Sfide SOC: come proteggersi dalle minacce all’identità

Man mano che gli attacchi informatici diventano sempre più sofisticati con l’evoluzione di tattiche, tecniche e procedure (TTP) e obiettivi, i team del Security Operations Center (SOC) svolgono un ruolo cruciale nella salvaguardia delle organizzazioni proteggendo le identità dei dipendenti e l’accesso ai dati aziendali.

Oggi, il ruolo evoluto dei team SOC è quello di combattere le minacce progettate specificamente per eludere il rilevamento. Mentre i criminali investono nella nuova tecnologia di infostealer malware-as-a-service, sottraendo dati da tutti i tipi di dispositivi e trovando modi per aggirare o eludere l’autenticazione, la responsabilità di creare piani di prevenzione e risposta ricade sul SOC.

Al centro di queste sfide SOC ci sono crescenti minacce all’identità che esulano dai normali confini dei team e che stanno spingendo al limite gli strumenti di sicurezza esistenti.

Quindi, team di sicurezza, non siete pazzi se pensate che il vostro lavoro sia duro. È un lavoro incessante (e talvolta ingrato) salvaguardare le identità digitali dei dipendenti e proteggere i dati aziendali. In questo blog, diamo uno sguardo più approfondito a ciò che devi affrontare in modo da poter comprendere più chiaramente come affrontare le sfide del SOC moderno.

Sfida n. 1: L’elemento umano

Un mondo digitale in cui i dipendenti possano lavorare è conveniente, ma sappiamo tutti che ha un costo in termini di sicurezza. Il comportamento umano rappresenta un ostacolo significativo per i team SOC, con oltre l’ 82% delle violazioni avviate da un errore umano.

Essendo la prima linea di difesa della rete aziendale, i dipendenti svolgono un ruolo fondamentale nella prevenzione delle minacce informatiche. Ma tutto, dalla mancanza di consapevolezza del phishing, alle tattiche di ingegneria sociale, alla scarsa igiene delle password, rende i lavoratori bersagli involontari per gli attacchi informatici.

Il comportamento umano involontario può favorire l’accesso non autorizzato, aprendo la porta a infezioni malware, violazioni di dati, credenziali rubate e cookie di sessione, che possono poi portare ad attacchi mirati come ATO, ransomware e altri risultati spiacevoli.

Le tendenze del comportamento umano spesso costringono i team SOC a distogliere l’attenzione dalla prevenzione di sofisticate minacce all’identità e da altre misure di sicurezza strategiche.

Password Fatigue

  • Utilizzo di password comuni o indovinabili
  • Utilizzando la stessa password per più account
  • Riutilizzare le password che sono state precedentemente esposte

Mancanza di consapevolezza e formazione sulla sicurezza:

  • Non riconoscere tentativi di ingegneria sociale o truffe di phishing
  • Cliccare su collegamenti su siti Web dannosi
  • Apertura di file e clic su annunci che installano inavvertitamente malware

Dare priorità alla comodità rispetto alla sicurezza

  • Sincronizzazione delle password (inclusa quella di lavoro) tra i browser su vari dispositivi
  • Utilizzo di pratiche shadow IT e shadow data

Sfida n. 2: espansione dei perimetri oltre il dispositivo gestito

L’adozione diffusa delle policy BYOD (Bring Your Own Device) e l’affidamento ad app e servizi ospitati da terze parti per condurre affari hanno introdotto vulnerabilità significative nell’attuale ambiente di sicurezza, oltre a qualsiasi shadow IT e shadow data utilizzati dai dipendenti. Ciò crea ulteriori sfide per i team SOC nel monitorare e gestire il crescente rischio di accesso non autorizzato. Mentre le organizzazioni bilanciano la comodità di integrare il lavoro nella vita quotidiana, i team di sicurezza devono evolversi e pensare oltre il dispositivo gestito.

