Una multinazionale unita consulenza sulla sicurezza informatica ha rivelato i primi dieci vettori di assalto più sfruttati dai criminali informatici con lo scopo di ottenere l’accesso alle reti organizzative, oltre alle strategie che utilizzano per ottenere l’ingresso.
L’advisory cita 5 strategie utilizzate per ottenere la leva:
- Applicazioni rivolte al pubblico. Qualcosa connesso a Internet potrebbe essere una minaccia se non correttamente patchato e aggiornato. Che si tratti o meno di un problema tecnico, di un bug o di un design, un sito Web o un database scarsamente protetti saranno il trampolino di lancio per un exploit.
- Servizi remoti esterni. Il furto di account legittimi è solitamente misto a società aziendali lontane come VPN o diversi meccanismi di accesso. Ciò consente agli aggressori di infiltrarsi e persistere in una comunità.
- Phishing. Un pilastro degli attacchi incentrati sul business, tutte le cose dallo spear phishing alla frode del CEO e al Compromesso e-mail aziendale (BEC) stanno guardando al futuro per gli amministratori incauti.
- Relazioni fidate. Gli aggressori mapperanno le relazioni tra le organizzazioni. L’ingresso attendibile di terze parti da un’organizzazione all’obiettivo si trasformerà a sua volta in un obiettivo, utilizzato per ottenere l’accesso a reti interne in ogni caso irraggiungibili.
- Conti validi. Questi potrebbero essere ottenuti anche da phishing, ingegneria sociale, minacce interne o informazioni fornite con noncuranza.
C’è un punto di sovrapposizione tra la maggior parte di queste strategie, con alcune che seguono naturalmente l’una dall’altra. L’avviso elenca dieci aree di interesse completamente diverse, che potrai vedere sotto. Se ti capita di riconoscere alcuni come potenziali fattori deboli, o la tua organizzazione non ha copertura sui problemi sollevati, potrebbe essere il momento di prendere questo toro per le corna.
10 metodi che gli aggressori ottengono l’accesso alle reti
1. L’autenticazione a più fattori (MFA) non viene applicata
L’AMF è particolarmente utile quando gli attori pericolosi prestano così tanta attenzione a strategie come phishing, relazioni di fiducia e account legittimi. Ognuno di questi approcci potrebbe avere impatti critici a lungo termine su un’organizzazione interessata. Non è semplicemente il modo in cui entrano, ma ciò che affrontano dopo.
Un’organizzazione colpita da ransomware ed esfiltrazione di informazioni potrebbe aver qualificato una serie di livelli di attacco per raggiungere questo livello. Pensa se non si fossero verificati tutti in quanto il livello preliminare di ingresso, una password di phishing, fosse stato protetto con MFA. Un dispositivo assolutamente inestimabile per tutti i clienti, e in particolare per i direttori o le persone con privilegi elevati.
2. Privilegi o autorizzazioni utilizzati in modo non corretto ed errori all’interno degli elenchi di gestione delle voci
I clienti dovrebbero essere in grado di accedere esclusivamente a beni essenziali per un determinato obiettivo. Qualcuno per caso ha concesso il controllo del grado di amministratore su un sito Web aziendale potrebbe innescare il caos se il proprio account viene compromesso o se esce dall’azienda e nessuno revoca l’ingresso. In una parola identica, gli elenchi di gestione delle entrate (ACL) utilizzati per filtrare i visitatori della comunità e/o garantire che l’immissione di file dei clienti possa diventare pericolosa a breve se ai clienti vengono concesse le autorizzazioni di accesso errate.
3. Il programma software non è aggiornato
L’amministrazione delle risorse e delle patch aiuterà a preservare le tecniche di lavoro e l’aggiornamento di diversi programmi software chiave. Le scansioni delle vulnerabilità sono inestimabili per valutare quale programma software non è supportato, in uno stato di fine vita o un’altra classe che suggerisce che un aggiornamento costante potrebbe anche essere problematico. Un programma software obsoleto pronto per essere aggredito attraverso exploit è tra le pratiche pericolose più comuni che portano al compromesso della comunità.
