Tim Brown, vicepresidente della sicurezza di SolarWinds MSP, ha iniziato il suo intervento all’Empower MSP Amsterdam 2018 esaminando come stanno attualmente le cose nel panorama delle minacce.

“Abbiamo visto una serie di cose diverse nel 2017, ma ci sono un paio di cose che risaltano davvero”, ha detto Tim. “Per cominciare, il 58% delle vittime sono classificate come piccole imprese; il 68% delle violazioni ha richiesto un mese o più per essere scoperte; l’assistenza sanitaria, le strutture ricettive e il settore pubblico costituiscono la più grande percentuale di vittime, con la posta elettronica che continua a essere la via principale degli attacchi; e il 76% delle violazioni era motivato finanziariamente. “

“Come fornitore di servizi gestiti”, ha detto, “devi capire che stai entrando in un nuovo ambiente ed è importante capire che quando assumi un nuovo cliente, ci sono buone probabilità che sia stato compromesso o che stia per essere compromesso e dovrai agire di conseguenza”.

Tim ha continuato ad esaminare i diversi modelli di monetizzazione attualmente utilizzati dai criminali informatici. “Le persone non rinunceranno a trojan finanziari o malware”, ha detto, “e sia il ransomware che il mining delle monete hanno subito un cambiamento”.

“Il ransomware è stato molto importante nel 2016 e le cose sono cambiate nel 2017, con il risultato di un minor numero di nuove famiglie e di più varianti all’interno delle stesse famiglie. Questo è un indicatore che un attaccante meno sofisticato si è unito al gioco ransomware “, ha detto Tim. L’estrazione di monete, d’altra parte, ha seguito il prezzo della criptovaluta. Nel momento in cui la criptovaluta è aumentata, così ha fatto il numero di attività associate alla criptovaluta.

Tim ha continuato a parlare in generale di cos’è la criptovaluta. “Non è malizioso come il ransomware”, ha detto. “Sta solo rubando la potenza di elaborazione della macchina. Se fatto bene, la gente non se ne accorgerà nemmeno … è solo un altro modello di monetizzazione. Il punto qui è che i cattivi si trasformano rapidamente per approfittare di nuove opportunità e modelli di business “.

Qual’è il settore più preso di mira

Secondo Infoguard Cyber ​​Security , le industrie più mirate sono:

  1. Assistenza sanitaria

  2. Servizi finanziari

  3. Produzione

  4. Governo

  5. legale

Secondo Cyberedge Group , le industrie più mirate sono:

  1. Formazione scolastica

  2. Telecomunicazioni e tecnologia

  3. Produzione

  4. Finanza

  5. Governo

  6. Assistenza sanitaria

  7. Al dettaglio

“La motivazione principale per l’attacco sono i dati”, ha detto Tim. “Perché l’assistenza sanitaria è presa di mira più di altri settori? Perché le cartelle cliniche sono preziose all’esterno. Inoltre, i “cattivi” sanno che rivolgersi all’assistenza sanitaria con il ransomware è redditizio perché pagheranno per riavere la loro infrastruttura. L’assistenza sanitaria è una tempesta perfetta di opportunità per gli hackers, anche perchè spesso l’infrastruttura non è adeguatamente protetta.

Tim ha continuato a spiegare in che modo le diverse industrie sono prese di mira per ragioni diverse, ma molto spesso, gli attaccanti lancianoi un attacco ad ampio spettro, e poi vedono chi colpisce e chi viene sfruttato.

Tuttavia, uno degli aspetti chiave che Tim ha sottolineato è stata la capacità dei cattivi di muoversi velocemente. Prendendo spunto dalla perdita del Vault 7, ha detto: “Entro un mese dalla perdita, abbiamo visto gli exploit Eternal Blue utilizzati nell’attacco WannaCry. Non c’è voluto molto tempo per riconoscere e creare ransomware che si diffondono molto rapidamente.

“Tuttavia, Eternal Blue aveva una patch che è diventata disponibile a marzo. Ciò che è accaduto e che molte persone nelle aziende non si sono rese conto di aver bisogno di prendere questa patch seriamente e di aggiornarsi rapidamente. Le macchine prive di patch sono ancora là fuori e vengono compromesse perché le persone non hanno i processi giusti “.

