[ad_1]

Linea di fondo: Frantumando il falso senso di sicurezza nella tecnologia, il recente hack di Twitter ha mescolato altruismo, fama, avidità, ingegneria sociale tramite scambio di SIM e minacce interne per rubare $ 120.000 alle vittime quando il danno economico e politico avrebbe potuto essere molto peggio.

Mirando alle celebrità più influenti su Twitter, gli hacker hanno organizzato un attacco basato sul social engineering mercoledì promuovendo una truffa di criptovaluta. Dirigenti aziendali, celebrità, politici e account di miliardari sono stati violati utilizzando gli strumenti amministrativi di Twitter. Gli account Twitter personali hackerati includono quelli del CEO di Amazon Jeff Bezos, di Joe Biden, del CEO di Tesla Elon Musk, del presidente Barack Obama, di Bill Gates, di Warren Buffet e di altri. Anche gli account Twitter di Apple e Uber sono stati violati.

Utilizzando lo scambio di SIM, in cui gli attori delle minacce ingannano, costringono o corrompono i dipendenti delle loro vittime per ottenere l’accesso a credenziali dell’account privilegiate e strumenti amministrativi, gli hacker sono stati in primo luogo in grado di modificare l’indirizzo e-mail di ciascun account di destinazione. Successivamente, l’autenticazione a due fattori è stata disattivata, quindi quando è stato inviato un avviso di modifica dell’account è andato all’indirizzo e-mail dell’hacker. Con gli account mirati sotto il loro controllo, gli hacker hanno iniziato a promuovere la loro truffa di criptovaluta. Sebbene non siano emersi tutti i dettagli dell’attacco La storia della scheda madre su come gli hacker hanno convinto un dipendente di Twitter ad aiutarli negli account di dirottamento rende la lettura affascinante.

Dissezione dell’hack

Interessato a dissezionare l’hacker dal punto di vista della sicurezza informatica, ho contattato Dr. Torsten George, Evangelista della sicurezza informatica ed esperto del settore di Centrify. Torsten è anche un’autorità leader nella gestione degli accessi privilegiati e come contrastare le violazioni che coinvolgono le credenziali di accesso privilegiate.

Louis: Qual è stata la tua impressione iniziale sulle ultime notizie dell’hacking e cosa credevi avrebbe causato un così massiccio hack di celebrità e importanti resoconti di personalità politiche la scorsa settimana?

Torsten: Quando è arrivata la notizia, i media hanno probabilmente interrogato altri esperti di sicurezza e la prima reazione iniziale è stata: “Oh, è un attacco massiccio, molto probabilmente un attacco basato sulle credenziali”, perché l’80% delle violazioni dei dati di oggi torna a privilegiare l’abuso dell’accesso. In genere sono innescati da attacchi di phishing, il precursore di molti attacchi in cui gli aggressori hanno cercato di catturare queste credenziali e quindi sfruttarle per attaccare le organizzazioni delle loro vittime.

Quindi, le ultime notizie hanno indicato che molto probabilmente, qualcuno è stato in grado di sfruttare una credenziale compromessa per entrare nell’ambiente Twitter e prendere il controllo degli account. Tuttavia, sono state rese disponibili sempre più informazioni, con schermate condivise con strumenti interni di Twitter. Per me, ciò ha sollevato una bandiera rossa, perché in un tipico modello di attacco stiamo vedendo tre fasi distinte nel ciclo di vita degli attacchi informatici: il compromesso, la fase di esplorazione e l’esfiltrazione di dati sensibili, che include nascondere tracce e potenzialmente creare una backdoor per attacchi futuri.

Durante l’esecuzione di ricognizioni, gli hacker generalmente cercano di identificare regolari pianificazioni IT, misure di sicurezza, flussi di traffico di rete e scansionare l’intero ambiente IT per ottenere un quadro accurato delle risorse di rete, account e servizi privilegiati. Controller di dominio, Active Directory e server sono obiettivi di ricognizione principali per la ricerca di credenziali e accesso privilegiati.

Non cercheranno necessariamente strumenti amministrativi che potrebbero essere sfruttati per il loro attacco a meno che non abbiano una conoscenza intima dell’esistenza di tali strumenti nell’ambiente della vittima, sia che abbia lavorato per l’azienda in passato o che rappresentasse una minaccia interna.

Louis: Qual è l’anatomia di un attacco interno, in base alla tua esperienza?

