'L'antivirus è morto': le crescenti minacce alla sicurezza aziendale per il 2021 e come proteggersi da esse

45

Il 2020 è stato senza precedenti in quasi tutti i modi e gli attacchi informatici non hanno fatto eccezione. Il CrowdStrike 2021 Global Threat Report della società di sicurezza informatica nativa del cloud CrowdStrike afferma che questo è stato "forse l'anno più attivo della memoria".

Per le aziende in particolare, il rapporto rivela le crescenti minacce da tenere d'occhio nel prossimo anno. I malintenzionati hanno promosso il loro passaggio ad attacchi contro obiettivi di alto valore come le imprese, noti come "caccia grossa", che è diventato sempre più popolare negli ultimi anni a causa del potenziale di guadagno più redditizio. Gli attori maligni hanno anche sviluppato nuovi strumenti e procedure e formato alleanze per rafforzare la forza e la portata dei loro attacchi. Soprattutto, hanno integrato sempre più tecniche di ricatto ed estorsione nelle operazioni di ransomware.

Gli attori maligni hanno intensificato i loro sforzi negli ultimi 18 mesi, ha detto a VentureBeat il vicepresidente senior di CrowdStrike Adam Meyers. Vogliono “rubare quanti più dati possono mettere le mani. Quindi diranno "Se non ci paghi, rilasceremo tutti questi dati sensibili", il che potrebbe avere un impatto sulla reputazione o persino sulla regolamentazione ".

I criminali informatici hanno anche sfruttato la pandemia COVID-19, depredando le paure, prendendo di mira il settore sanitario e approfittando del passaggio improvviso al lavoro a distanza. Secondo il rapporto, il 71% degli esperti di sicurezza informatica intervistati ha affermato di essere più preoccupato per gli attacchi ransomware a seguito di COVID-19. Inoltre, il 2020 ha visto quello che è forse l'attacco alla catena di approvvigionamento più sofisticato e di vasta portata della storia.

La migliore difesa per le aziende è essere informati delle minacce in evoluzione, agire rapidamente in caso di attacco ed essere proattivi con soluzioni di sicurezza avanzate. "Devi avere una soluzione di nuova generazione. L'antivirus è morto ", ha detto Meyers.

I risultati del rapporto di 40 pagine, che traccia e analizza l'attività dei principali avversari informatici del mondo, sono stati compilati utilizzando l'apprendimento automatico, osservazioni di prima mano degli analisti informatici di prima linea della società e approfondimenti dalla misurazione delle minacce in crowdsourcing, ha affermato la società. Di seguito sono riportate le tendenze, le minacce e le best practice di sicurezza per le aziende mirate, secondo il rapporto.

I criminali informatici sfruttano la crisi COVID-19

Il settore sanitario deve affrontare significative minacce alla sicurezza in un anno tipico e la posta in gioco relativa alla pandemia ha portato solo maggiore attenzione, in particolare alle società farmaceutiche, alle società di ricerca biomedica e agli enti governativi.

Sebbene gli obiettivi iniziali per gli attori di intrusione mirati possano aver incluso l'acquisizione di informazioni sui tassi di infezione o sulle risposte a livello nazionale, l'obiettivo si è rapidamente spostato allo sviluppo di vaccini. Gli attori dannosi con sede in Cina, Corea del Nord e Russia hanno tutti mirato alla ricerca sui vaccini, ha detto CrowdStrike. In totale, nel 2020 almeno 104 organizzazioni sanitarie sono state infettate da ransomware.

COVID-19 si è dimostrato efficace anche per il phishing, una tecnica che in genere ha più successo quando attinge alle emozioni umane come la speranza, la paura e la curiosità. Le truffe di phishing hanno preso di mira il piano federale di soccorso COVID-19 per le imprese (PPE), l'assistenza finanziaria e altri pacchetti di stimolo governativi. Fingevano anche di offrire informazioni su test e trattamenti e organismi medici impersonati, tra cui l'Organizzazione mondiale della sanità (OMS) e i Centri statunitensi per il controllo e la prevenzione delle malattie (CDC).

