Sapevi che tra il 2019 e l’inizio del 2021 la quantità di mail scambiate è passata da 281 miliardi circa a quasi un triliardo? Negli ultimi mesi le nostre abitudini lavorative sono mutate e così come la comunicazione scritta ha visto crescere notevolmente il proprio volume, anche le riunioni in presenza e i meeting sono stati sostituiti da video call e incontri da remoto.
In conseguenza del fatto che le persone lavorino con strumenti propri e che si viaggi all’insegna del ‘bring your own device’, le reti aziendali sono più aperte per far collegare i propri dipendenti da remoto, e se il modern workplace ci permette di avere una maggiore flessibilità e ci consente di poter comunque lavorare in un periodo critico e particolare come questo, dall’altra porta con sé attenzioni a cui forse prima non facevamo troppo caso, o che spesso non ci riguardavano così da vicino. I rischi di attacchi a livello digitale infatti interessano sempre più non solo i dati ma anche le nostre identità. La sola Lombardia, ad esempio, è la seconda regione più colpita in Italia dall’ascesa della cybercriminalità: 1.345 reati nel primo semestre del 2020, con una media di oltre 7 al giorno. Si calcola che ad oggi i danni da cyber attacchi possano arrivare, a livello globale, a costare fino a sei trilioni di dollari, a fronte di una spesa, da parte degli attaccanti, di soli pochi dollari e che ad oggi, quindi, siano a rischio non solo le grandi aziende ma anche le piccole e medie imprese, così come i singoli cittadini.
HUDI ti garantisce, con una conoscenza completa ed ampio raggio sia delle tecnologie che dei rischi che sono in gioco, la massima sicurezza, proteggendo il tuo sistema aziendale, i tuoi touch point e devices con la tecnologia Microsoft, come, ad esempio, Microsoft Defender for endpoint e Microsoft Defender for Identity. Attraverso l’utilizzo, da parte dell’utente, dell’ambiente Microsoft, è possibile per noi di HUDI difenderti in maniera verticale da potenziali attacchi con le soluzioni messe a disposizione. Tutto ciò senza mai perdere di vista anche la parte human, proprio in virtù del fatto che uno dei canali usati dagli hacker trova spazio nel comportamento delle persone: dal non verificare i link a cui si sta accedendo, all’aprire mail con contenuti non verificati e potenzialmente pericolosi.
A proposito di attacchi, l’ultimo, di portata mondiale, è stato perpetrato da parte di alcuni gruppi di attivisti hacker legati ad Hafnium (Cina), con il fine di ottenere informazioni da centinaia di organizzazioni e di sottrarre ad esse dati sensibili quali mail, account con poteri amministrativi e altro ancora. Per questa offensiva i cyber criminali hanno utilizzato un tipo di strategia chiamata “zero days” che ha sfruttato una vulnerabilità intrinseca del sistema di posta on-premise.
Ma che cos’è un attacco zero days?
Un attacco zero days è una strategia che prende di mira le fragilità in sistemi e/o applicazioni prima che possano essere trovate delle soluzioni ad esse. Pertanto, è possibile che anche prodotti avanzati abbiano vulnerabilità nascoste e latenti da diverso tempo, che ad un tratto vengono identificate a seguito di una compromissione da parte di soggetti con intenzioni malevole. Questo è stato il caso di Hafnium che ha portato a dover fornire delle correzioni anche per prodotti ormai considerati piuttosto vecchi.
Nello specifico, Hafnium ha sfruttato una debolezza dei servizi web per effettuare delle autenticazioni sul server mirate a prenderne il controllo. Una volta compromesso il server, l’attaccante ha potuto lanciare ulteriori incursioni volte, in questo caso, ad ottenere informazioni, scaricarle in formati zip o simili, lasciare backdoors per rimanere in ascolto e, nei casi più gravi, estrarre il contenuto delle cassette di posta. Una delle maggiori preoccupazioni è la cosiddetta strategia di “lateral movement” che è mirata ad ottenere credenziali di account con privilegi particolari da usare poi per compromettere altri servizi nell’organizzazione, fino ad arrivare ai domain controller. HUDI, chiamata ad intervenire su questa problematica in aiuto di un proprio cliente, è riuscita a programmare un intervento di riparazione, prima che la vulnerabilità del sistema colpito fosse resa pubblica. Una volta finito il ripristino e applicate tutte la patch di sicurezza richieste, il team di HUDI ha iniziato un’attività di analisi (analisi forense) che viene effettuata utilizzando una serie di script forniti da Microsoft, e grazie alla quale viene individuata una compromissione su un eventuale server. In un secondo momento, oltre agli script e agli indicatori forniti da Microsoft, sono stati aggiunti due strumenti per l’analisi comportamentale, che hanno permesso, grazie ad un agente sui server, di registrare tutta una serie di segnali e di analizzarli con efficacia sfruttando tutta la parte di machine learning e intelligenza artificiale del cloud Microsoft. Queste soluzioni sono state pertanto di grande aiuto per capire se le minacce fossero state eliminate e se fossero stati compromessi account sensibili che hanno assegnati privilegi amministrativi importanti.
Commenti recenti