Torsten: Come è stato successivamente confermato da Twitter, è diventato molto evidente che questo è un caso di minacce interne, in cui si dispone di un membro interno che è stato sfruttato per questo attacco. Le minacce interne più comuni possono essere definite dall’intento e dalla motivazione delle persone coinvolte. Il Rapporto sulle minacce interne di Verizon 2019 definisce cinque distinte minacce interne basate su scenari di violazione dei dati e tutti hanno nomi eccellenti e accurati: il lavoratore incurante, l’agente interno (spesso reclutato), il dipendente scontento, l’insider dannoso e il terzo Feckless .

Considerando l’ambiente globale che stiamo affrontando in questo momento, con Covid-19 e altre difficoltà economiche correlate, il rischio di minacce interne è esacerbato, poiché i pendii in sospeso o i tagli alle retribuzioni possono indurre i dipendenti a esfiltrare i dati per assicurarsi un nuovo lavoro o compensare perdite di reddito.

Quindi un amministratore privilegiato potrebbe essere più aperto alle persone che si avvicinano a loro e dire: “Saresti disposto a condividere con noi le tue credenziali di accesso o faresti qualcosa per nostro conto per esfiltrare i dati o manipolarli?” Tale rischio è aumentato notevolmente in tutti i settori.

Quindi si è scoperto che il primo sospetto erano gli attacchi di phishing, seguiti da credenziali compromesse. Risulta essere una minaccia interna. Le organizzazioni devono essere preparate per questo.

Louis: Cosa possono fare le aziende per ridurre la probabilità che un insider malintenzionato li hackererà?

Torsten: Diventa un po ‘più complicato quando hai a che fare con un insider dannoso perché molto probabilmente conoscono il tuo ambiente, potrebbero conoscere i tuoi meccanismi di difesa e potrebbero conoscere gli strumenti di sicurezza che probabilmente stai utilizzando. Quindi possono bypassare questi controlli di sicurezza e provare a ottenere il controllo dei dati da cui possono quindi trarre profitto.

Le organizzazioni devono ripensare al modo in cui hanno strutturato i propri controlli di difesa e adottare davvero un approccio di una strategia approfondita con un diverso livello di difese. Il primo livello che viene in mente in questo caso particolare è l’autenticazione a più fattori (MFA), che è ancora frutto a basso impatto. Ci sono ancora molte organizzazioni là fuori che non stanno approfittando dell’implementazione dell’AMF.

Sebbene l’AMF sia altamente raccomandato, non è altrettanto efficace contro le minacce interne perché hanno quel secondo fattore di autenticazione e possono superare quelle sfide. Le organizzazioni devono andare oltre l’AMF se vogliono avere una strategia di sicurezza a più livelli.

Louis: Quali sono alcuni dei modi in cui possono andare oltre l’AMF per evitare di essere vittime di una minaccia interna?

Torsten: Un componente molto importante della tua strategia di difesa dovrebbe essere l’approccio di zero privilegi permanenti, che è qualcosa che Gartner raccomanda ai suoi clienti. Ciò significa che ho i normali privilegi e diritti per fare il mio lavoro, come rispondere alle e-mail e usare Internet, ma probabilmente è tutto ciò di cui ho bisogno. Se ho bisogno di più accesso, dovrò elevare il mio privilegio per il tempo necessario a svolgere quel particolare compito, ma poi revocare quel privilegio una volta terminato.

Se ho zero privilegi permanenti – anche se qualcuno compromette le mie credenziali, anche se sono un addetto ai lavori – non ho accesso immediato alle chiavi dei regni per fare quello che voglio.

E prima dell’elevazione dei privilegi, le organizzazioni dovrebbero richiedere il contesto attraverso una richiesta formale. Ad esempio, è necessario che l’utente invii un ticket tramite ServiceNow o qualsiasi altra piattaforma di gestione dei servizi IT per specificare a cosa devono accedere, per quanto tempo e cosa fare. In questo modo, c’è una pista di controllo e un processo di approvazione. Se l’attore delle minacce, che sia insider o meno, non lo fa, non ottiene un accesso privilegiato a quel sistema di destinazione.

Louis: Oltre ai controlli forse previsti, quali altri controlli potrebbero aver aiutato in questo particolare scenario?

