probabilità è ridotta soprattutto grazie alla possibilità di configurare l'immutabilità dei file e la gamma di opzioni di recupero flessibili. Il modo in cui le soluzioni di archiviazione blob/cloud potrebbero essere colpite è quando sono sincronizzate con soluzioni locali e on-premise (simili a OneDrive e DropBox).

Se la copia locale viene crittografata, può sincronizzarsi e cambiare le copie archiviate nel cloud con la variante crittografata. Il più delle volte, gli attori delle minacce che non hanno accesso all'archiviazione locale probabilmente esfiltrano ed estorcono senza crittografia, cosa che abbiamo visto in più casi recentemente.

8. Esaminando il framework nella fase 4, dove colloca i piani di disaster recovery specifici per team nel framework?

Nel quadro, al livello operativo, mi aspetterei che un rappresentante tecnico sia presente nel team per consigliare i piani di recupero e mettere insieme un piano di recupero in base alle specificità dell'incidente. Poi, al livello tattico, mi aspetterei che un membro senior del team IT sia in grado di riferire in modo più olistico all'azienda in senso lato, fornendo tempi e costi stimati e ottenendo il parere dell'azienda sulla prioritizzazione del recupero.

9. Qual è il suo consiglio per aumentare la protezione degli account admin e domain admin?

Il problema più comune che riscontro durante la conduzione degli incarichi è l'enorme numero di account amministrativi. Il primo suggerimento sarebbe quello di limitare il numero di account ad alto privilegio a coloro che ne hanno bisogno. Inoltre, un utente che richiede l'accesso amministrativo al dominio non dovrebbe accedere direttamente a questo livello di accesso.

Un modo per combattere questo problema è quello di implementare una politica di "2nd admin", in cui l'account standard dell'utente è a basso livello di privilegio e per svolgere le sue attività amministrative deve accedere nuovamente con l'account a più alto livello di privilegio. Tutti gli account amministrativi dovrebbero inoltre avere una politica di password significativamente più severa, per ridurre il potenziale di cracking degli hashish estratti da parte degli aggressori.

Come approccio finale, l'aggiunta di strumenti di analisi del comportamento dell'utente per individuare le irregolarità nell'utilizzo dell'account contribuirà a fornire un allarme precoce.

10. Può dirmi come individuare e bloccare un attacco in fase iniziale? Stiamo cercando di farlo tenendo conto della Cyber Kill Chain.

Dal punto di vista della Cyber Kill Chain, non si noterà quasi mai nulla nella fase di ricognizione, né nella fase di armamento. Pertanto, la consegna è il primo momento in cui si può individuare definitivamente un attaccante. Forti controlli sulla sicurezza delle e-mail, sulla sicurezza del perimetro e, soprattutto, sull'educazione degli utenti consentiranno una prevenzione precoce contro una violazione del perimetro esterno.

Tuttavia, è ancora necessario pensare alle minacce interne e alle connessioni esistenti (ad esempio, business to business). A questo punto mi piace prendere la metafora dell'epidemiologia. Nella diffusione di una pandemia, le persone sono infettate e spesso inconsapevoli fino alla comparsa dei sintomi. Abbiamo vaccinazioni che aiutano a limitare le infezioni. Si possono considerare strumenti come l'EDR/AV come vaccinazioni, anche se aiutano, non impediscono del tutto l'infezione.

Ecco perché abbiamo bisogno di scienziati e medici per identificare i primi sintomi e aiutare il pubblico a capire come individuarli. Tornando alla Cyber Security, una solida soluzione di registrazione/monitoraggio che alimenta un SIEM con basi di regole specifiche e personalizzate consentirà al suo SOC di agire come i medici e di avvertire dei primi sintomi di infezione.

A ciò si aggiunge un programma di educazione degli utenti, che consente al suo personale di agire come pubblico consapevole, che può agire per notificare e talvolta prevenire l'ulteriore diffusione di un'infezione.