L’adozione diffusa delle policy BYOD (Bring Your Own Device) e l’affidamento ad app e servizi ospitati da terze parti per condurre affari hanno introdotto vulnerabilità significative nell’attuale ambiente di sicurezza, oltre a qualsiasi shadow IT e shadow data utilizzati dai dipendenti. Ciò crea ulteriori sfide per i team nel monitorare e gestire il crescente rischio di accesso non autorizzato. Mentre le organizzazioni bilanciano la comodità di integrare il lavoro nella vita quotidiana, i team di sicurezza devono evolversi e pensare oltre il dispositivo gestito.

I dipendenti insoddisfatti delle soluzioni IT possono aumentare il rischio aziendale:

  • Utilizzo di un servizio di archiviazione cloud personale per archiviare file di lavoro
  • Installazione di un’applicazione software non approvata sul computer di lavoro 
  • Connessione di un dispositivo personale alla rete aziendale

E per comodità, possono aumentare il rischio:

  • Controllare la posta elettronica o modificare un documento condiviso dal dispositivo personale
  • Utilizzo del dispositivo pubblico o di un amico per accedere ai file di lavoro
  • Consentire agli appaltatori di utilizzare un dispositivo personale per accedere alla rete aziendale

Con i cambiamenti nel modo e nel luogo in cui lavorano i dipendenti, le credenziali danno accesso alla loro intera identità digitale. Poiché le credenziali vengono rubate e utilizzate più frequentemente dai criminali per compromettere gli account, ciò mette a rischio le identità digitali, i dati aziendali e l’IP critico dei dipendenti. Le credenziali sono più di un semplice nome utente e password. Ogni livello di autenticazione è una credenziale. Questo accesso è la nuova moneta per i criminali .

Sfida n. 3: una superficie di attacco in crescita

I team SOC hanno una visibilità limitata su come, dove e su quale dispositivo lavorano i dipendenti. Secondo HackerOne, il 52% delle organizzazioni non sa quanta parte della propria superficie di attacco è protetta . Ciò può comportare diversi percorsi per i criminali informatici che tentano di rubare dati riservati. I team SOC spesso non dispongono delle informazioni necessarie provenienti dai registri malware e dai cookie di sessione rubati dai dispositivi infetti per andare oltre i piani di riparazione dei dispositivi più ovvi. Ciò non tiene conto delle esposizioni nascoste di accessi aziendali compromessi sui dispositivi personali. Il nostro rapporto sulla preparazione al malware del 2023 ha rilevato che ogni infezione da malware espone all’accesso a una media di 26 applicazioni aziendali !  

Sfida n. 4: Troppe informazioni sbagliate

Un recente sondaggio tra i team SOC condotto da Tines ha rivelato che il 37% dei team ha indicato “troppi dati, non abbastanza informazioni” come la sfida principale. I team SOC sono sommersi da dati di sicurezza e informazioni sulle minacce mercificati e faticano a trasformarli in informazioni fruibili. I team SOC desiderano ampliare le proprie analisi con flussi di lavoro automatizzati, ma lo sforzo umano spesso richiesto per interpretare dati di informazioni sulle minacce goffi e talvolta inaffidabili o di bassa qualità rende tutto ciò difficile. L’automazione dei flussi di lavoro critici con dati di cui non ci si può fidare completamente comporta potenziali problemi a valle, con falsi positivi o processi interrotti.

Sfida n. 5: Strumenti disallineati, con lacune

I team SOC non sono soli nella loro missione di proteggere le identità digitali dei dipendenti; ogni team adiacente, da ITOps a CTI, desidera gli stessi risultati aziendali. Ma i team SOC sono isolati nel loro massimo supporto per prevenire gli attacchi informatici grazie al portafoglio di strumenti disponibili. Hai a che fare con strumenti di sicurezza acquistati per aiutare più team e i loro flussi di lavoro, il cui output dipende fortemente dalla qualità dei dati. L’indagine di Tines ha inoltre evidenziato che il 49% degli intervistati dispone di troppe console e strumenti diversi per indagare sugli incidenti , il che si traduce in lacune e ritardi nella risposta agli incidenti e nell’identificazione dei rischi. Queste lacune sono il luogo in cui prosperano i criminali informatici.

