NUOVI GRUPPI APT Nel 2018, FireEye ha “promosso” quattro autori di un attacco facendoli passare dal precedente stato di gruppi TEMP allo stato di gruppi con minacce persistenti avanzate (APT).

UN BERSAGLIO RIMARRÀ SEMPRE UN BERSAGLIO

Nel 2018, il numero di clienti presi nuovamente di mira è salito continuamente.1 Se si è stati vittima di una violazione, si avranno molte più probabilità di subire altri attacchi e violazioni.

100

80

60

40

20

0

CLIENTI CON RISPOSTA AGLI INCIDENTI COLPITI NUOVAMENTE, PER REGIONE

2017

56%

44%47%

91%

2018

64% 63%57%

78%

EMEA APACGLOBALE AMERICHE

TEMPI DI ATTESA

Le organizzazioni stanno migliorando nell’identificare rapidamente le violazioni. A livello mondiale, i tempi mediani di attesa sono diminuiti significativamente passando da 416 giorni nel 2011 a solo 78 giorni nel 2018.

Mentre i tempi di attesa mediani sono diminuiti a livello globale e nelle Americhe, i tempi di attesa sono aumentati nell’area APAC ed EMEA, dove i team addetti alla sicurezza continuano a scoprire gli attacchi del passato.

TEMPO DI ATTESA MEDIANO A LIVELLO GLOBALE

600

500

400

300

200

100

020182017

ANNI

TEM

PO D

I ATT

ESA

(IN G

IORN

I)

Il tempo di attesa è il numero di giorni di presenza dell’aggressore sulla rete di una vittima, tra la prima evidenza di compromissione fino all’e�ettivo rilevamento.

Nel 2018, il 31% delle compromissioni sulle quali abbiamo indagato prevedeva un tempo di attesa di 30 giorni o meno, rispetto al 28% del 2017. Ciò può dipendere da un aumento delle compromissioni a scopo finanziario, come ad esempio attacchi ransomware, che tendono ad avere un impatto immediato sulle organizzazioni colpite, ma che vengono immediatamente rilevati.

DISTRIBUZIONE GLOBALE DEL TEMPO DI ATTESA

EMEA APACGLOBALE AMERICHE

10176

175

2016

99 99106

172

498

78 71

177204

TEMPO DI ATTESA (IN GIORNI)

0-7

201-3

008-

1415

-30

31-4

5

46-60

61-75

76-9

0

91-150

151-2

00

901-1000

301-4

00

401-500

501-6

00

601-700

2000+

701-8

00

801-9

00

1000-2

000

20

15

10

5

0

15%

7%

9%7% 7%

10%

6% 6%7%

3%1%

4%

2% 1%0 1%

7%

4%

2%

INDA

GINI

NEL

201

8 (P

ERCE

NTUA

LE)

CLIE

NTI C

HE H

ANNO

RIS

POST

O A

GLI I

NCID

ENTI

(PER

CENT

UALE

)

11%

SANITARIO FORMAZIONEFINANZIARIO

FINANZIARIO SANITARIO FORMAZIONE

13%

18%

PRIMI 3 SETTORI NUOVAMENTE COLPITI

20

15

10

5

0

PERC

ENTU

ALE

FONTI DI NOTIFICA DELLE VIOLAZIONI

Dal 2015 le organizzazioni stanno migliorando il processo interno di scoperta delle compromissioni, rispetto alle notifiche ottenute da fonti esterne.

100%

90%

80%

70%

60%

50%

40%

30%

20%

10%

02011 2012 2013 2014 2015 2016 2017 2018

ESTERNA INTERNA

94%

63%67% 69%

53%

47%

38%41%

6%

37%33% 31%

47%

53%

62%59%

DATA NOME: 19 DICEMBRE 2018NOME: APT40 ORIGINE O NAZIONE FINANZIATRICE: CINA

SUDEST ASIATICO

PRINCIPALI OBIETTIVI DI SETTORE

AVIAZIONE

CHIMICO

DIFESAFORMAZIONE

PRINCIPALI OBIETTIVI REGIONALI

SUDEST ASIATICO PUBBLICA AMMINISTRAZIONE

HIGH-TECH

MARITTIMORICERCA

APT40

12982342982639874293847293847293847293847293847293874298374298347293847293568420394820394802936293874923874293879283473847293847293847987383872384798729APT39

