Anatomia di una superficie di attacco moderna

Per la maggior parte delle organizzazioni, l'email è una parte fondamentale delle operazioni aziendali quotidiane. Purtroppo, l'email rimane uno dei vettori di attacco principali. Il 35% degli incidenti ransomware nel 2022 ha riguardato l'uso dell'email.⁴ Gli utenti malintenzionati stanno sfruttando gli attacchi all'e-mail come mai prima: nel 2022, la percentuale di attacchi di phishing è aumentata del 61% rispetto al 2021^.5

Inoltre, gli utenti malintenzionati ora sfruttano risorse legittime per condurre attacchi di phishing. Questo rende ancora più difficile per gli utenti distinguere le email reali da quelle dannose, aumentando la probabilità che una minaccia penetri nell'ambiente. Gli attacchi di phishing di consenso sono un esempio di questa tendenza, dove gli attori di minacce usano in modo improprio i provider di servizi cloud legittimi per ingannare gli utenti in modo che concedano autorizzazioni di accesso a dati riservati.

Senza la capacità di correlare i segnali dell'email in incidenti più ampi per visualizzare gli attacchi, può volerci molto tempo per rilevare un attore di minacce che ha ottenuto l'accesso tramite l'email. E a quel punto potrebbe essere troppo tardi evitare i danni. Il tempo medio necessario a un utente malintenzionato per accedere ai dati privati di un'organizzazione è di appena 72 minuti.⁶ Ciò può comportare gravi perdite a livello aziendale. Il costo stimato di una compromissione della posta elettronica aziendale (BEC) è di circa 2,4 miliardi di dollari come importo adeguato di perdite nel 2021.⁷

Nel mondo basato sul cloud di oggi, la protezione degli accessi è diventata più importante che mai. Di conseguenza, avere un quadro approfondito delle identità nell'organizzazione (tra cui le autorizzazioni degli account utente, le identità dei carichi di lavoro e le loro potenziali vulnerabilità) è fondamentale, soprattutto mentre gli utenti malintenzionati crescono in termini di frequenza e creatività.

Il numero di attacchi alle password è aumentato a circa 921 attacchi ogni secondo nel 2022, un aumento del 74% dal 2021.⁸ Noi di Microsoft abbiamo anche rilevato che gli attori di minacce stanno trovando nuove soluzioni per eludere l'autenticazione a più fattori (MFA), usando tecniche come gli attacchi di phishing adversary-in-the-middle e l'uso improprio di token per ottenere l'accesso ai dati delle organizzazioni. I kit di phishing hanno reso il furto delle credenziali ancora più semplice per gli attori di minacce. La Digital Crimes Unit di Microsoft ha osservato un aumento nella sofisticazione dei kit di phishing nell'ultimo anno, insieme a barriere molto basse da superare, con un rivenditore che offre kit di phishing a soli 6 USD al giorno.⁹

La gestione della superficie di attacco delle identità è più che proteggere gli account utente: riguarda l'accesso al cloud e le identità dei carichi di lavoro. Le credenziali compromesse possono essere uno strumento efficace per gli attori di minacce per infliggere danni all'infrastruttura cloud di un'organizzazione.

Dato il gran numero di dispositivi nell'ambiente ibrido di oggi, la protezione degli endpoint è diventata più impegnativa. Quello che non è cambiato è che la protezione degli endpoint (soprattutto i dispositivi non gestiti) è fondamentale per una solida postura di sicurezza, dal momento che anche una sola compromissione può consentire agli attori di minacce di penetrare nell'organizzazione.

Man mano che le organizzazioni hanno adottato i criteri BYOD ("Bring Your Own Device"), i dispositivi non gestiti si sono moltiplicati. Di conseguenza, la superficie di attacco degli endpoint è ora più ampia e più esposta. In media, ci sono 3.500 dispositivi connessi in un'azienda che non sono protetti da un agente di rilevamento e reazione dagli endpoint.¹¹

I dispositivi non gestiti (che fanno parte del panorama dello "shadow IT") sono particolarmente attraenti per gli attori di minacce poiché i team della sicurezza non hanno la visibilità necessaria per proteggerli. Noi di Microsoft abbiamo scoperto che gli utenti hanno una probabilità del 71% di avere un dispositivo non gestito infettato da virus.¹² Essendo connessi alle reti aziendali, i dispositivi non gestiti presentano anche delle opportunità con cui gli utenti malintenzionati possono lanciare attacchi più ampi su server e altre infrastrutture.

Anche i server non gestiti sono potenziali vettori di attacchi agli endpoint. Nel 2021, Microsoft Security ha rilevato un attacco dove un attore di minacce ha sfruttato un server non aggiornato, ha esplorato le directory e ha scoperto una cartella di password che forniva un accesso alle credenziali dell'account.

Uno dei vettori di attacco degli endpoint più trascurati è l'IoT (Internet delle cose), che include miliardi di dispositivi, grandi e piccoli. La sicurezza per IoT copre dispositivi fisici che si connettono alla rete e scambiano dati con essa, come router, stampanti, fotocamere e altri dispositivi simili. Può includere anche dispositivi operativi e sensori (tecnologia operativa, o "OT"), come apparecchiature intelligenti sulle linee di produzione.

