I leader della sicurezza sono preoccupati per gli attacchi che sfruttano i dati di autenticazione esfiltrati da malware, con il 53% che esprime estrema preoccupazione e meno dell’1% che ammette di non essere affatto preoccupato, secondo SpyCloud.
Tuttavia, molti non dispongono ancora degli strumenti necessari per indagare sulla sicurezza e sull’impatto organizzativo di queste infezioni e mitigare efficacemente gli attacchi successivi, con il 98% che indica che una migliore visibilità delle applicazioni a rischio migliorerebbe significativamente il proprio livello di sicurezza.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
La lotta per i team di sicurezza IT
Sebbene la maggiore visibilità sui dettagli di autenticazione rubati per SSO e le applicazioni basate su cloud sia di livello elevato, il comportamento umano continua a affliggere i team di sicurezza IT . I punti di ingresso più trascurati per il malware includono:
- Il 57% delle organizzazioni consente ai dipendenti di sincronizzare i dati del browser tra dispositivi personali e aziendali, consentendo agli attori delle minacce di sottrarre le credenziali dei dipendenti e altri dati di autenticazione degli utenti attraverso dispositivi personali infetti senza essere rilevati.
- Il 54% delle organizzazioni lotta con lo shadow IT a causa dell’adozione non autorizzata di applicazioni e sistemi da parte dei dipendenti, creando lacune non solo nella visibilità ma anche nei controlli di sicurezza di base e nelle policy aziendali.
- Il 36% delle organizzazioni consente ai dispositivi personali o condivisi non gestiti di accedere alle applicazioni e ai sistemi aziendali, aprendo la porta a dispositivi privi di solide misure di sicurezza per accedere a dati e risorse sensibili e riducendo al minimo la supervisione richiesta dai team di sicurezza per un monitoraggio e una correzione adeguati.
Azioni apparentemente innocue come queste possono inavvertitamente esporre le organizzazioni a malware e attacchi successivi, incluso il ransomware derivante dai dettagli di accesso rubati. Secondo la ricerca, ogni infezione espone l’accesso a una media di 26 applicazioni aziendali.
“Mentre la maggior parte delle organizzazioni comprende la minaccia generale e pervasiva del malware, la trasformazione digitale e i modelli di lavoro ibridi creano un ambiente perfetto per i criminali per sfruttare le lacune di sicurezza nascoste”, ha affermato Trevor Hilligoss, direttore della ricerca sulla sicurezza di SpyCloud.
“I criminali stanno sfruttando queste vulnerabilità approfittando di comportamenti informatici permissivi e distribuendo infostealer progettati per esfiltrare rapidamente i dettagli di accesso oltre le password. Al giorno d’oggi, i cookie di autenticazione che garantiscono l’accesso a sessioni valide sono una delle risorse più preziose per perpetrare l’acquisizione di account di nuova generazione attraverso il dirottamento della sessione, aggirando password, passkey e persino MFA “, ha aggiunto Hilligoss.
Infezioni da malware
Rilevare e agire rapidamente sulle esposizioni è fondamentale per interrompere gli attori malintenzionati che tentano di danneggiare l’organizzazione. Tuttavia, il sondaggio ha rivelato che molti stanno lottando con le risposte di routine alle infezioni da malware: il 27% non esamina regolarmente i registri delle proprie applicazioni alla ricerca di segni di compromissione, il 36% non reimposta le password per le applicazioni potenzialmente esposte e il 39% non termina i cookie di sessione al segno dell’esposizione.
Secondo recenti ricerche, il tempo di permanenza degli aggressori è aumentato, fornendo agli attori malintenzionati tutto il tempo necessario per rendere operativi i dati esfiltrati dal malware. La visibilità limitata ostacola il tempo medio di scoperta (MTTD) e il tempo medio di correzione (MTTR), il che aggrava i rischi per l’azienda e drena le risorse.
“Rompere le cattive abitudini richiede tempo e risorse che la maggior parte delle organizzazioni non può permettersi e che hanno difficoltà a trovare in primo luogo. Per ridurre il rischio creato dall’accesso non autorizzato all’account, dai dispositivi infetti e dall’errore umano, hanno bisogno di un nuovo approccio per rilevare e riparare il malware. Per molti team di sicurezza, rispondere alle infezioni è un processo incentrato sulla macchina che comporta l’isolamento e la rimozione del malware dal dispositivo. Tuttavia, un approccio incentrato sull’identità è più approfondito poiché l’obiettivo finale è quello di affrontare meglio la crescente superficie di attacco legata a un singolo utente che mette a rischio l’azienda”, ha spiegato Hilligoss.
Intermezzo promozionale ... continua la lettura dopo il box:
Lacuna di protezione critica
Nella prima metà del 2023, i ricercatori hanno scoperto che il 20% di tutti i log di malware recuperati aveva un programma antivirus installato al momento dell’esecuzione riuscita del malware. Queste soluzioni non solo non hanno impedito l’attacco, ma mancano anche della capacità automatizzata di protezione da eventuali dati rubati che possono essere utilizzati in seguito.
Con questa lotta per la visibilità e una risposta completa, è evidente la necessità che i team di sicurezza implementino un approccio di riparazione post-infezione più solido e incentrato sull’identità per interrompere i criminali prima che siano in grado di utilizzare i dati esfiltrati dal malware per danneggiare ulteriormente l’azienda.
La chiave di questo framework è aumentare la risposta alle infezioni da malware esistenti con passaggi per reimpostare le credenziali esposte e invalidare le sessioni attive compromesse dagli infostealer .
FONTE : https://www.helpnetsecurity.com/2023/07/13/malware-infections-responses/