DATA NOME: 12 DICEMBRE 2018NOME: APT39 ORIGINE O NAZIONE FINANZIATRICE: IRAN

MEDIO ORIENTE

IRAN

PRINCIPALI OBIETTIVI DI SETTORE

HIGH-TECH

TELECOMUNICAZIONI

TRASPORTIVIAGGI

PRINCIPALI OBIETTIVI REGIONALI

MEDIO ORIENTE

CINA

3427

3894

7230

9483

0293

84

34273

89472309483029384

34273894723094830293843427389472309483029384

342738947230948302938434273894723094

83029384

APT38

DATA NOME: 2 OTTOBRE 2018NOME: APT38 ORIGINE O NAZIONE FINANZIATRICE: COREA DEL NORD

COREA DEL NORD

SISTEMI FINANZIARI INTERBANCARI

ISTITUTI FINANZIARI

PRINCIPALI OBIETTIVI DI SETTOREPRINCIPALI OBIETTIVI REGIONALI

REGIONI IN VIA DI SVILUPPO ECONOMICO

APT37

DATA NOME: 19 FEBBRAIO 2018NOME: APT37 ORIGINE O NAZIONE FINANZIATRICE: COREA DEL NORD

MEDIO ORIENTE

COREA DEL NORD

ENTI SANITARI

ELETTRONICA

INDUSTRIA MANIFATTURIERA

PRINCIPALI OBIETTIVI DI SETTORE

AUTOMOBILISTICO

CHIMICO

AEROSPAZIALE

PRINCIPALI OBIETTIVI REGIONALI

GIAPPONE

MEDIO ORIENTE

COREA DEL SUDVIETNAM

COREA DEL SUD

GIAPPONE

VIETNAM

REGIONI IN VIA DI SVILUPPO ECONOMICO

© 2019 FireEye, Inc. Tutti i diritti riservati. FireEye è un marchio registrato di FireEye, Inc. Altri marchi, nomi di prodotto e servizi sono o possono essere rivendicati come proprietà di terzi.F-EXT-IG-US-EN-000187-01

1 Parliamo di “clienti presi nuovamente di mira” quando FireEye gestisce il rilevamento e la risposta agli attacchi per precedenti clienti Mandiant che avevano risposto a incidenti e avevano subito un attacco significativo negli ultimi 19 mesi da parte dello stesso gruppo di hacker o da gruppi con motivazioni simili.

Scarica il report completo M-Trends 2019 >

M-TRENDS 2019REPORT SPECIALE FIREEYE MANDIANT

MIGLIORAMENTI PROGRAMMATICI Sulla base di tre problemi comuni che abbiamo osservato durante le indagini aziendali nel 2018, raccomandiamo tre modifiche programmatiche allo scopo di migliorare la reazione e la soluzione degli incidenti.

Garantire che i piani di risposta agli incidenti, i casi d’uso e i programmi includano processi di conservazione delle prove.

RACCOMANDAZIONE

Condurre revisioni periodiche dei piani di risposta agli incidenti, dei casi d’uso e dei programmi, includendo linee guida sui tempi di eliminazione.

MANCANZA DI INDAGINII programmi di risposta agli incidenti non dispongono di passaggi che potrebbero aiutare a comprendere il contesto o stabilire la necessità di un’analisi approfondita, con conseguente mancato rilevamento di violazioni di maggior entità e tempi di attesa più lunghi.

TEMPI DI CORREZIONE INADEGUATILe aziende rispondono troppo rapidamente a una violazione, cosa che non consente di eliminare l’aggressore, complica le indagini e prolunga la violazione.

DISTRUZIONE DELLE PROVEIl modello di “ripristino dell’immagine e sostituzione” per la risposta agli incidenti può distruggere prove preziose, lasciando senza risposta le domande chiave.

RACCOMANDAZIONE

Sviluppare linee guida per comprendere il contesto delle minacce identificate e stabilire procedure di riferimento ad analisti più esperti.

