Back to Blog

Una sfida alla sicurezza informatica:
individuare i movimenti laterali degli aggressori 

By
Massimiliano Galvagna
|
April 6, 2022

I dati del 2021 parlano da soli. Lo scorso anno, gli attacchi informatici sono aumentati del 250% o del 400% dall'inizio della crisi pandemica. Hanno interessato due organizzazioni su tre (quasi 7 su 10), hanno riguardato strutture pubbliche (ospedali, municipi) ed enti privati (43% delle PMI) e hanno generato circa 6.000 miliardi di dollari di costi. 

 

Una strategia di difesa informatica ormai datata  

Ci sono molte ragioni per questi aumenti. Tra questi, l'importanza dell’errore umano - in 9 casi su 10 le violazioni della sicurezza informatica sono generate dall’uomo - e il ruolo del phishing (nel 94% dei casi). Questi elementi sono accentuati dalla massiccia migrazione delle organizzazioni verso il cloud, in un contesto pandemico che si è strutturalmente tradotto in un grande aumento del lavoro da remoto. Lo sviluppo del cloud e del lavoro a distanza hanno avuto conseguenze importanti sulle strategie di difesa. All’improvviso, la “fortezza” che era il sistema informativo è stata ampiamente ristrutturata e i centri nervosi si sono moltiplicati. Ci si è trasferiti dalla sede centrale alla rete di casa e l'ecosistema informativo è stato ampliato. Tuttavia, le strategie di difesa informatica messe in atto dalle aziende sono spesso rimaste basate sul vecchio modello, incentrato sulla protezione dei punti di ingresso rappresentati dalle postazioni informatiche. Quanto è rilevante difendere la porta d'ingresso di una fortezza quando è ormai collegata a una moltitudine di altre entità?  

 

Prendere possesso del sistema informativo con un movimento laterale   

Cerchiamo di essere pragmatici: non siamo più in grado di difendere passo dopo passo tutte le porte dei nostri sistemi di informazione, con un tasso di successo pari al 100 per cento. I cyber-attaccanti al momento stanno sfruttando nuove lacune, mettendo in atto strategie che per lo più si basano su movimenti laterali operati all’interno delle nostre imprese. 

Ma che cos'è un movimento laterale? È una tattica utilizzata dagli attaccanti che consiste nel muoversi all'interno della rete, con l'obiettivo di prenderne il controllo. Il criminale informatico ha una destinazione: vuole accedere al cuore del sistema informativo per diventarne l'amministratore. Una volta che avrà ottenuto l’accesso alla cassaforte, estrarrà i dati dell’azienda, li cancellerà dai server e chiederà un riscatto parametrato alle dimensioni dell’azienda. PMI, grandi gruppi e anche organizzazioni pubbliche come gli ospedali: tutti sono potenzialmente esposti alla minaccia. 

La tattica è sempre la stessa: i cyber criminali si affidano al social engineering come primo passo. Una volta condotta l'operazione di phishing, entrano nel sistema e iniziano a misurarlo. In questo modo, per giorni o settimane, lavorano sull'account che hanno hackerato, usandone i privilegi per ottenerne altri. Nuove credenziali, autorizzazioni aggiuntive: l'aggressore è nella fase della raccolta. Aumenta progressivamente il suo livello di autorizzazioni e, poco a poco, guadagna terreno, acquisendo diritti sempre più importanti. Per usare una metafora marittima, si comporta come un marinaio al timone della sua barca: una virata a sinistra, sotto vento, un’altra a destra. I movimenti laterali si susseguono così in direzione della terra promessa, ovvero l'amministrazione del sistema informativo.  

 

Soluzioni per contrastare questi nuovi tipi di attacchi  

Di fronte a queste nuove tattiche, le organizzazioni sono tutt'altro che impotenti. Esistono soluzioni per identificare i movimenti laterali all'interno degli ecosistemi IT. Basate sull'intelligenza artificiale e sul Machine learning, queste soluzioni mirano a rilevare gli account che effettuano movimenti laterali considerati sospetti. Un tirocinante delle risorse umane ha il diritto di accedere ai dati sensibili alle tre del mattino? Un ingegnere di prodotto è autorizzato ad acquisire diritti di un gruppo di lavoro in cui non è inserito? Tali movimenti possono essere segnalati e qualificati come sospetti. Le soluzioni ora disponibili per le aziende permettono di identificare automaticamente ogni segnale debole. Questi segnali consentono alle aziende di intervenire contro i criminali informatici appena in tempo, prima che assumano la gestione del sistema informativo, e permettono quindi di preservare la sicurezza delle loro strutture.  

Più che la porta d'ingresso, è questa la cassaforte che tutti devono proteggere.