Il team di Kaspersky, celebre azienda russa che dal 1997 si occupa della produzione di software utili alla sicurezza informatica, ha analizzato gli attacchi informatici registrati in Italia nell’ultimo anno, e da tale analisi è emerso il fatto che il 22% delle offensive arriva direttamente da strumenti di gestione e amministrazione da remoto. Se consideriamo l’intero globo invece raggiungiamo il 30%.
L’azienda, attraverso una nota apposti, sostiene che coloro che effettuano gli attacchi siano in grado di passare inosservati per più tempo rispetto a prima. Infatti, gli attacchi di spionaggio ed i Data Breach hanno avuto una durata media di 122 giorni.
Gli amministratori IT potrebbero essere aiutati da un software che monitori e gestisca la situazione svolgendo una serie di check quotidiane, dalla risoluzione dei problemi al supporto tecnico ai dipendenti. In ogni caso, chi commette crimini informatici è attualmente in grado di utilizzare strumenti in commercio, quindi legittimi, per attaccare l’infrastruttura delle aziende, attraverso l’esecuzione di endpoint o tentando l’accesso al fine di entrare in possesso di informazioni sensibili, il tutto bypassando i sistemi di sicurezza anti-malware posti a protezione dei dati.
Il report dei dati anonimi derivanti dai casi di Incident Response (IR), chi ha mostrato che gli hacker hanno fatto ricorso a oltre18 strumenti “legittimi per scopi criminosi. Uno degli strumenti più utilizzati è Powershell, accompagnato da PS Exec. Quest’ultima è una console application pensata per hackerare da remoto dispositivi connessi in rete.
Konsantin Sapronov, Head of Global Emergency Response Team della nota azienda russa ha dichiarato “Grazie a questi strumenti gli attaccanti possono raccogliere informazioni sulle reti aziendali e quindi effettuare movimenti laterali, modificare le impostazioni di software e hardware o anche effettuare azioni dannose di vario tipo. Ad esempio, potrebbero utilizzare un software legittimo per criptare i dati dei clienti. I software legittimi possono anche aiutare gli attaccanti a eludere i controlli dei security analyst, che spesso rilevano l’attacco solo dopo che sia avvenuto. Anche se non è possibile proibire l’utilizzo di questi strumenti per varie ragioni, i sistemi di rilevamento e monitoraggio correttamente implementati possono contribuire a rilevare attività sospette nella rete e attacchi complessi nelle fasi iniziali”.
Quindi, al fine di ridurre al minimo le possibilità di subire attacchi, Kaspersky consiglia di limitare l’accesso a tutti quegli strumenti di gestione remota che utilizzino IP esterni e di controllare che le interfacce di controllo non siano accessibili a tutti. Assieme a questo, è necessario che venga adottata una policy rigorosa sulle password dei sistemi ed implementare l’autenticazione a più fattori.