Infine, il repentino passaggio al lavoro a distanza ha spinto molte aziende in una situazione di sicurezza per la quale non erano preparate. L'improvviso utilizzo di personal computer per lavoro, ad esempio, significa che molte persone stanno lavorando su dispositivi che potrebbero essere già stati infettati da malware. Un altro rischio è rappresentato dalla condivisione di dispositivi tra i membri della famiglia, che potrebbero non essere consapevoli delle minacce alla sicurezza che incontrano.

"L'impatto maggiore è che ha aumentato la superficie di attacco", ha affermato Meyers, riferendosi alla somma dei punti di ingresso che un malintenzionato può utilizzare per ottenere l'accesso.

Imprese a maggior rischio: enti sanitari privati ​​e governativi, organizzazioni appena remote.

Gli stati-nazione seguono l'IP

Oltre allo sviluppo di vaccini, gli attori degli stati-nazione hanno anche preso di mira le imprese di tutti i settori per la proprietà intellettuale (PI). Il rapporto suggerisce che non stanno cedendo e continueranno nel 2021, facendo eco ai sentimenti di tutto il settore.

La Cina ha specificamente una "lista della spesa" di tecnologie che sta cercando di sviluppare e sta usando lo spionaggio economico per scavalcare la tecnologia esistente, specialmente nell'IA e nell'apprendimento automatico. Alcuni attori di stati-nazione sono anche interessati ad accedere ai toolkit delle società di sicurezza informatica che potrebbero aiutarli in ulteriori attacchi, come è successo nel caso di FireEye.

Un'altra minaccia viene dagli accordi bilaterali o dagli acquisti di joint-venture con società con sede in altri paesi, su cui gli attori dello stato-nazione cercano di capitalizzare. Oltre alla PI, le strategie di negoziazione, i piani di espansione e i risultati economici di un'azienda sono tutti potenziali obiettivi.

Imprese a maggior rischio: energia pulita, tecnologia medica, agricoltura digitale, sicurezza informatica, risorse minerarie / a fornitura limitata e tecnologie emergenti.

Gli attacchi alla catena di approvvigionamento raggiungono nuove vette

Sebbene gli attacchi alla catena di approvvigionamento non siano una novità, il 2020 ne ha visto uno che alcuni esperti di sicurezza informatica definiscono "l'hack del decennio". Un attore di uno stato nazionale ha violato la rete del fornitore di software IT SolarWinds, mantenendo l'accesso per 264 giorni e attaccando i clienti tramite malware nascosto in più aggiornamenti software. La SEC ha identificato almeno 18.000 potenziali vittime dell'attacco, comprese aziende e governi di alto livello. L'attore ha anche studiato e scaricato il codice sorgente di Microsoft per autenticare i clienti.

Gli attacchi alla catena di fornitura sono dannosi in modo univoco a causa del loro effetto domino, in cui un'intrusione può consentire ulteriori violazioni di più obiettivi a valle.

"La portata, la profondità e la durata di questo periodo, direi, è senza precedenti", ha detto Meyers, aggiungendo che gli attacchi alla catena di approvvigionamento, in particolare nel software, sono ciò che lo tengono sveglio la notte.

Il ransomware incontra l'estorsione

Tra l'aumento dell'attività ransomware, il 2020 ha visto anche l'integrazione accelerata delle tecniche di estorsione e ricatto dei dati, una pratica che secondo il rapporto probabilmente crescerà quest'anno. Ciò fa eco a un altro recente rapporto dello specialista della protezione dei dati Acronis, che ha dichiarato che "il 2021 sarà l'anno dell'estorsione".

Gran parte di questo è stata l'introduzione di DLS (siti di fuga) dedicati, che sono post sul Web oscuro in cui i malintenzionati descrivono in dettaglio, con prove, i dati esatti che hanno rubato, con l'obiettivo di aumentare la pressione sugli obiettivi per soddisfare le richieste di riscatto. Un esempio notevole è stato l'attacco allo studio legale di New York Grubman Shire Meiselas & Sacks. Il gruppo criminale responsabile ha lasciato cadere i post che suggerivano di avere file di aziende e celebrità tra cui Madonna, Bruce Springsteen, Facebook e altri, rilasciando alla fine un archivio di 2,4 GB contenente i documenti legali di Lady Gaga. Nel complesso, questo approccio è stato adottato da almeno 23 principali operatori di ransomware nel 2020. Il riscatto medio pagato è stato di 1,1 milioni di dollari.

