Un attacco da un'isola all'altra è una campagna di hacking in cui gli autori delle minacce prendono di mira i partner di terze parti più vulnerabili di un'organizzazione per minare le difese di sicurezza informatica dell'azienda bersaglio e ottenere l'accesso alla loro rete. Un attore di minacce è un'entità che è parzialmente o completamente responsabile di un incidente che colpisce, o ha il potenziale per influenzare, il sistema di sicurezza di un'organizzazione.
Gli autori delle minacce che prendono di mira le grandi organizzazioni, anche quelle con efficaci difese di sicurezza informatica, faranno di tutto per entrare. Se l'organizzazione mirata ha solide pratiche di sicurezza informatica, gli aggressori utilizzeranno attacchi da isola a isola e sfrutteranno gli intermediari dell'azienda per penetrare nell'organizzazione originale. sistemi sicuri.
Gli attacchi da un'isola all'altra sono diventati sempre più popolari. Gli autori delle minacce utilizzano la tecnica per compromettere i sistemi di rete tra più aziende e rubare le loro risorse digitali. Le industrie più colpite dagli attacchi da un'isola all'altra includono finanza, sanità, produzione e vendita al dettaglio.
Attacchi informatici da un'isola all'altra e accesso di terze parti
Il termine island hopping deriva dalla strategia militare impiegata dagli alleati nel teatro del Pacifico contro le potenze dell'Asse durante la seconda guerra mondiale. La strategia prevedeva che gli Alleati prendessero il controllo di un'isola e la usassero come punto di lancio per l'attacco e la conquista di un'altra isola. La missione fu avviata per la prima volta nell'agosto 1942 a Guadalcanal nelle Isole Salomone.
Nella sicurezza informatica, gli hacker che saltano da un'isola all'altra prendono di mira i clienti e le aziende più piccole che lavorano con l'organizzazione vittima, assumendo che i sistemi di difesa informatica di queste entità minori non siano così estesi come l'obiettivo finale.
Allo stesso modo, se si sa che un'organizzazione ordina cibo dallo stesso sito Web, gli autori delle minacce possono mettere in scena un attacco di abbeveraggio, Dove prendono di mira quel sito, sapendo che i membri dell'organizzazione lo visitano, come un modo per ottenere l'accesso alla rete aziendale.
Come funzionano?
Gli attacchi da un'isola all'altra spesso iniziano attraverso il phishing, in cui gli aggressori si mascherano da entità rispettabili in un'e-mail o in un altro canale di comunicazione. Marchi affidabili, come Facebook e il supporto Apple, vengono spesso utilizzati negli attacchi di phishing come primo passo.
Un altro metodo comune è noto come island hopping basato sulla rete, in cui gli aggressori si infiltrano in una rete e la usano per saltare su una rete affiliata. Ad esempio, gli aggressori prenderanno di mira il provider di servizi di sicurezza gestiti (MSSP) di un'organizzazione per spostarsi attraverso le loro connessioni di rete.
In un'altra tecnica nota come compromissione della posta elettronica aziendale inversa, gli aggressori prendono il controllo del server di posta dell'azienda vittima e utilizzano attacchi malware senza file da lì. Gli attacchi malware senza file utilizzano applicazioni già installate e ritenute sicure. Pertanto, gli attacchi di malware senza file non richiedono l'installazione di software o file dannosi per avviare un attacco. Gli attacchi di compromissione della posta elettronica aziendale inversa spesso prendono di mira il settore finanziario.
Perché gli aggressori usano gli attacchi da un'isola all'altra?
Le motivazioni principali per gli attacchi da un'isola all'altra includono attività criminali, come il ransomware attacchi e cryptojacking. Ad esempio, nel 2013, gli hacker hanno preso di mira il partner per i servizi di riscaldamento, ventilazione e condizionamento (HVAC) del gigante della vendita al dettaglio Target. Target ha subito una massiccia violazione della sicurezza in cui sono stati rubati i dati di pagamento di oltre 40 milioni di clienti.
Come nel caso di Target, gli aggressori approfittano delle aziende partner più piccole perché in genere non possono permettersi lo stesso livello di sicurezza informatica delle organizzazioni più grandi. Inoltre, poiché i sistemi più piccoli sono già considerati affidabili dalla società più grande, è meno probabile che vengano notati quando vengono compromessi, rendendo più facile la diffusione dell'attacco alla rete dell'organizzazione.
Strategie di difesa da un'isola all'altra
Le strategie di difesa da un'isola all'altra includono quanto segue:
- Valuta i rischi di terze parti.
- Crea un piano di risposta agli incidenti e un team che sia finanziato e abbia gli strumenti giusti per difendere la rete.
- Richiedi che i fornitori utilizzino lo stesso MSSP preferito e lo stesso stack tecnologico dell'organizzazione.
- Avere una terza parte in risposta all'incidente sull'utilità di conservazione.
- Usa la segmentazione di rete corretta in modo che gli appaltatori non abbiano accesso a tutti i server, ma solo al server su cui devono lavorare.
- Utilizza l'autenticazione a più fattori (MFA).
- Concentrati sul movimento laterale, in cui gli aggressori si muovono attraverso una rete, alla ricerca di risorse e dati chiave, e sul furto di credenziali.
Quanto sono dilaganti gli attacchi informatici da un'isola all'altra?
Secondo il report Global Incident Response Threat Report di novembre 2019 della società di sicurezza informatica VMware Carbon Black, il salto da un'isola all'altra rappresenta il 41% degli attacchi informatici totali, con un aumento del 5% rispetto alla prima metà del 2019. Il movimento laterale è stabile al 67% degli attacchi, ben al di sopra Medie 2018. Nello stesso rapporto, Carbon Black ha scoperto che gli aggressori vendono l'accesso da un'isola all'altra a sistemi compromessi, spesso senza che il bersaglio si accorga di essere esposto.
Secondo il rapporto, il malware personalizzato è stato utilizzato nel 41% degli attacchi, rispetto al 33% nel primo trimestre del 2019. Gli attacchi stanno aumentando rapidamente perché le persone che creano codice di attacco personalizzato lo vendono sul dark web. Una volta utilizzato, il programmatore, così come l'acquirente, può attaccare l'azienda mirata.
Come rispondere a un attacco informatico da un'isola all'altra
Le organizzazioni che sono diventate vittime di attacchi da un'isola all'altra dovrebbero rispondere effettuando le seguenti operazioni:
- Esamina i registri dei sistemi interessati per verificarne la visibilità. Identifica quale accesso è stato ottenuto. Una volta che un utente malintenzionato ottiene un punto d'appoggio iniziale, tale accesso può essere utilizzato per ottenere il pieno accesso all'azienda attraverso altri attacchi, come un attacco di abbeveraggio.
- Valuta la portata dell'attacco e quali risorse sono state prese.
- Monitora nuovi account o modifiche ai sistemi per identificare quando un account è stato compromesso e per contrastare futuri attacchi da isola a isola. Assicurati di includere terze parti affidabili che hanno accesso alla rete aziendale o ai servizi cloud. Inoltre, includi il fornitore di servizi in modo che possa controllare i suoi registri e sistemi.