Man mano che il numero di dispositivi IoT aumenta, aumenta anche quello delle vulnerabilità. Entro il 2025, IDC prevede che saranno presenti 41 miliardi di dispositivi IoT all'interno degli ambienti consumer e aziendali.¹⁵ Dato che molte organizzazioni stanno rafforzando router e reti per rendere più difficili le violazioni degli attori di minacce, i dispositivi IoT stanno diventando un target più semplice e più attraente. Spesso abbiamo visto gli attori di minacce sfruttare le vulnerabilità per trasformare i dispositivi IoT in proxy, usando un dispositivo esposto come punto di appoggio nella rete. Una volta che un attore di minacce ha ottenuto l'accesso a un dispositivo IoT, può monitorare il traffico di rete per individuare altri asset non protetti, muoversi lateralmente per infiltrarsi in altre parti dell'infrastruttura target o fare una ricognizione per pianificare attacchi su vasta scala contro dispositivi e apparecchiature sensibili. In uno studio, il 35% dei professionisti della sicurezza ha detto che negli ultimi 2 anni un dispositivo IoT è stato usato per condurre un attacco più ampio contro la loro organizzazione.¹⁶

Purtroppo, l'IoT spesso è una scatola nera per le organizzazioni in termini di visibilità, e molte non dispongono delle misure di sicurezza per IoT appropriate. Il 60% dei professionisti della sicurezza ha detto che la sicurezza per IoT e OT è uno degli aspetti meno sicuri della loro infrastruttura IT e OT.¹⁷

Oggi, la superficie di attacco esterna di un'organizzazione si estende su più cloud, catene di approvvigionamento digitali complesse ed ecosistemi di terze parti massivi. Internet ora fa parte della rete e, nonostante la sua dimensione misteriosa, i team di sicurezza devono difendere la presenza dell'organizzazione su Internet allo stesso grado di qualsiasi cosa dietro i relativi firewall. Man mano che sempre più organizzazioni adottano i principi di Zero Trust, proteggere le superfici di attacco interne ed esterne è diventata una sfida su scala Internet.

La superficie di attacco globale cresce con Internet, e cresce ogni giorno di più. Noi di Microsoft abbiamo potuto constatare questo aumento in molti tipi di minacce, come gli attacchi di phishing. Nel 2021 la Digital Crimes Unit di Microsoft ha diretto la rimozione di oltre 96.000 URL di phishing unici e 7.700 kit di phishing, cosa che ha portato all'identificazione e alla chiusura di oltre 2.200 account di posta elettronica dannosi usati per raccogliere credenziali di clienti rubate.²⁴

La superficie di attacco esterna va ben oltre gli asset di un'organizzazione. Spesso include fornitori, partner, dispositivi personali dei dipendenti non gestiti connessi alle risorse o alle reti aziendali, e organizzazioni acquisite da poco. Di conseguenza, è fondamentale essere consapevoli delle connessioni esterne e dell'esposizione per ridurre le potenziali minacce. Un report del Ponemon Institute del 2020 ha rivelato che il 53% delle organizzazioni ha dovuto far fronte ad almeno una violazione dei dati dovuta a una terza parte negli ultimi 2 anni, la cui correzione ha richiesto una media di 7,5 milioni di dollari.²⁵

Man mano che l'infrastruttura dietro i cyberattacchi cresce, ottenere visibilità nell'infrastruttura delle minacce e fare un inventario delle risorse esposte a Internet è diventato più urgente che mai. Abbiamo scoperto che le organizzazioni spesso hanno difficoltà a comprendere l'ambito della loro esposizione esterna, cosa che implica notevoli punti ciechi. Questi punti ciechi possono avere conseguenze devastanti. Nel 2021, il 61% delle aziende ha subito un attacco ransomware che ha causato almeno un'interruzione parziale delle operazioni aziendali.²⁶

Noi di Microsoft spesso diciamo ai clienti di osservare la loro organizzazione dall'esterno quando valutano la postura di sicurezza. Oltre ai controlli VAPT (Vulnerability Assessment and Penetration Testing), è importante ottenere una visibilità approfondita sulla superficie di attacco esterna per poter identificare le vulnerabilità nell'intero ambiente e nell'ecosistema esteso. Se fossi un utente malintenzionato che sta tentando di penetrare nell'ambiente, cosa potresti sfruttare? Essere consapevoli dell'intera estensione della superficie di attacco esterna della propria organizzazione è essenziale per proteggerla.

In che modo Microsoft può aiutarti

Il panorama delle minacce di oggi è in costante evoluzione, e le organizzazioni hanno bisogno di una strategia di sicurezza che possa rimanere al passo. La maggiore esposizione e complessità aziendale, oltre a un elevato volume di minacce e basse barriere per entrare nell'economia del crimine informatico, è più urgente che mai proteggere ogni singolo punto all'interno di ogni superficie di attacco e tra di esse.

I team della sicurezza hanno bisogno di un'intelligence sulle minacce efficace per difendersi dalla miriade di minacce in evoluzione di oggi. La giusta intelligence sulle minacce correla i segnali di diversi luoghi, fornendo un contesto tempestivo e pertinente in merito al comportamento di attacco e alle tendenze attuali in modo che i team della sicurezza possano identificare correttamente le vulnerabilità, classificare in ordine di priorità gli avvisi e bloccare gli attacchi. E se si verifica una violazione, l'intelligence sulle minacce è fondamentale per prevenire ulteriori danni e migliorare le difese affinché un attacco simile non si ripeta in futuro. In breve, le organizzazioni che sfruttano più intelligence sulle minacce saranno più sicure ed efficaci.

Microsoft ha una visione senza precedenti del panorama delle minacce in continua evoluzione, con 65 trilioni di segnali analizzati ogni giorno. Correlando questi segnali in tempo reale nelle varie superfici di attacco, l'intelligence sulle minacce basata sulle soluzioni Microsoft Security fornisce dati analitici sul crescente ambiente di minacce e ransomware, per consentirti di rilevare e bloccare più attacchi. E con funzionalità di intelligenza artificiale avanzate, come Microsoft Copilot per la sicurezza, puoi anticipare le minacce in evoluzione e difendere l'organizzazione rapidamente, aiutando il team della sicurezza a semplificare le complessità, rilevare quello che altri non notano e proteggere tutto.