 

Alcuni dei diversi metodi di attacco utilizzati

1. Trojan finanziari

“I Trojan finanziari sono ancora una preoccupazione importante”, ha affermato Tim. “Focalizzati sulla frode e sul furto di credenziali, ora sono più silenziosi e robusti. Stanno ancora crescendo e si sono sviluppate alcune diverse categorie. Abbiamo visto una pausa lo scorso anno prima di un enorme picco tra settembre e dicembre. Questo di solito si verifica quando un gruppo trova un Trojan efficace e decide di usarlo in massa. Gli attori delle minacce lavorano bene insieme e questo si diffonderebbe molto rapidamente. “

 

2. Ransomware

“Il ransomware continua a essere un metodo di attacco popolare poiché offre un modo diverso di monetizzare. I trojan finanziari entrano in una macchina per estrarre dati e quindi venderli. Il ransomware rimuove il passaggio di exfiltrazione “, ha affermato Tim. “Ciò che è cambiato è che gli aggressori di ransomware guardano al di là dell’attacco dei PC degli utenti finali e si concentrano invece sull’azienda o persino sul livello delle infrastrutture delle città. Questo modello di sfruttamento non sparirà, poiché è efficace e ha dimostrato di funzionare.

C’è anche un altro livello di attacchi ransomware in quanto sono spesso usati per coprire un diverso tipo di attacco, dove gli hacker hanno rubato l’IP e poi istituito un attacco ransomware per coprire le loro tracce. “

 

3 . Estrazione di monete o cripto-estrazione

“C’è stato un enorme aumento nella cripto-estrazionea a dicembre 2017, in coincidenza con un picco nel valore della criptovaluta”, ha affermato Tim. “Invece di creare una banca di processori per estrarre la cripto-valuta, i cattivi hanno cercato un altro modo per guadagnare soldi rubando il potere di elaborazione degli altri. È un’attività legittima che utilizza processori illegittimi. Gli aggressori stanno ottenendo l’accesso a queste macchine come parte di un attacco spray: si tratta di attacchi non sofisticati gestiti da attori non sofisticati della minaccia. La cosa importante da ricordare è che la comunità degli attaccanti è pronta a muoversi quando vede una nuova opportunità ed è sempre alla ricerca di modi per aumentare le entrate “.

 

Cosa significa tutto questo

Ciò che gli MSP devono capire è che tutto ciò significa che gli attacchi non spariranno e continueranno a cambiare. Ma c’è un problema, avverte Tim. “I bravi ragazzi a volte sono inavvertitamente i cattivi. C’è una grande mossa per rendere il codice più sicuro migliorando la qualità e il test del codice; c’è stata anche un’enorme ripresa del ‘white-hat hacking’. Nel complesso, questo ha avuto un grande effetto sui fornitori nel creare aggiornamenti, ma significa anche che le vulnerabilità vengono annunciate prima che le persone possano intervenire in modo appropriato, a volte i bravi ragazzi stanno effettivamente aiutando i cattivi. Come MSP, devi essere consapevole di questo e avere un programma di patch in grado di applicare rapidamente patch e protezioni. “

Ciò che è importante dal punto di vista di un MSP è chi sono gli aggressori e cosa stanno facendo. “La maggior parte degli attacchi non sono zero days attack”, ha aggiunto Tim. “Sono contro sistemi o applicazioni erroneamente configurati. Questo sta accadendo ogni giorno. Se si installa un server Windows con un SQL Server senza patch, durerà pochi minuti su una rete Internet aperta prima di essere scansionato. I sistemi che utilizzano la password predefinita, non sono corretti, o non sono configurati correttamente, vengono compromessi rapidamente. La buona cyberhygiene è il metodo più efficace per prevenire la maggior parte di questi attacchi. “

Tim ha concluso dicendo che i tuoi clienti hanno bisogno di aiuto anche se pensano di no.

Obiezioni comuni dei clienti

Nella sezione successiva, Tim ha continuato a esaminare le principali obiezioni sollevate dalle società per investire in sicurezza e in che modo gli MSP possono aiutarli a risolvere il problema.

1. Non capisco, non sono un bersaglio, non ho nulla che la gente vorrebbe

“Ho sentito questo da molte organizzazioni”, ha detto Tim. “La prima cosa che le persone devono capire è che non importa quello che pensano. Se hanno sistemi senza patch o password deboli, molto probabilmente saranno infettati, indipendentemente da chi siano. I cattivi potrebbero voler solo il tuo processore per un attacco denial of service e ne approfitteranno, semplicemente perché stanno scannerizzando il mondo intero e tu sei lì. “

2. Ho già implementato alcuni strumenti di sicurezza; non è abbastanza?

“Gli strumenti da soli non creano un ambiente sicuro”, ha affermato Tim. “Devi avere una comprensione del livello di rischio che stai affrontando e di come funziona il tuo programma. Inoltre, i tuoi strumenti sono aggiornati, sono ben gestiti, stai guardando cosa proviene dai tuoi strumenti? Mettere semplicemente l’AV sugli endpoint non significa che tu sia protetto. Questo aiuterà e manterrà l’aggiornamento e il monitoraggio di ciò che sta accadendo. Le aziende devono capire che non esiste un proiettile d’argento. Un buon livello di sicurezza si riconduce a un duro e continuo lavoro “.