Come iniziare a risolvere alcune di queste sfide comuni dei SOC oggi stesso

Vedere questo lungo elenco di sfide potrebbe confermare il motivo per cui a volte la tua squadra si sente con le spalle al muro? Anche se è un po’ scoraggiante, inizia ad affrontare ciò che puoi cambiare a breve termine, a partire dai dati che inserisci per rilevare e rimediare alle esposizioni all’identità dei dipendenti. Questa è la parte del puzzle in cui SpyCloud può avere un impatto per il tuo team. 

Ecco alcune domande da porre riguardo al tuo attuale fornitore di informazioni sulle minacce:

  • Ricevo avvisi tempestivi che indicano l’intera portata delle violazioni o delle infezioni malware?
    • Ai criminali non interessa da dove provengono i dati e cercheranno punti di ingresso nei dati rubati indipendentemente dal dispositivo o dalla posizione del dipendente. La nostra analisi della criminalità informatica traccia correlazioni tra miliardi di record che sono stati rubati e distribuiti da criminali, rivelando una visione completa delle esposizioni dei tuoi dipendenti in modo da poter prendere decisioni sulla revoca dell’accesso, sulla reimpostazione delle password e sull’invalidamento delle sessioni.
  • I dati vanno oltre le password per darmi visibilità sull’intera identità digitale dei miei dipendenti?
    • I criminali possono ottenere l’accesso non autorizzato alla tua rete e alle tue applicazioni con altre credenziali e risorse, non solo con le password. Mentre le organizzazioni si orientano verso l’autenticazione senza password, i criminali trovano il modo di creare falle anche nei sistemi di autenticazione più sofisticati. Con questo cambiamento, ti consigliamo di disporre di un piano per difenderti dal bypass dell’autenticazione e dal dirottamento della sessione .
  • I dati includono esposizioni che vanno oltre i dispositivi gestiti dai dipendenti O le applicazioni ospitate che utilizziamo?
    • Questa ampiezza di conoscenze è necessaria per prevenire attacchi successivi e riparare l’intera infezione, non solo un dispositivo. SpyCloud Compass offre al tuo team visibilità delle minacce al di fuori del controllo aziendale, inclusi i dispositivi infetti da malware non gestiti (e sottogestiti) utilizzati da dipendenti, appaltatori e fornitori, nonché tutte le applicazioni di terze parti esposte a cui si accede da questi dispositivi.
  • Mi fido abbastanza dei dati per alimentare flussi di lavoro a mani libere?
    • Sei intelligente nel voler automatizzare più attività con dati di cui ti puoi fidare. Dedica tempo alla creazione di passaggi di risoluzione personalizzati nei playbook e all’assegnazione di attività, senza analizzare la precisione di ogni nuovo record pubblicato dal tuo feed. SpyCloud offre integrazioni API pronte all’uso con i principali fornitori di SIEM, SOAR, XDR, TIP e altro ancora.

Continua a concentrarti su ciò che conta per proteggere la tua attività. E continua a controllare mentre evolviamo la nostra protezione aziendale per salvaguardare le identità digitali dei tuoi dipendenti e proteggere i tuoi dati aziendali, soprattutto dalle forme più recenti di minacce informatiche.

Di Taylor Coppock

Articolo originale

Pagina SpyCloud su sito DotForce

PUBBLICATO DA:<br>Fabrizio Bressani
PUBBLICATO DA:
Fabrizio Bressani
Managing Director, DotForce

ARTICOLI CORRELATI

Battaglia al Ransomware, un tag alla volta

Battaglia al Ransomware, un tag alla volta

Nell'ottobre 2023, nell'ambito del Ransomware Vulnerability Warning Pilot  (RVWP), il CISA ha iniziato a contrassegnare voci nel loro catalogo di Known Exploited Vulnerabilities (KEV). Questo campo indica se sono noti exploit per una determinata vulnerabilità che...