Guardiamo con orrore gli attacchi nella vita reale, dove le aziende cercano semplicemente di difendersi dagli attaccanti che invadono le loro reti in tempo reale, cercando di ridurre i danni e recuperare i backup nel tentativo di evitare i costi paralizzanti dei pagamenti del riscatto.
È una difesa simile all'investimento in buone attrezzature di demolizione nel caso in cui la tua casa prenda fuoco, in modo da poter rimuovere rapidamente i detriti e ricostruire. Tuttavia, come attesterebbe qualsiasi esperto di sicurezza antincendio, è molto meno costoso e dispendioso in termini di tempo prevenire gli incendi in primo luogo.
Allo stesso modo, nella cybersecurity, la prevenzione non è solo preferibile ma essenziale. Ecco alcune tattiche di attacco, basate sulle tendenze che osserviamo quotidianamente con i nostri clienti, e alcuni metodi preventivi che possono attenuare l'attacco prima che entri nella tua rete.
Difesa del Remote Desktop Protocol (RDP) Gli attacchi RDP, se riusciti, consentono agli attaccanti di ottenere privilegi di amministratore e disattivare le tue difese informatiche. È come dare a un attaccante una chiave maestra della tua casa, poi cercare di tenerlo lontano dai tuoi gioielli inestimabili. Le aziende di sicurezza vengono accusate di non rilevare tali attacchi difficili, ma è difficile superare l'equivalente digitale di lasciare la porta di casa aperta. Aggiungere livelli difensivi come l'autenticazione a più fattori (MFA) può aiutare a contrastare attacchi RDP come il brute force e gli exploit di codice remoto (RCE). Inoltre, Endpoint Detection and Response (EDR) e Managed Detection and Response (MDR) possono aiutare a fermare gli attaccanti se riescono a superare RDP, fermando i tentativi di movimento laterale e di crittografia per ransomware. Questo vale anche per i servizi di desktop remoto (RDS), dove gli attaccanti sfruttano capacità ben oltre ciò che RDS dovrebbe fare.
Visibilità aziendale Gli attaccanti devono avere successo solo una volta, mentre i difensori devono avere successo ogni singola volta. Gli attaccanti che ottengono la persistenza su un nodo di rete possono iniziare a mappare e pianificare gli attacchi. I tentativi di accesso alla rete visualizzati solo dal punto finale possono perdere il quadro generale di un attacco coordinato. I firewall di rete principali sono fondamentali qui, specialmente se dotati di IDS/IPS integrati, con la capacità di aggiungere regole YARA per difendersi dagli attacchi emergenti. Le aziende di sicurezza, tra cui ESET, spesso rilasciano regole YARA e vari strumenti gratuiti per aiutare a difendersi dagli attacchi basati sulla rete, sia che abbiano origine dall'interno o dall'esterno dell'organizzazione.
Autenticazione a più fattori (MFA) Poiché la maggior parte dei servizi si sposta verso il cloud, un singolo exploit contro un provider cloud può consentire agli attaccanti di causare danni a più obiettivi, inclusa la tua organizzazione. Le password degli utenti, una volta compromesse, vengono continuamente riversate in set di addestramento liberamente disponibili per tentativi automatizzati di brute force. MFA può fermare, o almeno attenuare, gli attacchi di brute force, in particolare il Business Email Compromise (BEC), che è una preoccupazione perpetua. Aggiungere MFA agli accessi degli utenti può limitare significativamente la tua esposizione.
Mentre gli attacchi a livello statale fanno notizia, sono gli attacchi più semplici a essere molto più probabili. Non iniziare cercando zero-day sofisticati utilizzati da team dedicati di avversari informatici che prendono di mira la tua organizzazione. Queste minacce sono generalmente meno acute, a meno che tu non stia proteggendo potenziali guadagni di miliardi di dollari dal furto di segreti aziendali o militari. Probabilmente non lo stai facendo.
Ma queste tattiche difensive funzionano, sono prontamente disponibili e pratiche da implementare, e sarà molto meno probabile che tu debba fare l'equivalente di sederti e guardare l'edificio bruciare mentre riprendi un ottimo video da condividere.