Solo lo scorso anno, il team di risposta agli incidenti di Varonis ha indagato su più di 250.000 avvisi. No, non è un errore di battitura: il nostro team IR ha esaminato un quarto di milione di avvisi. Con l'incremento del ransomware e la quantità di dati in crescita a un ritmo esponenziale, avere un team proattivo in prima linea è più importante che mai.
Nella nostra ultima masterclass, Mike Thompson, Raphael Kelly e Chris Kisselburgh del team IR di Varonis hanno discusso delle attuali tendenze globali delle minacce, compresi i picchi delle minacce interne e l'importanza di concentrarsi sui primi segnali di compromissione.
Guarda la registrazione completa per scoprire perché la risposta proattiva agli incidenti è il futuro della sicurezza dei dati, gli attacchi informatici che il team IR di Varonis ha sventato nell'ultimo anno e cosa rende diversi il rilevamento dei dati e la risposta di Varonis.
Il ransomware è in aumento... di nuovo.
Il nostro team di risposta agli incidenti affronta questi tipi di incidenti quasi ogni settimana e, tra l'altro, ha notato un cambiamento di approccio per quanto riguarda l'incremento degli attacchi.
Poiché le organizzazioni sono migliorate nel riprendersi dagli attacchi ransomware, gli aggressori sono passati dalla sola crittografia alla crittografia e all'esfiltrazione dei dati per avere un ulteriore vantaggio sulle vittime. Sebbene questa tendenza sia stata usata per la prima volta solo pochi anni fa, ora è una pratica standard nella maggior parte degli attacchi. "L'evento ransomware non è solo un semplice avviso sul fatto che l'aggressore è presente: la pericolosità sta nel fatto che i dati sono stati sottratti", ha affermato Mike Thompson, Varonis Security Architect Manager, che aggiunge: "Si possono recuperare i dati crittografati, non quelli esfiltrati".
Si possono recuperare i dati crittografati, non quelli esfiltrati.
Le crisi economiche portano sempre a un aumento delle minacce interne.
A oggi, solo nel 2023 sono stati licenziati più di 150.000 dipendenti di big tech in quello che è ampiamente considerato un settore più "a prova di recessione".
Assistere alla perdita del lavoro di amici e colleghi e preoccuparsi della sicurezza del proprio impiego può aumentare la probabilità che "qualcuno cerchi di proteggersi e guadagnare qualcosa in più quando lascia l'azienda", ha affermato il Security Architect di Varonis, Chris Kisselburgh.
"Quando si verificano eventi critici a livello mondiale come questo, con un impatto globale, dovremmo esaminare come questo incide sul comportamento umano". Le preoccupazioni per la crisi economica e la recessione possono colpire le persone nel profondo. "Stiamo davvero studiando il comportamento delle persone", spiega Chris.
È fondamentale concentrarsi sui primi indicatori di compromissione.
La guerra tra Russia e Ucraina ha sgretolato molte organizzazioni di ransomware. Gli esperti pensavano che aggressori come Emotet, un ceppo di malware e un gruppo di criminali informatici che si ritiene abbia sede in Ucraina, fossero stati smantellati, ma il nostro team IR li ha visti riemergere in modo piuttosto aggressivo. Per questo "tenere d'occhio la kill chain in modo proattivo è una priorità assoluta", ha detto Chris.
Ha aggiunto che è estremamente importante indagare su questi indicatori precoci. "Il venerdì le aziende notano avvisi che forse non vengono presi sul serio come dovrebbero e quindi entro lunedì mattina l'intero dominio potrebbe essere crittografato", ha affermato. "È fondamentale che i primi segnali vengano presi il più seriamente possibile".
Mike ha aggiunto: "A volte è abbiamo constatato che le persone si accorgono di un potenziale utente compromesso e si concentrano sulla remediation di quell'utente o di quel dispositivo compromesso, per poi considerare il caso chiuso. Poi, una settimana dopo, ecco il danno. Emerge il ransomware."
I dati non hanno una casa.
"Negli ultimi due o tre anni abbiamo assistito a molti cambiamenti nell'IT. Abbiamo osservato il passaggio globale a una forza lavoro da remoto durante il COVID; è stato un grande cambiamento nell'IT oltre che, contemporaneamente, nella sicurezza", ha dichiarato Chris. "Perché uno dei problemi da considerare è: "Che strade percorrono i dati ora che ho più di 10.000 utenti che lavorano da remoto in tutto il mondo?"»
Ha aggiunto che non si tornerà alle modalità di lavoro precedenti alla pandemia. "I dati non sono più limitati ai file server. I dati, nella realtà, sono ovunque".
E il passaggio alla forza lavoro da remoto è stato rapido. Ciò significa che molto probabilmente esiste un sensibile divario nella postura di sicurezza tra ciò di cui le organizzazioni disponevano in un ambiente locale e quello di cui dispongono ora in un ambiente cloud. Ora occorre eseguire la stessa due diligence e questo può rivelarsi difficile quando lo spazio di sicurezza su cloud è relativamente nuovo rispetto alle strategia di sicurezza adottate on-prem.
I dati non sono più limitati ai file server. I dati, nella realtà, sono ovunque.
Data risk assessment gratuito
La risposta agli incidenti sta passando da una metodologia reattiva a una proattiva.
Storicamente, i team di risposta agli incidenti sono stati reattivi, pronti a rispondere alle chiamate dopo la segnalazione di un incidente. Ma in futuro la risposta agli incidenti deve diventare proattiva per stare al passo con l'evoluzione delle minacce.Conclusione
Con il lancio della nostra piattaforma SaaS per la sicurezza dei dati, Varonis è in grado di fornire servizi IR proattivi: analisti che esaminano regolarmente gli ambienti dei clienti, ricercano minacce e indagano, senza sottrarre tempo prezioso ai clienti. Grazie all'esperienza collettiva decennale dei nostri analisti, siamo in grado di individuare gli indicatori che segnalano l'imminenza di un attacco ransomware e, se troviamo indizi degni di nota, li segnaliamo per evitare la stanchezza da allarme.
Guarda la discussione completa sulle tendenze globali della sicurezza informatica e sul futuro della risposta agli incidenti qui.
