Quando si parla di cyber security è fondamentale trasmettere consapevolezza parlando della parte teorica, tuttavia, a volte ciò che aiuta a comprendere meglio di qualsiasi tipo di contenuto è un caso reale o una simulazione di un attacco a una rete aziendale.
Scopri in 6 fasi le attività di un hacker, dall’accesso iniziale all’esfiltrazione dei dati e come gli aggressori rimangono inosservati.
La maggior parte degli attacchi di rete non sono eccezionalmente sofisticati, tecnologicamente avanzati o dipendenti da strumenti zero-day che sfruttano le vulnerabilità non ancora note. Spesso vengono utilizzati strumenti comunemente disponibili che sfruttano molteplici punti di vulnerabilità.
Simulando un attacco di rete nel mondo reale, i team di sicurezza possono testare i propri sistemi di prevenzione, rilevamento delle minacce e risposta agli attacchi.
I 6 step di un attacco informatico a una rete aziendale
Il meccanismo di attacco potrebbe basarsi sui seguenti sei passaggi:
- Accesso iniziale
- Trasferimento dello strumento di ingresso
- Esplorazione della rete
- Dumping delle credenziali
- Movimento laterale e persistenza
- Esfiltrazione dei dati
Prima di iniziare, una nota: non necessariamente sono questi i passaggi obbligatori, trattasi di un esempio di attacco tipo.
1. Accesso iniziale
Questo attacco inizia con lo spear-phishing (phishing che prende di mira uno specifico target di persone), che determina il primo ingresso nella rete. Ad esempio, con un’e-mail inviata a un dipendente con un’offerta di lavoro redditizia. L’e-mail ha un file allegato. Nel backend, l’allegato dannoso nell’e-mail esegue una macro e sfrutta una vulnerabilità legata all’esecuzione di codice in modalità remota in Microsoft Office.
Una prima valida difesa avrebbe potuto già fare il suo lavoro, bloccando un attacco. L’e-mail di phishing potrebbe essere stata rilevata attraverso una scansione del gateway di posta elettronica, oppure un antivirus sull’endpoint. In generale, i controlli multipli aumentano la possibilità di intercettare l’attacco.
2. Trasferimento dello strumento di ingresso
Una volta ottenuto l’accesso, l’aggressore trasferisce vari strumenti nel sistema per utilizzarli nelle fasi successive dell’attacco
Molti di questi strumenti sono già all’interno del framework Microsoft Windows: di solito vengono utilizzati dagli amministratori per controllare il sistema, ma anche gli aggressori possono usarli per scopi dannosi.
3. Esplorazione della rete
Ora, l’aggressore esplora la rete per identificare risorse preziose, come servizi, sistemi, workstation, controller di dominio, porte, credenziali aggiuntive, IP attivi e altro ancora.
4. Dumping delle credenziali
Una volta identificati gli asset digitali più preziosi, gli strumenti aggiunti in precedenza vengono utilizzati per estrarre le credenziali di più utenti nei sistemi compromessi. Questo aiuta l’attaccante a prepararsi per il movimento laterale.
5. Movimento laterale e persistenza
Con le credenziali, l’aggressore si “sposta lateralmente” attraverso la rete, accedendo ad altri sistemi. L’obiettivo dell’aggressore è espandere il proprio punto d’appoggio raggiungendo il maggior numero possibile di utenti e dispositivi e con i privilegi più elevati possibili. Ciò consente loro di cercare file sensibili che possono esfiltrare.
Se l’aggressore ottiene le credenziali dell’amministratore, ad esempio, può ottenere l’accesso a gran parte della rete.
In molti casi, l’aggressore potrebbe procedere lentamente e pianificare le attività per un periodo di tempo successivo per evitare di essere rilevato. Ciò consente agli aggressori di avanzare nella rete per mesi senza destare sospetti ed essere identificati.
6. Esfiltrazione dei dati
Infine, vengono estratti i dati oggetto di interesse. Può essere esportato dalla rete in un sistema di condivisione file nel cloud, crittografato per il ransomware o altro ancora.
Come proteggersi dagli attacchi di rete
Una protezione efficace dagli aggressori richiede più livelli di sicurezza. Ogni “strato” di sicurezza deve essere gestito strategicamente e orchestrato in modo olistico per impedire agli aggressori di eseguire con successo i loro piani. Questo approccio aiuta ad anticipare ogni possibile mossa di un utente malintenzionato per una strategia di sicurezza più forte.
Ti è piaciuto questo articolo? Contatta Noi Sicurezza se sei interessato a proteggere la tua impresa, sapremo darti i giusti consigli: