Gli Incident Engineer di Blumira hanno scoperto che il tempo impiegato dalle organizzazioni per rilevare e rispondere alle minacce influisce direttamente sui loro profitti: più tempo impiegano per rilevare e contenere una violazione, maggiore è il costo complessivo.
Secondo un nuovo report di Blumira e IBM , il ciclo di vita medio di una violazione dura 287 giorni, con le organizzazioni che impiegano 212 giorni per rilevare inizialmente una violazione e 75 giorni per contenerla. Gli utenti di Blumira hanno ridotto il tempo di rilevamento a 32 minuti, il 99,4% in meno rispetto alla media di 212 giorni (5.088 ore) segnalata da IBM. Gli utenti hanno anche ridotto il tempo medio di risposta a 6 ore, il 99,7% in meno rispetto alla media complessiva di 75 giorni (1.800 ore) segnalata da IBM.Il rapporto ha rilevato che i tentativi di accesso erano un tema comune, poiché la pandemia ha costretto molte organizzazioni a passare ai servizi cloud per supportare i propri dipendenti da remoto . Per le organizzazioni senza una solida conoscenza della loro superficie di attacco esposta, il passaggio a un ambiente cloud ha solo evidenziato tale lacuna di conoscenza.
Gli autori delle minacce sfruttano queste lacune di conoscenza sfruttando, abusando o rubando le identità degli utenti . I tentativi di autenticazione in un honeypot (una pagina di accesso falsa progettata appositamente per attirare gli aggressori) sono stati la principale scoperta di Blumira del 2021.
Le tecniche basate sull’identità hanno rappresentato tre delle cinque principali scoperte di Blumira, con il 60%. Gli ambienti cloud sono particolarmente vulnerabili agli attacchi basati sull’identità, come credential stuffing, phishing, password spraying e altri. Il rilevamento rapido di questi attacchi può consentire alle organizzazioni di rispondere e contenere più rapidamente un attacco basato sull’identità, contribuendo a impedirne l’ulteriore progressione.
La ricerca ha anche osservato l’utilizzo di tecniche LotL, che gli autori delle minacce utilizzano per passare inosservati in un ambiente. Lo fanno sfruttando strumenti Microsoft integrati che li fanno apparire come utenti legittimi all’interno dell’ambiente di un’organizzazione. Le tecniche LotL prevedono l’utilizzo di strumenti già presenti in un sistema per condurre attacchi.
Molti di questi strumenti vengono utilizzati dagli amministratori di sistema per attività legittime, rendendo difficile per i responsabili della sicurezza distinguere tra un comportamento dannoso e un amministratore che sta semplicemente svolgendo il proprio lavoro.Tra le principali scoperte di Blumira figurano vari esempi di tecniche LotL, tra cui: esecuzione di servizi con strumenti di movimento laterale (n. 4), utilizzo di PsExec (n. 16) e comando PowerShell potenzialmente dannoso (n. 18).
Questi tipi di attacchi, che si verificano nell’arco di giorni o settimane, possono passare inosservati alle soluzioni di rilevamento e risposta agli endpoint (EDR) che si basano sul rilevamento di strumenti dannosi noti. A quel punto, potrebbe essere troppo tardi, ad esempio quando un aggressore introduce malware nell’ambiente.
La piattaforma di Blumira integra centinaia di risultati diversi che rilevano comportamenti sospetti che potrebbero indicare un attacco in corso. Questo rapporto si basa su una ricerca condotta nel corso del 2021, basata su 33.911 risultati chiave provenienti da un campione di 230 organizzazioni.