4. Utilizzo di configurazioni predefinite fornite dal fornitore o nomi utente e password predefiniti
L’hardware pronto all’uso che utilizza le impostazioni predefinite non è una soluzione per le aziende. C’è un’ottima probabilità che nome utente/password predefiniti siano semplicemente ottenibili online, su tutte le cose, dai dump delle voci alle domande generiche sui siti Web di assistenza. Non alterare le impostazioni predefinite su ogni {hardware} e programma software diventa uno dei tanti metodi principali in cui un’organizzazione viene violata senza scoprirlo.
A seconda del luogo in cui risiedi, le password predefinite potrebbero anche rappresentare un serio livello di preoccupazione non solo in senso aziendale, ma in un anche molto legale. Le configurazioni di default al momento stanno lavorando alla possibilità di ban e multe.
5. Le aziende lontane, paragonabili a una comunità digitale non pubblica (VPN), non dispongono di ampi controlli per impedire l’ingresso non autorizzato
Ulteriori strumenti di sicurezza e privacy richiedono attenzione per quanto riguarda l’impostazione e la configurazione. Una VPN per ufficio mal progettata potrebbe essere facilmente accessibile anche da un utente malintenzionato e aiuterà inoltre l’esplorazione delle maschere e lo sfruttamento della comunità. L’AMF è utile proprio qui, così come il monitoraggio delle occasioni di connessione per modelli di utilizzo irregolari paragonabili alla connessione immediata alla VPN al di fuori dell’orario di lavoro.
6. Non devono essere stipulate solide polizze assicurative per la password
Le password inadeguate e deboli sono a modo chiave per prendere piede nella comunità. Le configurazioni scadenti del protocollo RDP (Distant Desktop Protocol) sono notevolmente laboriose da pratiche di password pericolose. È un modo comune gli attacchi ransomware danno vita a una comunità aziendale.
Gli strumenti per indovinare la password manterranno il tentativo fino a quando non indovineranno una password debole e consentiranno l’ingresso nell’organizzazione dell’obiettivo. Una tecnica per combattere che limita la quantità di accesso effettua un tentativo tramite RDP prima di bloccare la persona.
7. Le società cloud non sono protette
Le società cloud non protette sono a caratteristica permanente delle storie di violazioni della sicurezza. Le password predefinite, e in alcune circostanze nessuna password, consentono di accedere facilmente a ciascuna azienda e informazioni sui consumatori. A parte il danno preciso delle informazioni degli individui lasciate in giro per menzogna, il danno reputazionale per questi responsabili sarà immenso. È molto meglio non trovarsi in questo stato di cose in primo luogo.
8. Le porte aperte e le società mal configurate vengono scoperte sul Web
I criminali utilizzano strumenti di scansione per trovare porte aperte e sfruttarle come vettori d’assalto. La compromissione di un numero su questo approccio può far aumentare il potenziale di un numero di assalti dopo aver ottenuto l’ingresso preliminare. RDP, NetBios e Telnet sono senza dubbio tutti ad alto rischio per una comunità insicura.
9. Tentativo di rilevamento o blocco del phishing
Le macro dannose nei documenti di Phrase o nei record di Excel sono una funzione chiave degli attacchi di phishing incentrati sul business. Potrebbero essere un po’ più vicini all’essere fece passare l’uscitaa causa delle ultime modifiche alle autorizzazioni nei prodotti Workplace che ne rendono più difficile l’esecuzione.
Anche senza lo spettro di falsi allegati, il phishing continua a essere un enorme svantaggio per i registi. Nessuna scansione delle e-mail in arrivo nella community o il controllo del contenuto dei messaggi dai mittenti interni alla ricerca di indicatori di account compromessi si aggiungerà a questa situazione. Questa minaccia interna è un altro spazio in cui l’AMF assisterà in modo significativo. Bisogna anche pensare a una copertura per la disabilitazione rapida e la cancellazione degli account per i lavoratori usciti.
