M-Trends 2019 Infographic - FireEye · ed EMEA, dove i team addetti alla sicurezza continuano a...
Transcript of M-Trends 2019 Infographic - FireEye · ed EMEA, dove i team addetti alla sicurezza continuano a...
NUOVI GRUPPI APT Nel 2018, FireEye ha “promosso” quattro autori di un attacco facendoli passare dal precedente stato di gruppi TEMP allo stato di gruppi con minacce persistenti avanzate (APT).
UN BERSAGLIO RIMARRÀ SEMPRE UN BERSAGLIO
Nel 2018, il numero di clienti presi nuovamente di mira è salito continuamente.1 Se si è stati vittima di una violazione, si avranno molte più probabilità di subire altri attacchi e violazioni.
100
80
60
40
20
0
CLIENTI CON RISPOSTA AGLI INCIDENTI COLPITI NUOVAMENTE, PER REGIONE
2017
56%
44%47%
91%
2018
64% 63%57%
78%
EMEA APACGLOBALE AMERICHE
TEMPI DI ATTESA
Le organizzazioni stanno migliorando nell’identificare rapidamente le violazioni. A livello mondiale, i tempi mediani di attesa sono diminuiti significativamente passando da 416 giorni nel 2011 a solo 78 giorni nel 2018.
Mentre i tempi di attesa mediani sono diminuiti a livello globale e nelle Americhe, i tempi di attesa sono aumentati nell’area APAC ed EMEA, dove i team addetti alla sicurezza continuano a scoprire gli attacchi del passato.
TEMPO DI ATTESA MEDIANO A LIVELLO GLOBALE
600
500
400
300
200
100
020182017
ANNI
TEM
PO D
I ATT
ESA
(IN G
IORN
I)
Il tempo di attesa è il numero di giorni di presenza dell’aggressore sulla rete di una vittima, tra la prima evidenza di compromissione fino all’e�ettivo rilevamento.
Nel 2018, il 31% delle compromissioni sulle quali abbiamo indagato prevedeva un tempo di attesa di 30 giorni o meno, rispetto al 28% del 2017. Ciò può dipendere da un aumento delle compromissioni a scopo finanziario, come ad esempio attacchi ransomware, che tendono ad avere un impatto immediato sulle organizzazioni colpite, ma che vengono immediatamente rilevati.
DISTRIBUZIONE GLOBALE DEL TEMPO DI ATTESA
EMEA APACGLOBALE AMERICHE
10176
175
2016
99 99106
172
498
78 71
177204
TEMPO DI ATTESA (IN GIORNI)
0-7
201-3
008-
1415
-30
31-4
5
46-60
61-75
76-9
0
91-150
151-2
00
901-1000
301-4
00
401-500
501-6
00
601-700
2000+
701-8
00
801-9
00
1000-2
000
20
15
10
5
0
15%
7%
9%7% 7%
10%
6% 6%7%
3%1%
4%
2% 1%0 1%
7%
4%
2%
INDA
GINI
NEL
201
8 (P
ERCE
NTUA
LE)
CLIE
NTI C
HE H
ANNO
RIS
POST
O A
GLI I
NCID
ENTI
(PER
CENT
UALE
)
11%
SANITARIO FORMAZIONEFINANZIARIO
FINANZIARIO SANITARIO FORMAZIONE
13%
18%
PRIMI 3 SETTORI NUOVAMENTE COLPITI
20
15
10
5
0
PERC
ENTU
ALE
FONTI DI NOTIFICA DELLE VIOLAZIONI
Dal 2015 le organizzazioni stanno migliorando il processo interno di scoperta delle compromissioni, rispetto alle notifiche ottenute da fonti esterne.