3. Il mio budget è al massimo, sto già spendendo abbastanza?

“Questa è una domanda valida e devi lavorare con loro su questo”, ha detto Tim. “A volte la risposta a questo può essere ‘sì’; dipende da dove si trovano tra sicurezza di base e il bisogno di maggiore sicurezza. È una questione di rischio rispetto al valore. Questa è la conversazione da fare con quelli preoccupati per il loro budget. In realtà stanno sprecando soldi perché sono troppo sicuri? “

4. La sicurezza non è una priorità per noi

“A volte, questo non è detto esattamente in questo modo, ma è sicuramente un sentimento che la gente avrà”, ha detto Tim. “La linea di fondo è che hai davvero bisogno di aiutare i tuoi clienti a raggiungere il livello minimo di requisiti. Non è appropriato per consentire loro di cadere vittima di un semplice drive-by, consentire loro di avere accesso a Internet aperto, macchine non protette o utilizzare password predefinite. C’è un insieme minimo di cose che tutti devono fare. L’area grigia è quanto si va oltre, per sapere che è necessario comprendere il rischio aziendale. Se non soddisfano i principi di base, devi considerare se la responsabilità superi i benefici di averli come clienti. “

Industrie regolamentate e altre opportunità

Tim ha anche sottolineato che i settori regolamentati sono sempre un’opportunità per gli MSP poiché soddisfare le normative di conformità avrà quasi sempre un elemento di sicurezza. Ciò significa che le aziende dovranno incontrarsi per fare affari. Sebbene non sia compito dell’MsP assumere il ruolo di revisore contabile, essi hanno una grande opportunità di aiutare le aziende a capire quali normative devono affrontare e come ottenerle sulla strada per soddisfare l’onere della conformità.

“Ricorda, un buon programma di sicurezza ti consentirà di effettuare un controllo e renderti più sicuro”, ha affermato Tim. “Ma un programma che si concentra solo sul passaggio dell’audit non ti renderà necessariamente più sicuro. Basta guardare l’empio di Target; avevano appena passato l’audit PCI quando erano stati compromessi “.

“Al di là delle industrie fortemente regolamentate, qualsiasi fornitore di servizi con dati sensibili o accesso sensibile deve affrontare rischi e ciò significa opportunità per gli MSP”, ha spiegato Tim.

Alcuni dei tipi di attività coperte qui includono:

  • Fornitori di servizi incentrati sui dati

  • Avvocati

  • Accountants

  • Agenzie di marketing

  • Qualsiasi società che raccoglie dati personali

  • Fornitori di servizi incentrati sui servizi

  • HVAC

  • Consulenti

Queste aziende spesso si connettono virtualmente ai loro partner commerciali, lasciandoli aperti a potenziali attacchi: il fornitore di HVAC e Target. Inoltre, gli utenti potrebbero non essere particolarmente esperti di tecnologia in molte di queste industrie e gli attacchi di insider dannosi possono essere un problema reale, come un ex-paralegal insoddisfatto che ruba documenti privilegiati.

Infrastruttura critica

“Una cosa importante da sapere è che abbiamo anche un’altra classe di aggressori là fuori”, ha avvertito Tim. “Questi sono attacchi mirati da parte di gruppi appositamente pagati. Al momento, abbiamo circa 140 gruppi di attacco mirati. Mentre stanno usando un piccolo numero di attacchi zero day, stanno anche usando un gran numero di attacchi sfruttando la mancanza di un buona cyber igiene. L’obiettivo principale di questi attacchi è la raccolta e il controllo delle informazioni, il che significa che è improbabile vederli fare attacchi rumorosi come il ransomware. Sono silenziosi, pazienti, organizzati e difficili da fermare. Se si dispone di clienti che rientrano in questa fascia, è importante capire che è necessario disporre di una buona igiene e quindi eseguire alcuni controlli aggiuntivi sull’identità e sullo spazio del perimetro per garantire che gli attacchi non possano diffondersi all’infrastruttura critica. “

Un’altra cosa fondamentale da considerare qui è che i sensori IoT, ecc., possono aprire buchi nell’ambiente.

Tim ha terminato ricordando a tutti che la nostra comunità è nostra responsabilità.

“I regolamenti e le minacce informatiche indicano che la sicurezza informatica è un grande business per gli MSP”, ha concluso Tim. “Come consulenti fidati per i nostri clienti, la sicurezza informatica non è solo la nostra opportunità, è nostra responsabilità.”