Gli attori delle minacce hanno bisogno di sempre meno tempo per le acquisizioni di rete
La società di sicurezza CrowdStrike ha recentemente pubblicato un nuovo interessante rapporto sulla "caccia alle minacce" che fa luce su una tendenza preoccupante tra gli attori delle minacce. Il rapporto mostra che gli hacker hanno bisogno di sempre meno tempo per passare dalla violazione iniziale e craccare un sistema su una rete aperta per ottenere l'accesso completo e spostarsi lateralmente sull'intera rete.
CrowdStrike ha utilizzato i dati raccolti da quasi 250 mila endpoint utilizzati dai clienti dell'azienda e li ha utilizzati nel suo report. I dati mostrano che in media gli attori delle minacce hanno impiegato circa un'ora e mezza per passare dall'infiltrazione iniziale allo spostamento laterale sulla rete della vittima.
Il movimento laterale, per definizione, è il punto in cui l'attore della minaccia è riuscito a implementare contromisure per bloccare il rilevamento ed è in grado di spostarsi tra diverse macchine host su una rete, avendo accesso ai propri file system ed essendo in grado di distribuire malware aggiuntivo su di esse , oltre a estrarre i dati da essi.
Proprio questa definizione semplificata rende chiaramente evidente che il team di sicurezza IT di una vittima avrà molti più problemi a gestire un attore di minacce che è riuscito a proteggere il movimento laterale attraverso la rete.
Gli hacker che sono passati dalla violazione iniziale al movimento laterale sono in grado di distribuire ransomware sulla rete della vittima, oltre a utilizzare strumenti dannosi aggiuntivi per ostacolare il rilevamento. Tutto ciò dimostra quanto sia fondamentale essere in grado di contenere la violazione iniziale e agire il più rapidamente possibile per impedire agli hacker di impossessarsi di una porzione più ampia della rete.
Il rapporto di CrowdStrike mostra anche che più di un terzo degli attacchi monitorati ha visto gli hacker passare dalla violazione iniziale al movimento laterale in meno di mezz'ora. Ciò significa un'enorme pressione sui team di sicurezza per contenere le violazioni e impedire agli aggressori di ottenere ulteriori accessi.
Sebbene sia vero che gli attori delle minacce di solito devono eseguire alcune ricognizioni anticipate su una rete e annusare altri punti deboli, il semplice fatto che un gruppo di hacker può passare dall'accesso iniziale alla rete all'accesso completo e distribuire virtualmente qualsiasi malware aggiuntivo che il desiderio è più che un po' preoccupante.
