Furto di credenziali aziendali: come proteggersi da strategie di attacco in evoluzione

Cesare Di Lucchio, SOC Manager, Axitea

Quando parliamo di cybersecurity, non c’è evoluzione tecnologica che tenga: il primo e più importante veicolo di infezione rimane sempre il fattore umano. A ragione, l’ultimo rapporto pubblicato da IBM X-FORCE ha identificato un significativo aumento nell’incidenza di malware info-stealer nel contesto degli attacchi rivolti alle aziende, ossia di malware che mirano a estrapolare dati personali degli utenti, come credenziali di accesso, per entrare più facilmente nei sistemi aziendali e colpirli. Questo fenomeno rappresenta un’opportunità per riflettere su come proteggere in modo più efficace il vettore di accesso iniziale.

I malware info-stealer vengono diffusi attraverso una varietà di canali di comunicazione, quali YouTube, Telegram o Discord. La modalità di distribuzione consente di instaurare fiducia con l’interlocutore al fine di veicolare il malware tramite software legittimi, link da aprire o chat. Questi malware vengono distribuiti come servizio per sottrarre credenziali presenti nei browser, nei file di testo o nei PDF sui computer, al fine di estrarre chiavi di autenticazione per utilizzi successivi.

Di conseguenza, diventa sempre più cruciale proteggere le attività svolte tramite browser, focalizzandosi sulla prevenzione. A tale scopo, sono necessari strumenti di protezione che possano difendere la sessione dall’accesso a siti di phishing, dall’inserimento di credenziali aziendali in moduli non ufficiali e dall’utilizzo di estensioni del browser potenzialmente dannose. Ma rimane fondamentale anche la formazione del personale, con l’obiettivo di una maggiore consapevolezza nell’utilizzo delle tecnologie digitali e una più rapida identificazione delle situazioni di rischio.

Naturalmente non possiamo basarci solo sulla prevenzione: la velocità di evoluzione delle strategie di attacco e l’aumento degli attacchi stessi ci impongono di mettere in conto che alcuni di essi andranno a segno. Di conseguenza, un altro sforzo importante va fatto nella direzione del contenimento.

Presumiamo che un’impresa abbia attivati criteri di logging e protezione degli accessi per individuare accessi provenienti da paesi insoliti per l’utente, impossible traveler o accessi in orari inusuali, tramite un sistema SIEM o una piattaforma XDR con regole di monitoraggio delle identità.

Anche con questo livello di protezione, in termini di rilevamento si riscontra un tempo maggiore nell’identificazione di incidenti dovuti alla sottrazione di credenziali, come indicato nel rapporto di IBM X-FORCE, proprio per la vastità della superficie attaccabile e per la difficoltà di distinguere i comportamenti legittimi da quelli insoliti. È importante notare che una credenziale rubata da un account Office 365 viene utilizzata in media per accedere ai sistemi entro 72 ore, un intervallo di tempo molto breve soprattutto per le realtà che non dispongono di una struttura dedicata alla gestione degli eventi di sicurezza.

In questo contesto, l’automazione dei processi di risposta, e prima ancora la definizione precisa di tali processi, diventano essenziali. Intelligenza artificiale e machine learning possono essere dei validi alleati per gestire questi fenomeni, ad esempio per la capacità del ML di rilevare anomalie rispetto al comportamento “caratteristico” di ciascun utente o del traffico di rete, facendosi carico dell’onere di capire cosa è caratteristico utente per utente.

Quando si parla di cybersecurity, adottare un approccio olistico che prevede una formazione continua per i dipendenti e l’integrazione di soluzioni mirate, è senza dubbio il modo più efficace per le imprese per poter affrontare le minacce informatiche e contenere i danni ai propri sistemi e alla propria reputazione.

Contenuti correlati

• 
  Intelligenza artificiale e videosorveglianza, un’accoppiata vincente

  Di Nico Paciello, Marketing & Communication Manager, Axitea L’utilizzo dell’intelligenza artificiale (AI) per la videosorveglianza sta diventando un trend dominante e trasformativo, con un impatto significativo su sicurezza, efficienza operativa e business intelligence. Si tratta di un...
• 
  L’anello mancante nella difesa industriale: il ruolo fondamentale della sicurezza OT e per il settore manifatturiero

  Di Giorgio Triolo, Chief Technology Officer di Axitea Da sempre, il settore manifatturiero italiano è un solido pilastro dell’economia nazionale. Anche per questo, è sempre più spesso nel mirino dei cybercriminali. La gravità della situazione è inequivocabile:...
• 
  Cerchi concentrici e intelligenza artificiale: il muro invisibile che protegge persone e aziende

  Di Nico Paciello, Marketing & Communication Manager, Axitea Viviamo in un mondo ormai fortemente interconnesso, dove le minacce alla sicurezza assumono forme sempre più ibride e pervasive. Non basta proteggere solo il perimetro fisico o l’infrastruttura digitale:...
• 
  Siamo sempre più dipendenti dal digitale e questo intensificherà le minacce informatiche

  Andrea Lambiase, Head of Management Consulting e Data Protection Officer di Axitea, spiega perché la crescente digitalizzazione delle imprese porta con sé un incremento dei livelli di rischio cyber. Il Global Risks Report 2022 recentemente rilasciato dal...
• 
  Secondo Axitea proteggere la supply chain diventa fondamentale in un mondo sempre più connesso

  Andrea Lambiase, Head of Management Consulting di Axitea, riflette sulla criticità della catena di approvvigionamento quale crescente vettore d’attacco e sull’importanza di un approccio circolare alla sicurezza. Partner e fornitori tendono ad essere l’anello più debole della...
• 
  Ransomware: il settore manifatturiero in prima fila

  Maurizio Tondi, Director Security Strategy di Axitea, ha analizzato il crescente fenomeno del ransomware e i comportamenti da tenere quando si viene attaccati. Device bloccati e dati inaccessibili o sottratti; ricatti dietro cui si cela la minaccia...