Gli aggressori sponsorizzati dallo stato dietro una violazione che News Corp ha rivelato lo scorso anno erano in realtà già sulla sua rete da quasi due anni a quel punto, ha rivelato il colosso dell'editoria.
In una lettera ai dipendenti la scorsa settimana, News Corp ha affermato che un'indagine sull'incidente ha mostrato che l'intruso è entrato per la prima volta nella sua rete nel febbraio 2020 e vi è rimasto fino a quando non è stato scoperto il 20 gennaio 2022. Durante quel periodo, l'avversario ha avuto accesso a ciò che News Corp ha descritto come documenti aziendali ed e-mail relativi a un "numero limitato di dipendenti". I dati a cui l'aggressore aveva accesso in quel momento includevano nomi, date di nascita, numeri di previdenza sociale, numeri di patente di guida e numeri di assicurazione sanitaria, ha affermato News Corp.
Una missione di raccolta di informazioni
"La nostra indagine indica che questa attività non sembra essere focalizzata sullo sfruttamento delle informazioni personali", ha osservato la lettera, secondo i rapporti. "Non siamo a conoscenza di segnalazioni di furto di identità o frode in relazione a questo problema."
Quando News Corp - l'editore del Wall Street Journal, del New York Post e di molte altre pubblicazioni - ha rivelato per la prima volta la violazione lo scorso gennaio, la società l'ha descritta come uno sforzo di raccolta di informazioni che coinvolge una minaccia avanzata persistente sponsorizzata dallo stato (APT). In un rapporto del 4 febbraio 2022, il Wall Street Journal ha identificato l'attore come probabile lavorando per conto del governo cinese e si è concentrato sulla raccolta delle e-mail di giornalisti presi di mira e altri.
Non è chiaro il motivo per cui News Corp ha impiegato più di un anno dalla scoperta della violazione iniziale per rivelare la portata dell'intrusione e il fatto che gli aggressori erano sulla sua rete da quasi 24 mesi. Un portavoce di News Corp non ha affrontato direttamente questo punto in risposta a una richiesta di commento di Dark Reading. Tuttavia, ha ribadito la precedente divulgazione dell'azienda sull'attacco come parte di uno sforzo di raccolta di informazioni: "Inoltre, come è stato detto allora, ed è stato riportato, l'attività è stata contenuta e ha preso di mira un numero limitato di dipendenti".
Un tempo di permanenza insolitamente lungo
Il periodo di tempo in cui la violazione di News Corp è rimasta inosservata è elevato anche per gli standard attuali. L'edizione 2022 di IBM e il rapporto sui costi annuali di una violazione dei dati del Ponemon Institute hanno mostrato che le organizzazioni su in media sono stati necessari 207 giorni per rilevare una violazionee altri 70 giorni per contenerlo. È stato leggermente inferiore alla media di 212 giorni necessari a un'organizzazione nel 2021 rilevare una violazione e i 75 giorni che ci sono voluti per affrontarlo.
"Due anni per rilevare una violazione sono molto al di sopra della media", afferma Julia O'Toole, CEO di MyCena Security Solutions. Dato che gli aggressori hanno avuto accesso alla rete per così tanto tempo, molto probabilmente sono riusciti a farla franca con molte più informazioni di quanto inizialmente percepito, afferma O'Toole.
Anche se questo è già abbastanza grave, quel che è peggio è che meno di un terzo delle violazioni che si verificano viene effettivamente rilevato. "Ciò significa che molte più aziende potrebbero trovarsi nella stessa situazione e semplicemente non saperlo", osserva O'Toole.
Un problema è che gli strumenti di rilevamento delle minacce e gli analisti della sicurezza che monitorano tali strumenti non sono in grado di rilevare gli attori delle minacce sulla rete se gli avversari utilizzano credenziali di accesso compromesse, spiega O'Toole: "Nonostante tutti gli investimenti negli strumenti [di rilevamento delle minacce], oltre 82 % delle violazioni riguarda ancora le credenziali di accesso dei dipendenti compromesse."
Una mancanza di visibilità
Erfan Shadabi, esperto di sicurezza informatica presso Comforte AG, afferma che le organizzazioni spesso perdono le intrusioni informatiche a causa della mancanza di visibilità sulle proprie risorse e della scarsa igiene della sicurezza. Le tattiche sempre più avanzate che i sofisticati attori delle minacce utilizzano per eludere il rilevamento, come nascondere la loro attività nel traffico legittimo, possono rendere anche il rilevamento una sfida enorme, afferma.
Una misura che le organizzazioni possono adottare per rafforzare le proprie capacità di rilevamento e risposta è implementare un modello di sicurezza zero-trust. "Richiede la verifica continua dell'identità e dell'autorizzazione dell'utente, nonché il monitoraggio continuo dell'attività dell'utente per garantire la sicurezza", dice Shadabi a Dark Reading.
