Il mese di ottobre è il Cybersecurity Awareness Month, un’occasione per sottolineare l’importanza di proteggere le risorse digitali. Nonostante l’adozione sempre più diffusa di AI generativa e soluzioni innovative cloud, le aziende devono ancora interfacciarsi con le sfide crescenti nella protezione dei propri ambienti digitali. A questo proposito, IBM ha pubblicato il nuovo IBM X-Force Cloud Threat Landscape Report 2024 per fornire una panoramica dettagliata sui principali rischi per la sicurezza che le aziende devono affrontare e per suggerire strategie proattive per la mitigazione del rischio.
Grazie agli approfondimenti sulle minacce, all’impegno costante nella fornitura di soluzioni per la gestione degli incidenti e alle collaborazioni con Cybersixgill e Red Hat Insights, il team X-Force di IBM offre una prospettiva esclusiva su come i cybercriminali stiano realizzando vari tipi di attacchi mirati all’infrastruttura cloud, sfruttando tecniche avanzate come gli attacchi adversary-in-the-middle (AITM) e la compromissione delle e-mail aziendali (BEC).
Secondo il report di IBM, l’interesse principale dei criminali informatici sono sempre di più le credenziali per gli ambienti cloud. Le principali minacce riguardano:
- Phishing: il phishing resta il vettore di attacco iniziale più comune, coinvolto nel 33% degli incidenti legati al cloud. Questo tipo di attacco si distingue per la sua capacità di aggirare alcune forme di autenticazione multifattoriale (MFA), aumentando il rischio di compromissione delle credenziali.
- Compromissione delle E-mail aziendali (BEC): gli attacchi BEC rappresentano il 39% degli incidenti. Gli attori delle minacce utilizzano le credenziali rubate per prendere il controllo degli account di posta elettronica e portare a termine attività malevole, come la manipolazione delle transazioni o l’intercettazione di comunicazioni sensibili.
- Furto e raccolta di credenziali: la richiesta di credenziali cloud sul dark web rimane alta, nonostante una saturazione del mercato. Il report evidenzia che l’accesso alle credenziali compromesse è il secondo vettore di attacco più comune (28%).
Cos’è il phishing AITM
Il phishing AITM rappresenta una delle minacce più sofisticate per il cloud. Questo attacco permette ai cybercriminali di posizionarsi tra la vittima e l’entità legittima, intercettando o manipolando le comunicazioni senza che la vittima se ne accorga, compromettendo la posta elettronica aziendale e acquisendo le credenziali. L’IBM X-Force evidenzia che, una volta compromesso un account, gli attaccanti possono eseguire operazioni come la raccolta di ulteriori credenziali (11%) e attacchi BEC (39%).
Utilizzare le informazioni sulle minacce alla sicurezza per aggiornare i programmi di formazione dedicati ai dipendenti dell’azienda può essere fondamentale per contribuire a mitigare tutte le forme di attacchi di phishing, compreso l’AITM. I dipendenti devono essere preparati a riconoscere con precisione e a segnalare ai team IT o ai responsabili della sicurezza le tecniche di phishing, le e-mail spoofed e i link sospetti. Anche l’integrazione di strumenti avanzati di filtraggio e protezione delle e-mail che sfruttano l’intelligenza artificiale per rilevare e bloccare i tentativi di phishing, i link e gli allegati dannosi prima che possano raggiungere gli utenti finali è una strategia di mitigazione efficace. Infine, le opzioni di autenticazione senza password, come il codice QR o l’autenticazione FIDO2, possono contribuire a proteggere dagli attacchi di phishing AITM.
Ottenere l’accesso tramite credenziali cloud è diventato più conveniente che mai
Il costo medio per credenziali cloud compromesse nel dark web nel 2024 è di 10,23 dollari, in calo del 12,8% rispetto al 2022. Questo calo di costo, oltre alla diminuzione del 20% delle menzioni complessive di piattaforme SaaS sui marketplace del dark web, potrebbe indicare che il mercato di queste credenziali sta diventando eccessivamente saturo. Tuttavia, riflette anche una crescente disponibilità di queste credenziali che gli autori delle minacce possono sfruttare prima e durante gli attacchi. Non sorprende quindi che più di un quarto degli incidenti legati al cloud coinvolga l’uso di credenziali valide, che lo rendono il secondo vettore di attacco iniziale più comune. Con la diminuzione del costo delle credenziali cloud in vendita, per i cybercriminali sta diventando più conveniente compromettere le organizzazioni accedendo con credenziali valide.
Il desiderio degli aggressori di ottenere le credenziali del cloud per scopi malevoli e profitti illeciti è evidente anche dalla continua tendenza al furto di credenziali da parte di infostealer specificamente progettati per esfiltrare le credenziali dai servizi cloud. Questa minaccia evidenzia la necessità per le organizzazioni di gestire la propria esposizione informatica e il rischio digitale. Le aziende dovrebbero cercare una soluzione che si concentri specificamente sulla scoperta, l’indicizzazione e il tracciamento di operatori, malware e dati attraverso le fonti del clear web e del deep e dark web. Il rilevamento tempestivo delle credenziali compromesse consente di adottare misure di risposta rapide, come la reimpostazione delle password e la modifica dei controlli di accesso, per prevenire potenziali violazioni future.
Un framework solido per migliorare la sicurezza del cloud
La sicurezza del cloud è particolarmente importante nell’ambiente aziendale odierno, in cui le imprese migrano sempre più spesso i dati aziendali critici dalle soluzioni on-prem agli ambienti cloud. Parallelamente a questa migrazione tecnologica si affianca un panorama di minacce informatiche in evoluzione, in cui i criminali informatici cercano attivamente di compromettere la forte dipendenza delle organizzazioni dalle infrastrutture cloud, in particolare quelle che gestiscono dati aziendali sensibili. Questa crescente dipendenza dall’infrastruttura cloud non ha fatto altro che ampliare la superficie potenziale di attacco e per questo motivo la protezione del cloud è più cruciale che mai.
Finché gli ambienti cloud delle vittime rimarranno accessibili attraverso credenziali valide, i criminali informatici continueranno a cercarli e ad utilizzarli per i loro attacchi, sia attraverso il phishing, che attraverso la compromissione delle e-mail aziendali (BEC) o la loro vendita sul dark web. Come si evince dal 2024 Cost of a Data Breach di IBM report, le implicazioni finanziarie e le interruzioni dell’attività per le organizzazioni continuano a crescere.
Questi esempi illustrano l’impatto ad ampio raggio delle credenziali rubate nel cloud, dal furto di proprietà intellettuale alla diffusione di ransomware. Gli aggressori possono utilizzare credenziali valide per non essere individuati e aggirare le misure di sicurezza standard, rendendo gli attacchi basati sulle credenziali una minaccia significativa e continua per le organizzazioni.
Adottando un approccio olistico alla sicurezza del cloud, che includa la protezione dei dati, una strategia di gestione dell’identità e dell’accesso (IAM), la gestione proattiva dei rischi e la preparazione a rispondere a un incidente nel cloud, le organizzazioni possono essere meglio preparate a difendere la propria infrastruttura e i propri servizi cloud e a ridurre il rischio complessivo di attacchi basati sulle credenziali.