10. Rilevamento e risposta degli endpoint scarsi
I criminali informatici rendono costantemente il più laborioso possibile per determinare gli assalti che usano. Il malware è ricco di metodi sicuri per evitare il rilevamento e l’identificazione. Gli script dannosi caricati sui siti Web vengono offuscati, quindi è problematico determinare esattamente cosa stanno facendo.
Il tuo sito web sta partecipando a uno skimmer di carte o ad un avvelenamento da posizionamento di siti web e reindirizzamento di spam? Senza gli strumenti e la valutazione corretti, potrebbe essere necessario molto più tempo per determinare e la tua azienda subirà per la lunghezza.
Migliori pratiche per proteggere le tue tecniche
L’avviso presenta un utile resoconto del modo in cui combattere alcuni di questi punti:
- Entrata di gestione: Controllare rigorosamente chi può entrare cosa, quando e come è vitale. Abilita gli accessi nativi solo per i direttori, escludendoli da RDP tranne che in modo assolutamente essenziale. Pensa a workstation di amministrazione dedicate, se possibile. Tutti dovrebbero avere accesso esclusivamente a ciò che è necessario per svolgere il proprio lavoro con successo, con una mossa aziendale corretta richiesta per autorizzare le autorizzazioni aggiuntive richieste. Se i lavoratori cambiano ruolo o lasciano l’organizzazione, revocano immediatamente il loro ingresso.
- Credenziali rafforzate: L’AMF in tutte le aree dell’organizzazione è ancora una volta fondamentale qui. Pensa a token hardware fisici per questi con ingresso in aziende vitali per l’impresa. Se l’AMF non è disponibile per determinati lavoratori, utilizzare diverse strategie di sicurezza per ridurre al minimo gli accessi non autorizzati. Una rigorosa copertura della password combinata con le unità di controllo utilizzate, l’ora del giorno, le informazioni sulla posizione e il passato storico della persona può fornire collettivamente un’immagine di ciò che potrebbe essere moderatamente descritto come un autentico lavoratore.
- Configurare l’amministrazione centralizzata dei registri: L’era e la conservazione dei log sono strumenti importanti per molti punti di sicurezza. Le informazioni provenienti dagli strumenti di rilevamento delle intrusioni aiutano a formare un’immagine di esercizio senza dubbio dannoso, il luogo da cui provengono, in quale epoca del giorno e così via. Decidi quali registri ti servono. Vuoi un’immagine completa dell’esercizio nel cloud? La registrazione del sistema è vitale? Riesci a fare esercizio sulla comunità? Determina un intervallo di conservazione. Un lasso di tempo troppo breve e dovrai fare nuovamente riferimento a registri che non esistono. Troppo lungo e potrebbero esserci anche punti di riservatezza su ciò che hai catturato e conservato. Anche l’archiviazione sicura può essere fondamentale, poiché non è necessario che gli aggressori manomettano le informazioni che hai raccolto.
- Usa le opzioni antivirus: le postazioni di lavoro richiedono opzioni di sicurezza in grado di far fronte a exploit che non richiedono interazioni tra persone e aggressioni che dipendono dall’ingegneria sociale. Dirottamenti del desktop, malvertising e allegati fasulli sono semplicemente alcune delle minacce da considerare. Il monitoraggio di routine dei risultati della scansione aiuterà a determinare i punti deboli nel perimetro di sicurezza.
- Utilizzare strumenti di rilevamento: un sistema di rilevamento delle intrusioni (IDS) aiuta a fiutare l’esercizio dannoso della comunità e protegge dall’esercizio dubbio. I test di penetrazione possono esporre configurazioni errate con le società sopra elencate paragonabili a cloud, VPN e altro. Gli strumenti dei fornitori di servizi cloud aiuteranno a individuare lo spazio di archiviazione condiviso in eccesso e l’ingresso irregolare o irregolare.
Tieniti al sicuro sul mercato!