Le organizzazioni dovrebbero inoltre utilizzare strumenti come i sistemi di rilevamento delle intrusioni (IDS) e i sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM) per monitorare le loro reti e i loro sistemi per attività insolite. Forti misure di controllo degli accessi, tra cui l'autenticazione a più fattori (MFA), la gestione e il controllo delle vulnerabilità, la pianificazione della risposta agli incidenti, la gestione dei rischi di terze parti e la formazione sulla consapevolezza della sicurezza sono tutte altre passaggi cruciali che le organizzazioni possono intraprendere per ridurre i tempi di permanenza degli attaccanti, dice.
"In generale, le organizzazioni, in particolare quelle di grandi dimensioni, hanno difficoltà a rilevare gli attacchi a causa del loro vasto patrimonio tecnologico", afferma Javvad Malik, principale sostenitore della consapevolezza presso KnowBe4. "Molte organizzazioni non dispongono nemmeno di un inventario aggiornato delle risorse hardware e software, pertanto è estremamente difficile monitorarle tutte alla ricerca di violazioni e attacchi", afferma. "In molti casi, si riduce alla complessità degli ambienti."
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.darkreading.com/analytics/attackers-were-on-network-2-years-news-corp
- 2020
- 2021
- 2022
- 7
- 70
- a
- WRI
- sopra
- accesso
- attività
- attori
- effettivamente
- indirizzo
- Avanzate
- avvocato
- Dopo shavasana, sedersi in silenzio; saluti;
- AG
- Tutti
- già
- Gli analisti
- ed
- annuale
- Un altro
- apparire
- APT
- attività
- Attività
- attacco
- attacchi
- revisione
- Autenticazione
- autorizzazione
- media
- consapevolezza
- Vasca
- perché
- dietro
- essendo
- BleepingComputer
- sostenere
- violazione
- violazioni
- Rotto
- affari
- non può
- funzionalità
- casi
- ceo
- Challenge
- Cinese
- commento
- Aziende
- azienda
- complessità
- Compromissione
- veloce
- contenere
- continuo
- di controllo
- Corp
- Costo
- potuto
- Credenziali
- Corrente
- Cyber
- Cybersecurity
- Scuro
- Lettura oscura
- dati
- violazione di dati
- Date
- Giorni
- descritta
- Nonostante
- rilevato
- rivelazione
- DID
- difficile
- direttamente
- Rilevare
- Rivelazione
- scoperto
- scoperta
- documenti
- giù
- autista
- edizione
- sforzo
- Dipendente
- dipendenti
- abbastanza
- garantire
- ambienti
- Anche
- Evento
- esperto
- Spiega
- estremamente
- Febbraio
- Febbraio 2020
- Nome
- concentrato
- frode
- raccolta
- generalmente
- gigante
- dato
- accadere
- Hardware
- Salute e benessere
- assicurazione sanitaria
- Alta
- Tuttavia
- HTTPS
- Enorme
- IBM
- identificato
- Identità
- realizzare
- in
- incidente
- risposta agli incidenti
- incluso
- Compreso
- sempre più
- indica
- informazioni
- inizialmente
- Istituto
- assicurazione
- inventario
- indagine
- investimento
- coinvolgere
- problema
- IT
- Gen
- Gennaio
- rivista
- Giornalisti
- Sapere
- Dipingere
- grandi
- Cognome
- L'anno scorso
- portare
- Lunghezza
- lettera
- Licenza
- probabile
- Limitato
- Lunghi
- a lungo
- lotto
- make
- gestione
- molti
- si intende
- misurare
- analisi
- AMF
- modello
- Monitorare
- monitoraggio
- mese
- Scopri di più
- maggior parte
- autenticazione a più fattori
- nomi
- quasi
- Rete
- reti
- New
- New York
- notizie
- noto
- Note
- numero
- numeri
- in corso
- organizzazione
- organizzazioni
- Altro
- Altri
- parte
- particolarmente
- percepito
- periodo
- cronologia
- pianificazione
- Platone
- Platone Data Intelligence
- PlatoneDati
- punto
- povero
- Post
- precedente
- pubblicazioni
- editore
- editoriale
- Lettura
- ridurre
- è rimasta
- rapporto
- Segnalati
- Report
- richiesta
- richiede
- risposta
- Rischio
- gestione del rischio
- Suddetto
- stesso
- dice
- portata
- problemi di
- Consapevolezza della sicurezza
- alcuni
- dovrebbero
- situazione
- So
- Social
- Software
- Soluzioni
- sofisticato
- parlando
- portavoce
- standard
- Passi
- Ancora
- strada
- forte
- tale
- SISTEMI DI TRATTAMENTO
- tattica
- Fai
- mirata
- Tecnologia
- dice
- Il
- furto
- loro
- Terza
- di parti terze standard
- minaccia
- attori della minaccia
- tempo
- volte
- a
- strumenti
- traffico
- Training
- up-to-date
- uso
- Utente
- Fisso
- Convalida
- visibilità
- vulnerabilità
- Wall Street
- Wall Street Journal
- settimana
- Che
- WSJ
- anno
- anni
- zefiro