RACCOMANDAZIONE

• Applicare un modello di architettura multi-livello per limitare l’accesso agli account con privilegi

• Implementare “jump box” dedicate e isolate/workstation ad accesso privilegiato (PAWS) per le funzioni di amministrazione

• Utilizzare il gruppo di sicurezza Protected Users Active Directory per gli account sensibili e con privilegi

• Usare profili VPN separati per gli amministratori

GESTIONE DEGLI ACCOUNT CON PRIVILEGI

La premediazione sta proattivamente implementando iniziative comuni incentrate sulla correzione

PREMEDIAZIONEMolti degli incidenti esaminati nel 2018 avrebbero potuto essere evitati o contenuti rapidamente se le aziende colpite avessero implementato proattivamente dei miglioramenti comuni incentrati sulla correzione.

• Sintonizzare i meccanismi di visibilità e rilevamento nel proprio ambiente

• Documentare gli account di servizio basati sul dominio per velocizzare il ripristino delle password aziendali

• Progettare la propria architettura di rete in modo da segmentare e limitare le comunicazioni tra i sistemi

ATTEGGIAMENTO GENERALE

• Esaminare l’architettura globale e l’attendibilità, concentrandosi sulla direzione dei controlli di a�dabilità e sicurezza

• Esaminare i processi operativi e le strategie di monitoraggio e ra�orzamento

RAFFORZAMENTO DELLA ACTIVE DIRECTORY

• Utilizzare le impostazioni dei criteri di gruppo per applicare i controlli di protezione di Microsoft O�ce

• Esaminare e ridurre l’ambito degli utenti standard con autorizzazioni amministrative locali sugli endpoint

• Verificare che gli account degli amministratori locali integrati dispongano di password univoche e casuali in tutti gli endpoint

• Applicare la segmentazione negli endpoint per impedire movimenti laterali

RAFFORZAMENTO DEGLI ENDPOINT

Condurre una valutazione della compromissione durante l’acquisizione per identificare eventuali compromissioni attuali o precedenti

Eseguire una revisione proattiva per cercare prove delle potenziali attività di attacco all’interno delle reti originarie e acquisite, prima di integrarle

Verificare i diritti per identificare gli account che hanno accesso alla posta elettronica di altri utenti

Disabilitare l’inoltro automatico di e-mail al di fuori delle aziende o verificare regolarmente le regole di inoltro sui mail server per rilevare le prove di questa tecnica

Abilitare la connessione verificata su O�ce 365

Abilitare l’autenticazione multi-fattore su O�ce 365

RACCOMANDAZIONIEcco alcune strategie di mitigazione e rilevamento da considerare durante il processo di funzione e acquisizione (M&A):

1

2

3

4

5

6

RISCHI DEL PROCESSO M&A

Le azioni di fusione e acquisizione (M&A) includono attività di “due diligence” e integrazione che devono rispettare scadenze rigorose. Nella fretta, i dirigenti integrano le reti senza risolvere i problemi di sicurezza, mettendo a rischio sia l’azienda principale che l’azienda acquisita.

Una volta che gli aggressori hanno ottenuto l’accesso, creano regole di inoltro, esportazione o reindirizzamento. Ciò consente loro di mantenere l’accesso alla posta elettronica senza la necessità di e�ettuare l’autenticazione nell’ambiente.

INOLTRO E REINDIRIZZAMENTO

Gli aggressori hanno sfruttato le vulnerabilità delle configurazioni di Outlook in modo che, dopo avere e�ettuato l’accesso, le vittime venivano reindirizzate dal sistema alla pagina Web dell’aggressore, compromettendone la sicurezza attraverso un malware.

INSTALLAZIONE DI MALWARE

Nel 2018, abbiamo osservato un aumento degli aggressori che utilizzavano account e-mail compromessi per inviare messaggi e-mail di phishing ai colleghi degli utenti. Tale azione è particolarmente e�cace nei casi di M&A perché i dipendenti sono in attesa di comunicazioni, a volte non richieste, tra le aziende.

PHISHING

Gli aggressori sfruttano l’accesso agli account e-mail compromessi durante le operazioni di M&A per bypassare l’autenticazione multi-fattore mediante token (soft-token) basata su SMS, e-mail e software.

BYPASS DELL’IDENTIFICAZIONE MULTI-FATTORE

© 2019 FireEye, Inc. Tutti i diritti riservati. FireEye è un marchio registrato di FireEye, Inc. Altri marchi, nomi di prodotto e servizi sono o possono essere rivendicati come proprietà di terzi. F-EXT-IG-US-EN-000188-01

Scarica il report completo M-Trends 2019 >

M-TRENDS 2019 M-TRENDS 2019REPORT SPECIALE FIREEYE MANDIANT