Perché è importante External Attack Surface: analisi sulle attività minacciose correlate all’APAC

Una considerevole attenzione all’interno dell’industria della sicurezza informatica è stata posta sulla superficie di attacco delle organizzazioni, dando origine alle tecnologie di gestione della External Attack Surface (EASM) come mezzo per monitorare tale superficie. Sembrerebbe un approccio ragionevole, sulla base del presupposto che una riduzione del rischio esposto legato alla superficie di attacco esterna riduca la probabilità di compromissione e potenziali interruzioni da parte delle innumerevoli gruppi di ransomware che mirano a specifiche geografie e settori.

Ma le cose non sono mai così semplici. La sfida, naturalmente, è che i rischi esterni esposti si estendono oltre i punti terminali sottoposti a scansione. Con i broker di accesso che svolgono il lavoro duro per i collaboratori del ransomware nel raccogliere informazioni, identificare i vettori di ingresso iniziali va oltre il semplice recupero di banner.

L’analisi recente di Rapid7 Labs ha esaminato la superficie di accesso esterna di vari settori all’interno della regione dell’APAC nell’ultimo semestre del 2023, con dati considerevoli disponibili ben oltre le connessioni RDP aperte e i sistemi non aggiornati. Ciò che emerge è l’entità dei dati che sembra aiutare i broker di accesso, come l’esposizione di sistemi di test o host non mantenuti su internet, o la disponibilità di credenziali trapelate. Ciascuno di questi offre la possibilità ai numerosi attori del ransomware di condurre attacchi riusciti sfruttando il duro lavoro dei broker di accesso.

Ciò che è interessante mentre consideriamo queste campagne mirate regionalmente è che la gamma di gruppi di minacce è piuttosto ampia, ma il gruppo più prevalente varia in base alla geografia o al settore mirato. (Si prega di notare che questi dati precedono il possibile exit scam segnalato e quindi non lo tengono in considerazione.)

Il grafico seguente mostra i settori mirati e i vari gruppi di minacce che li prendono di mira all’interno dell’Australia:

Se confrontiamo i gruppi più prevalenti in Giappone, tuttavia, il panorama cambia leggermente:

Tutto ciò concentra l’attenzione su questo concetto di intelligence operativa azionabile. Tipicamente, le organizzazioni hanno adottato un approccio “taglia unica” alla prioritizzazione del rischio; tuttavia, un approccio più sfumato potrebbe essere quello di considerare i gruppi di minacce che prendono di mira un determinato settore di un’organizzazione come una priorità più elevata.

La necessità di entrare in questo nuovo mondo delle operazioni di sicurezza guidate dall’intelligenza è molto chiara, e la si percepisce quasi quotidianamente. In un anno abbiamo assistito a un aumento fondamentale del livello di capacità da parte di gruppi di minacce il cui modus operandi precedente era radicato nell’identificazione di credenziali trapelate, ma che ora agiranno tranquillamente con vulnerabilità zero-day.

Il nostro approccio all’interno di Rapid7 Labs è quello di fornire contesto ogni volta che possibile. Invitiamo vivamente i lettori a sfruttare risorse come AttackerKB per comprendere meglio il contesto di queste CVE, o ad esempio Metasploit per convalidare se le segnalazioni dalla loro scansione esterna richiedono un aggiornamento di sicurezza fuori ciclo. Questi, naturalmente, sono solo la punta dell’iceberg, ma il nostro approccio rimane costante: il contesto è fondamentale, così come lo è l’agilità. Ci troviamo di fronte a più rumore che mai, e ogni misura che può essere utilizzata per filtrarlo dovrebbe essere una parte critica delle operazioni di sicurezza.

Articolo originale

Scopri la pagina del vendor sul nostro sito

PUBBLICATO DA:<br>Sara Guglielmi
PUBBLICATO DA:
Sara Guglielmi
Marketing

ARTICOLI CORRELATI