Il phishing è stato a lungo uno dei modi migliori per ottenere l'accesso a un'organizzazione bersaglio. Non era così. Agli albori della sicurezza informatica, l'exploit di codice remoto (RCE) era il metodo preferito per ottenere l'accesso, poiché non richiedeva alcuna interazione da parte dell'utente. Infatti, se qualcosa richiedeva l'interazione dell'utente, non era considerato una minaccia seria. Migliori pratiche di sicurezza hanno iniziato a prendere piede e il metodo di accesso RCE è diventato molto più impegnativo. E si è scoperto che far interagire gli utenti è stato più facile che mai.
Lo stesso ciclo ha iniziato a ripetersi con obiettivi locali. Le organizzazioni hanno iniziato a fare progressi nella protezione delle proprie reti interne contro l'uso di rilevamento e risposta degli endpoint (EDR) e altre tecnologie sono meglio attrezzate per rilevare malware e movimenti laterali. Sebbene gli attacchi stiano diventando più difficili, non è ancora una strategia inefficace per un attaccante. La distribuzione di ransomware e altre forme di malware è ancora un risultato comune.
Perché la tua infrastruttura cloud è un obiettivo principale per gli attacchi di phishing
Il cloud ha dato ai phisher una frontiera completamente nuova da attaccare e si scopre che può essere molto pericoloso. Gli ambienti SaaS sono bersagli maturi per gli attacchi di phishing e possono offrire all'attaccante molto di più dell'accesso ad alcune e-mail. Gli strumenti di sicurezza stanno ancora maturando in questo ambiente, che offre agli aggressori una finestra di opportunità in cui metodi come gli attacchi di phishing possono essere molto efficaci.
Attacchi di phishing mirati a sviluppatori e supply chain di software
Come abbiamo visto di recente, Dropbox ha avuto un incidente a causa di un attacco di phishing contro i suoi sviluppatori. Sono stati ingannati dando le loro credenziali Github a un utente malintenzionato tramite un'e-mail di phishing e un sito Web falso, nonostante autenticazione a più fattori (AMF). Ciò che lo rende spaventoso è che non si trattava solo di un utente casuale delle vendite o di un'altra funzione aziendale, ma di sviluppatori con accesso a molti dati di Dropbox. Per fortuna, la portata dell'incidente non sembra influenzare i dati più critici di Dropbox.
GitHub e altre piattaforme nello spazio di integrazione continua/distribuzione continua (CI/CD) sono i nuovi "gioielli della corona" per molte aziende. Con il giusto accesso, gli aggressori possono rubare proprietà intellettuale, far trapelare codice sorgente e altri dati o agire attacchi alla catena di approvvigionamento. Va anche oltre, poiché GitHub spesso si integra con altre piattaforme, su cui l'attaccante potrebbe essere in grado di ruotare. Tutto questo può avvenire senza mai toccare la rete on-premise della vittima o molti degli altri strumenti di sicurezza che le organizzazioni hanno acquisito, poiché è tutto software-as-a-service (SaaS)-to-SaaS.
La sicurezza in questo scenario può essere una sfida. Ogni provider SaaS lo fa in modo diverso. La visibilità di un cliente su ciò che accade in queste piattaforme è spesso limitata. GitHub, ad esempio, dà accesso solo alla sua API Audit Log con il suo piano Enterprise. Ottenere visibilità è solo il primo ostacolo da superare, il prossimo sarebbe quello di realizzare utili contenuti di rilevamento attorno ad esso. I provider SaaS possono essere molto diversi in ciò che fanno e nei dati che forniscono. Sarà necessaria una comprensione contestuale di come funzionano per effettuare e mantenere i rilevamenti. La tua organizzazione potrebbe avere molte di queste piattaforme SaaS in uso.
Come attenuare i rischi associati al phishing nel cloud?
Le piattaforme di identità, come Okta, possono aiutare a mitigare il rischio, ma non completamente. Identificare gli accessi non autorizzati è sicuramente uno dei modi migliori per scoprire gli attacchi di phishing e rispondere ad essi. Questo è più facile a dirsi che a farsi, poiché gli aggressori hanno capito i modi comuni per rilevare la loro presenza. I server proxy o le VPN sono facilmente utilizzati per sembrare almeno provenire dalla stessa area generale dell'utente al fine di sconfiggere il rilevamento del paese o dei viaggi impossibili. È possibile applicare modelli di apprendimento automatico più avanzati, ma questi non sono ancora ampiamente adottati o collaudati.
Anche il tradizionale rilevamento delle minacce sta iniziando ad adattarsi al mondo SaaS. Falco, un popolare strumento di rilevamento delle minacce per container e cloud, dispone di un sistema plug-in in grado di supportare quasi tutte le piattaforme. Il team Falco ha già rilasciato plug-in e regole per Okta e GitHub, tra gli altri. Per esempio, il plug-in di GitHub ha una regola che si attiva se qualche commit mostra segni di un minatore di criptovalute. Sfruttare questi rilevamenti appositamente creati è un buon modo per iniziare a portare queste piattaforme nel tuo programma generale di rilevamento delle minacce.
Il phishing è qui per restare
Il phishing e l'ingegneria sociale in generale non saranno mai abbandonati. È stato un metodo di attacco efficace per anni e lo sarà finché le persone comunicheranno. È fondamentale comprendere che questi attacchi non sono limitati all'infrastruttura che possiedi o gestisci direttamente. SaaS è particolarmente a rischio a causa della mancanza di visibilità che la maggior parte delle organizzazioni ha su ciò che accade effettivamente su tali piattaforme. La loro sicurezza non può essere liquidata come un problema di qualcun altro, poiché una semplice e-mail e un sito Web falso sono tutto ciò che serve per accedere a tali risorse.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
