I principali vettori di attacco per
l’accesso iniziale ad una rete

Quali sono i primi 10 vettori che permettono ai malintenzionati di entrare nelle reti?

Un avviso, pubblicato congiuntamente da agenzie di Stati Uniti, Canada, Nuova Zelanda, Paesi Bassi e Regno Unito, include una guida per aiutare a mitigare i controlli di sicurezza deboli, scarse configurazioni di sicurezza e cattive pratiche che vengono ormai comunemente sfruttati.

“I malintenzionati sfruttano comunemente configurazioni scadenti (configurate in modo errato o non protette), controlli deboli ed altre pratiche per ottenere l’accesso iniziale o come parte di altre tattiche per compromettere il sistema di una vittima”, si legge nell’avviso.

Gli aggressori hanno anche alcune tecniche che possiamo definire preferite che utilizzano regolarmente per ottenere l’accesso iniziale alle reti delle loro vittime, incluso lo sfruttamento di applicazioni esposte a Internet, lo sfruttamento di servizi remoti rivolti all’esterno, il phishing, la troppa fiducia delle organizzazioni nei loro partner e l’utilizzo di credenziali rubate.

I 10 vettori più utilizzati dai malintenzionati per l’accesso iniziale di una rete

• L’autenticazione a più fattori (MFA) non viene applicata. L’autenticazione a più fattori (o Multi-Factor Authentication), in particolare per l’accesso al desktop remoto, può aiutare a prevenire le acquisizioni di account. 
• Privilegi o autorizzazioni applicati in modo errato ed errori all’interno degli elenchi di controllo di accesso. Questi errori possono impedire l’applicazione delle regole di controllo dell’accesso e potrebbero consentire ad utenti o processi di sistema non autorizzati di ottenere l’accesso agli oggetti. 
• Il software non è aggiornato. Il software senza patch può consentire ad un utente malintenzionato di sfruttare vulnerabilità note pubblicamente per accedere ad informazioni riservate, lanciare un attacco denial-of-service (DoS) o assumere il controllo di un sistema.
• Utilizzo di configurazioni predefinite fornite dal fornitore o nomi utente e password di accesso predefiniti. Molti prodotti software e hardware sono “pronti all’uso” con configurazioni predefinite di fabbrica eccessivamente permissive (ad esempio il classico “admin:admin”) volte a rendere i prodotti di facile utilizzo e ridurre i tempi di risoluzione dei problemi per il servizio clienti.
• I servizi remoti, come una rete privata virtuale (VPN), non dispongono di controlli sufficienti per impedire l’accesso non autorizzato. Negli ultimi anni, sono stati rilevati molti hacker che prendano di mira proprio i servizi remoti.
• Non sono implementate politiche di password complesse. Gli hacker possono utilizzare una miriade di metodi per sfruttare password deboli, trapelate o compromesse ed ottenere l’accesso non autorizzato ad un sistema. 
• I servizi cloud non sono protetti. I servizi cloud non configurati correttamente sono obiettivi comuni per i malintenzionati. Configurazioni scadenti possono consentire il furto di dati sensibili e persino il cryptojacking.
• Le porte aperte ed i servizi configurati in modo errato esposti a Internet. Questo è uno dei risultati di vulnerabilità più comuni. Gli hacker utilizzano strumenti di scansione per rilevare le porte aperte e spesso le utilizzano come vettore di attacco iniziale.
• Mancato rilevamento o blocco dei tentativi di phishing. Gli hacker inviano e-mail con macro dannose, principalmente in documenti Microsoft Word o file Excel, per infettare i sistemi informatici. 
• Rilevamento e risposta degli endpoint scarsi. Gli hacker utilizzano script dannosi offuscati e attacchi PowerShell per aggirare i controlli di sicurezza degli endpoint e lanciare attacchi sui dispositivi di destinazione.

Migliori pratiche per ridurre i rischi di violazione

L’avviso congiunto contiene anche un elenco ristretto delle migliori pratiche per aiutare a proteggere le reti dagli attacchi che prendono di mira i controlli di sicurezza deboli di cui abbiamo parlato sopra, le configurazioni scadenti e le pratiche di sicurezza scadenti.

Include l’uso del controllo dell’accesso, credenziali rafforzate (inclusa MFA e modifica delle password predefinite), gestione centralizzata dei registri e strumenti antivirus e di rilevamento (inclusi sistemi di rilevamento e prevenzione delle intrusioni) come quello di Deceptive Bytes.

Si consiglia inoltre alle organizzazioni di garantire sempre che i servizi rivolti al pubblico utilizzino configurazioni sicure e che il software sia mantenuto aggiornato tramite un programma di gestione delle patch.