Gli attori della minaccia hanno implementato nuove tecniche di estorsione dei dati. Ciò include il perseguimento di obiettivi non tradizionali all'interno delle organizzazioni, come hypervisor come VMware ESXi. Stanno anche sconcertando il rilascio di dati rubati, che nel caso di aziende con un elevato riconoscimento del marchio possono generare notizie e buzz sui social media che aggiungono pressione alle trattative di riscatto. Gli attori della minaccia hanno anche collaborato a campagne di estorsione, formando alleanze come l'autoproclamato Maze Cartel. Ciò potrebbe evolversi nell'hosting dei dati delle vittime reciproche, aumentando il rischio che vengano condivisi o venduti e rendendo più difficile negoziare la completa rimozione o distruzione dei dati rubati.

Sono state inoltre introdotte nuove varianti e famiglie di ransomware e un attore ha lanciato il ransomware-as-a-service (RaaS). Il rapporto descrive anche il maggiore utilizzo dei broker di accesso, in cui gli hacker che ottengono l'accesso back-end alle imprese lo vendono direttamente agli autori di malware. Ciò elimina il tempo speso per identificare gli obiettivi e ottenere l'accesso, consentendo loro di distribuire più malware più velocemente.

Imprese a maggior rischio: Sebbene la maggior parte delle operazioni di ransomware siano opportunistiche, i settori industriale, ingegneristico e manifatturiero sono stati particolarmente presi di mira nel 2020. Anche i settori della tecnologia e della vendita al dettaglio sono ad alto rischio.

Come le aziende possono difendersi dalle minacce

Secondo Meyers, queste sono le cinque cose che le imprese dovrebbero fare.

  • Proteggi l'azienda. Ciò significa seguire le migliori pratiche e disporre di molteplici salvaguardie, inclusa una solida gestione delle vulnerabilità, cicli di patch coerenti e "il principio del privilegio minimo".
  • Preparati a difendere. CrowdStrike consiglia una regola 1-10-60: identificare un attacco entro un minuto, rispondere entro 10 minuti, indagare e impedire all'aggressore di raggiungere il proprio obiettivo entro un'ora. Secondo Meyers, dovrebbero essere disponibili il rilevamento cross-layer (XDR) o il rilevamento e la risposta degli endpoint (EDR).
  • Avere una soluzione di nuova generazione. L'antivirus deve aver già visto una minaccia, ma le soluzioni basate sull'apprendimento automatico possono decifrare le minacce senza averle mai viste. Questa differenza è cruciale con il crescente tasso di ransomware oggi.
  • Formazione e pratica. Riunisci dirigenti, direttori e membri del consiglio e sviluppa un piano di risposta. Conosci tutti quelli che dovrai chiamare e non aspettare per gestire gli attacchi al volo.
  • Intelligenza. Sii consapevole delle minacce, delle loro tecniche e degli strumenti, nonché di quali minacce specifiche prendono di mira il tuo settore e la geolocalizzazione.
  • VentureBeat

    La missione di VentureBeat è quella di essere una piazza della città digitale per i responsabili delle decisioni tecniche per acquisire conoscenze sulla tecnologia trasformativa e sulle transazioni.

    Il nostro sito fornisce informazioni essenziali sulle tecnologie e strategie dei dati per guidarti mentre guidi le tue organizzazioni. Ti invitiamo a diventare un membro della nostra community, per accedere a:

    • informazioni aggiornate sugli argomenti di tuo interesse
    • le nostre newsletter
    • contenuti gated leader di pensiero e accesso scontato ai nostri eventi preziosi, come Transform
    • funzionalità di rete e altro ancora

    Diventare socio