Torsten: Le organizzazioni dovrebbero inoltre sfruttare i moderni strumenti per sfruttare la tecnologia di apprendimento automatico, in modo che guardi al comportamento degli utenti e ai fattori di rischio per ottenere anche una presa di questi attacchi interni. Tutti gli altri controlli di sicurezza sono inizialmente più adeguati alla preparazione esterna. Tuttavia, una volta implementata la tecnologia di apprendimento automatico e l’analisi del comportamento degli utenti, è lì che puoi anche catturare minacce interne.

L’apprendimento automatico può cercare attività sospette, ad esempio un target a cui si accede al di fuori di una tipica finestra di manutenzione, oppure l’amministratore sta effettuando l’accesso da una posizione o un dispositivo diverso dal solito. Può quindi attivare una richiesta MFA e anche emettere un avviso in tempo reale, indipendentemente dal fatto che la sfida MFA sia stata risolta correttamente.

Inoltre, nel caso di Twitter, vi sono preoccupazioni in materia di privacy e normative che potrebbero anche essere fattori scatenanti aggiuntivi per gli avvisi in tempo reale e la chiusura automatica di questa attività. Regolamenti come CCPA (California Consumer Privacy Act) e GDPR (General Data Protection Regulation) indicano che piattaforme come Twitter devono fare molta attenzione a qualsiasi accesso o manipolazione del feed di un cliente. Ciò potrebbe – e avrebbe dovuto – attivare immediatamente un avviso in tempo reale quando un amministratore pubblicava per conto di un utente.

Louis: Pensi che questo sarà l’inizio di un’era completamente nuova di hack in cui gli hacker ripagheranno i dipendenti interni per i messaggi promozionali?

Torsten: Francamente, abbiamo visto un aumento dall’inizio della pandemia di Covid-19. E credo ora che questo attacco di Twitter sia stato coperto così tanto dalla stampa che avrai imitatori che proveranno a fare lo stesso. Alcuni si rivolgeranno anche alle piattaforme dei social media, ma altri potrebbero essere un po ‘più intelligenti perché i social media sono facilmente rilevabili se qualcosa va storto. Un’industria come l’assistenza sanitaria potrebbe essere un obiettivo primario e ci sono già notizie secondo cui gli hacker russi stanno attaccando operatori sanitari e laboratori di ricerca per cercare di ottenere l’accesso alla ricerca sui vaccini.

Louis: Considerato quanto sia significativo questo hack in termini di progressione o di crescente sofisticazione delle minacce, quali sono le tre principali previsioni che hai per il resto del 2020?

Torsten: Il ransomware è un esempio di una tecnica che è cambiata in modo abbastanza significativo in due modi. Innanzitutto, non vengono più inviati solo tramite e-mail, ma anche tramite piattaforme di social media, messaggi SMS e altro ancora. In secondo luogo, il ransomware non si concentra più solo sulla chiusura delle operazioni aziendali. L’esempio più recente con EDP Renewables North American, una consociata di una società di servizi elettrici con sede in Europa, ha mostrato che gli hacker hanno sfruttato il ransomware per esfiltrare i dati. Non per bloccarlo, ma per esfiltrare i dati e quindi chiedere il riscatto dalla loro vittima per non pubblicare i dati sul Dark Web.

In secondo luogo, come ho già spiegato, le attuali difficoltà economiche della pandemia faranno saltare più persone sul carro e diventare criminali informatici. E queste non sono le persone che vedi nei film: personaggi oscuri in felpe con cappuccio che usano sofisticate tecniche di hacking per violare il governo. Questi sono i tuoi vicini, i ragazzini della porta accanto. Per loro non è un grosso problema diventare un criminale informatico.

In terzo luogo, come ci si aspetterebbe, il numero di attacchi informatici aumenterà di conseguenza e continueranno a trovare modi nuovi e innovativi per trovare il modo più semplice. L’incidente di Twitter ci ha insegnato che non era necessaria alcuna “violazione” della tecnologia . Stava solo trovando la persona giusta con i giusti privilegi e pagandoli per fare 25 tweet. È un giorno di paga facile.

Penso che tutta questa crisi che stiamo attraversando vedrà un grande aumento degli attacchi dei tradizionali hacker informatici, ma anche di un sacco di neofiti e greenhorn che proveranno la loro fortuna e vedranno se riescono a fare un dollaro. O da attacchi ransomware, attacchi di phishing, ingegneria sociale o qualsiasi combinazione di questi.

[ad_2]

Leave a Reply

Il tuo indirizzo email non sarà pubblicato.