Come fermare il diluvio di dati esposti tramite DNS Filtering

20/02/2021
Nel 2020, 37 miliardi di record di dati sono stati segnalati a seguito di violazioni dei dati. Le violazioni dei dati costano denaro, reputazione e tempo per essere corrette e i criminali informatici non sembrano mai stancarsi di creare metodi di attacco sofisticati e complessi per contrastare le misure di sicurezza. Una volta persi, i dati rubati diventano il dono che continua a dare, poiché i dati vengono venduti per essere utilizzati in una serie di ulteriori atti fraudolenti. Misure di sicurezza positive come le soluzioni di filtraggio intelligente dei contenuti tramite DNS possono ribaltare la situazione sui criminali informatici e, osservando le recenti violazioni dei dati, un’organizzazione può capire quali misure sono necessarie per rendere il suo atteggiamento di sicurezza informatica abbastanza positivo da fermare il flusso di dati esposti.

Analisi di una recente violazione dei mega dati

Nitro PDF è un servizio utilizzato per firmare digitalmente, spesso sensibili, documenti e contratti aziendali. L’azienda è stata vittima di un recente attacco informatico che ha portato alla violazione dei dati personali di oltre 77 milioni di utenti. La società ha agito rapidamente e ha inserito un avviso sul proprio sito Web con alcuni dettagli della violazione e le azioni correttive.

Tuttavia, è stato da allora troppo tardi, e un gruppo di hacker noto come ‘ShinyHunters’, aveva messo i dati rubati in vendita : Questi dati inclusi in tutto 1 TB di documenti PDF, insieme con i set di dati di 77 milioni di utenti, compresi i nomi, indirizzi e-mail e password con hash bcrypt. Il furto ha colpito molte grandi aziende tecnologiche tra cui Amazon, Google e Microsoft. L’attacco al servizio di Nitro è stato identificato nel settembre 2020. Tuttavia, nel maggio 2020, Cisco Talos ha pubblicato diverse vulnerabilità trovate nel servizio “Pro” di Nitro, attivate da un utente che esegue codice dannoso, come quello trovato in molti siti Web di phishing o allegati di posta elettronica. .

Il gruppo di hacker ShinyHunters è stato responsabile di numerosi attacchi, inclusa una violazione che ha coinvolto i repository GitHub privati ​​di Microsoft . Dall’attacco a Nitro, ShinyHunters è stato coinvolto in diverse ulteriori violazioni, esponendo quasi 130 milioni di record di dati.

ShinyHunters non è un esempio isolato. Sia gli individui che i gruppi sono alla continua ricerca di punti deboli nell’infrastruttura di un’organizzazione da sfruttare.

La caduta a lungo raggio di una violazione dei dati

I metodi utilizzati da gruppi di hacking come ShinyHunters e singoli criminali informatici sono vari e spesso possono essere sfaccettati. Le tecniche spesso coinvolgono e-mail di phishing o spear-phishing che portano al furto di credenziali di accesso che possono essere trasferite all’accesso privilegiato di dati sensibili e altre risorse. Altre tattiche di violazione includono vulnerabilità di configurazione errata del server e scarsa igiene della sicurezza e gestione delle credenziali. Questa intricata rete di tecniche connesse può portare a una scarsa efficacia delle misure preventive a meno che non venga utilizzato un approccio più intelligente. I criminali informatici continuano a scatenarsi sulle soluzioni di sicurezza tradizionali come il software antivirus perché non è un modo proattivo per fermare le minacce in evoluzione. I gruppi, come ShinyHunters, si muovono rapidamente, cambiando le loro tattiche per aggirare ed eludere il rilevamento.