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
02011 2012 2013 2014 2015 2016 2017 2018
ESTERNA INTERNA
94%
63%67% 69%
53%
47%
38%41%
6%
37%33% 31%
47%
53%
62%59%
DATA NOME: 19 DICEMBRE 2018NOME: APT40 ORIGINE O NAZIONE FINANZIATRICE: CINA
SUDEST ASIATICO
PRINCIPALI OBIETTIVI DI SETTORE
AVIAZIONE
CHIMICO
DIFESAFORMAZIONE
PRINCIPALI OBIETTIVI REGIONALI
SUDEST ASIATICO PUBBLICA AMMINISTRAZIONE
HIGH-TECH
MARITTIMORICERCA
APT40
12982342982639874293847293847293847293847293847293874298374298347293847293568420394820394802936293874923874293879283473847293847293847987383872384798729APT39
DATA NOME: 12 DICEMBRE 2018NOME: APT39 ORIGINE O NAZIONE FINANZIATRICE: IRAN
MEDIO ORIENTE
IRAN
PRINCIPALI OBIETTIVI DI SETTORE
HIGH-TECH
TELECOMUNICAZIONI
TRASPORTIVIAGGI
PRINCIPALI OBIETTIVI REGIONALI
MEDIO ORIENTE
CINA
3427
3894
7230
9483
0293
84
34273
89472309483029384
34273894723094830293843427389472309483029384
342738947230948302938434273894723094
83029384
APT38
DATA NOME: 2 OTTOBRE 2018NOME: APT38 ORIGINE O NAZIONE FINANZIATRICE: COREA DEL NORD
COREA DEL NORD
SISTEMI FINANZIARI INTERBANCARI
ISTITUTI FINANZIARI
PRINCIPALI OBIETTIVI DI SETTOREPRINCIPALI OBIETTIVI REGIONALI
REGIONI IN VIA DI SVILUPPO ECONOMICO
APT37
DATA NOME: 19 FEBBRAIO 2018NOME: APT37 ORIGINE O NAZIONE FINANZIATRICE: COREA DEL NORD
MEDIO ORIENTE
COREA DEL NORD
ENTI SANITARI
ELETTRONICA
INDUSTRIA MANIFATTURIERA
PRINCIPALI OBIETTIVI DI SETTORE
AUTOMOBILISTICO
CHIMICO
AEROSPAZIALE
PRINCIPALI OBIETTIVI REGIONALI
GIAPPONE
MEDIO ORIENTE
COREA DEL SUDVIETNAM
COREA DEL SUD
GIAPPONE
VIETNAM
REGIONI IN VIA DI SVILUPPO ECONOMICO
© 2019 FireEye, Inc. Tutti i diritti riservati. FireEye è un marchio registrato di FireEye, Inc. Altri marchi, nomi di prodotto e servizi sono o possono essere rivendicati come proprietà di terzi.F-EXT-IG-US-EN-000187-01
1 Parliamo di “clienti presi nuovamente di mira” quando FireEye gestisce il rilevamento e la risposta agli attacchi per precedenti clienti Mandiant che avevano risposto a incidenti e avevano subito un attacco significativo negli ultimi 19 mesi da parte dello stesso gruppo di hacker o da gruppi con motivazioni simili.
Scarica il report completo M-Trends 2019 >
M-TRENDS 2019REPORT SPECIALE FIREEYE MANDIANT
MIGLIORAMENTI PROGRAMMATICI Sulla base di tre problemi comuni che abbiamo osservato durante le indagini aziendali nel 2018, raccomandiamo tre modifiche programmatiche allo scopo di migliorare la reazione e la soluzione degli incidenti.
Garantire che i piani di risposta agli incidenti, i casi d’uso e i programmi includano processi di conservazione delle prove.
RACCOMANDAZIONE
Condurre revisioni periodiche dei piani di risposta agli incidenti, dei casi d’uso e dei programmi, includendo linee guida sui tempi di eliminazione.
MANCANZA DI INDAGINII programmi di risposta agli incidenti non dispongono di passaggi che potrebbero aiutare a comprendere il contesto o stabilire la necessità di un’analisi approfondita, con conseguente mancato rilevamento di violazioni di maggior entità e tempi di attesa più lunghi.
TEMPI DI CORREZIONE INADEGUATILe aziende rispondono troppo rapidamente a una violazione, cosa che non consente di eliminare l’aggressore, complica le indagini e prolunga la violazione.
DISTRUZIONE DELLE PROVEIl modello di “ripristino dell’immagine e sostituzione” per la risposta agli incidenti può distruggere prove preziose, lasciando senza risposta le domande chiave.
RACCOMANDAZIONE
Sviluppare linee guida per comprendere il contesto delle minacce identificate e stabilire procedure di riferimento ad analisti più esperti.
RACCOMANDAZIONE
• Applicare un modello di architettura multi-livello per limitare l’accesso agli account con privilegi
• Implementare “jump box” dedicate e isolate/workstation ad accesso privilegiato (PAWS) per le funzioni di amministrazione
• Utilizzare il gruppo di sicurezza Protected Users Active Directory per gli account sensibili e con privilegi
• Usare profili VPN separati per gli amministratori
GESTIONE DEGLI ACCOUNT CON PRIVILEGI
La premediazione sta proattivamente implementando iniziative comuni incentrate sulla correzione
PREMEDIAZIONEMolti degli incidenti esaminati nel 2018 avrebbero potuto essere evitati o contenuti rapidamente se le aziende colpite avessero implementato proattivamente dei miglioramenti comuni incentrati sulla correzione.
• Sintonizzare i meccanismi di visibilità e rilevamento nel proprio ambiente
• Documentare gli account di servizio basati sul dominio per velocizzare il ripristino delle password aziendali
• Progettare la propria architettura di rete in modo da segmentare e limitare le comunicazioni tra i sistemi
ATTEGGIAMENTO GENERALE
• Esaminare l’architettura globale e l’attendibilità, concentrandosi sulla direzione dei controlli di a�dabilità e sicurezza
• Esaminare i processi operativi e le strategie di monitoraggio e ra�orzamento
RAFFORZAMENTO DELLA ACTIVE DIRECTORY
• Utilizzare le impostazioni dei criteri di gruppo per applicare i controlli di protezione di Microsoft O�ce
• Esaminare e ridurre l’ambito degli utenti standard con autorizzazioni amministrative locali sugli endpoint
• Verificare che gli account degli amministratori locali integrati dispongano di password univoche e casuali in tutti gli endpoint
• Applicare la segmentazione negli endpoint per impedire movimenti laterali
RAFFORZAMENTO DEGLI ENDPOINT
Condurre una valutazione della compromissione durante l’acquisizione per identificare eventuali compromissioni attuali o precedenti
Eseguire una revisione proattiva per cercare prove delle potenziali attività di attacco all’interno delle reti originarie e acquisite, prima di integrarle
Verificare i diritti per identificare gli account che hanno accesso alla posta elettronica di altri utenti
Disabilitare l’inoltro automatico di e-mail al di fuori delle aziende o verificare regolarmente le regole di inoltro sui mail server per rilevare le prove di questa tecnica
Abilitare la connessione verificata su O�ce 365
Abilitare l’autenticazione multi-fattore su O�ce 365
RACCOMANDAZIONIEcco alcune strategie di mitigazione e rilevamento da considerare durante il processo di funzione e acquisizione (M&A):
1
2
3
4
5
6
RISCHI DEL PROCESSO M&A
Le azioni di fusione e acquisizione (M&A) includono attività di “due diligence” e integrazione che devono rispettare scadenze rigorose. Nella fretta, i dirigenti integrano le reti senza risolvere i problemi di sicurezza, mettendo a rischio sia l’azienda principale che l’azienda acquisita.
Una volta che gli aggressori hanno ottenuto l’accesso, creano regole di inoltro, esportazione o reindirizzamento. Ciò consente loro di mantenere l’accesso alla posta elettronica senza la necessità di e�ettuare l’autenticazione nell’ambiente.
INOLTRO E REINDIRIZZAMENTO
Gli aggressori hanno sfruttato le vulnerabilità delle configurazioni di Outlook in modo che, dopo avere e�ettuato l’accesso, le vittime venivano reindirizzate dal sistema alla pagina Web dell’aggressore, compromettendone la sicurezza attraverso un malware.
INSTALLAZIONE DI MALWARE
Nel 2018, abbiamo osservato un aumento degli aggressori che utilizzavano account e-mail compromessi per inviare messaggi e-mail di phishing ai colleghi degli utenti. Tale azione è particolarmente e�cace nei casi di M&A perché i dipendenti sono in attesa di comunicazioni, a volte non richieste, tra le aziende.
PHISHING
Gli aggressori sfruttano l’accesso agli account e-mail compromessi durante le operazioni di M&A per bypassare l’autenticazione multi-fattore mediante token (soft-token) basata su SMS, e-mail e software.
BYPASS DELL’IDENTIFICAZIONE MULTI-FATTORE
© 2019 FireEye, Inc. Tutti i diritti riservati. FireEye è un marchio registrato di FireEye, Inc. Altri marchi, nomi di prodotto e servizi sono o possono essere rivendicati come proprietà di terzi. F-EXT-IG-US-EN-000188-01
Scarica il report completo M-Trends 2019 >
M-TRENDS 2019 M-TRENDS 2019REPORT SPECIALE FIREEYE MANDIANT