Le violazioni dei dati spesso vengono alla luce solo giorni se non settimane o mesi dopo che i dati sono stati violati, aggravando così il problema di trovare la corretta prevenzione delle minacce informatiche. Durante questo intervallo di tempo, i criminali informatici esfiltrano i dati, li raccolgono, li filtrano, li posizionano su siti di aste e li trasferiscono su altri truffatori, che poi li utilizzano per commettere crimini informatici continui. Frodi come il furto di identità e l’acquisizione di account sono in aumento, con la tecnica del ” credential stuffing” utilizzata per eseguire l’accesso e il controllo fraudolento dell’account. Il risultato della perdita di dati è di vasta portata e di lunga durata. È stato dimostrato, ad esempio, che l’acquisizione di un account ha un grave impatto negativo sui commercianti e sui clienti. In un recente sondaggio sull’impatto dell’acquisizione di account, Il 65% dei clienti smetterebbe di acquistare da un commerciante se il proprio account venisse compromesso.

Il furto di dati crea una spirale di ulteriori crimini informatici che si alimentano a vicenda e rendono defunta qualsiasi misura più reattiva.

Controllo in tempo reale delle violazioni dei dati

Gli approcci statici (più reattivi) per proteggere i dati sono quasi uno straccio rosso per un toro quando si tratta di truffatori. A meno che un’organizzazione non abbia un atteggiamento proattivo di sicurezza informatica, i gruppi di hacker continueranno a scatenarsi attraverso i servizi cloud e oltre. Invece, un’organizzazione dovrebbe utilizzare un approccio che implementa misure avanzate e in tempo reale per chiudere la porta prima che il cavallo digitale sia scappato. Nel caso di gruppi di hacker come ShinyHunters, l’uso di più tecniche per hackerare i servizi cloud rende più difficile rilevare e prevenire le minacce informatiche. Una combinazione di misure mitigative è il modo per fermare questi attacchi:

  1. Protezione preventiva per bloccare le email di phishing prima che arrivino nelle caselle di posta degli utenti. Una soluzione di prevenzione della posta elettronica e dello spam impedisce alle e-mail dannose di entrare nelle caselle di posta dei dipendenti. Inoltre, lo spear-phishing può essere prevenuto scansionando le e-mail in tempo reale e bloccando le e-mail prima che raggiungano la posta in arrivo di un utente.
  2. Gli strumenti di protezione dalle minacce trasmessi dal Web, come un filtro dei contenuti HTTPS, verificano che un sito Web sia sicuro e non contenga malware. Gli strumenti possono anche verificare se un sito è un sito di phishing: se tutto va bene, un utente può quindi essere autorizzato ad accedere al file.
  3. L’uso di credenziali di accesso affidabili, come l’autenticazione a due fattori, può aiutare a impedire che le credenziali rubate vengano utilizzate nelle acquisizioni di account.
  4. La formazione sulla consapevolezza della sicurezza in tutta l’organizzazione può aiutare a prevenire problemi di igiene della sicurezza, come la condivisione delle password.
  5. Testare un sistema per rilevare i punti deboli della sicurezza rispetto alle prime dieci vulnerabilità delle applicazioni Web di OWASP , che includono aree come l’errata configurazione di server Web e database.

 

Utilizzando un approccio proattivo alla prevenzione della violazione dei dati, è possibile prevenire la furia dei cybercriminali in tutti i servizi aziendali. Leggi la nostra “Guida alla prevenzione della violazione dei dati” .

Proteggi la tua organizzazione dai criminali informatici e dalle violazioni dei dati con WebTitan. WebTitan è un filtro web avanzato che fornisce sia protezione dalle minacce alla sicurezza HTTP e HTTPS, sia filtri DNS avanzati. Avvia la prova gratuita di WebTitan

PUBBLICATO DA:<br>Fabrizio Bressani
PUBBLICATO DA:
Fabrizio Bressani
Managing Director, DotForce

ARTICOLI CORRELATI

I tre ostacoli sulla strada del passwordless

I tre ostacoli sulla strada del passwordless

In Hypr, abbiamo avuto il privilegio di osservare le aziende di tutto il mondo eliminare con successo le password per i loro clienti e dipendenti. Questi pionieri hanno stabilito lo standard e hanno dimostrato i vantaggi permessi dall'autenticazione senza password....