Report sul threat hunting Falcon OverWatch 2022

Intensificazione delle intrusioni, escalation della complessità

Il 2022 continua a dimostrare che il threat hunting proattivo di origine umana non è più un’opzione ma una necessità per rilevare e interrompere gli attacchi avanzati e tenere a bada gli avversari in evoluzione.

In questo report esclusivo, il team di threat hunting CrowdStrike® Falcon OverWatch™ dà uno sguardo alle abilità operative e agli strumenti degli avversari osservati dal 1° luglio 2021 al 30 giugno 2022. Il report include anche consigli pratici per le organizzazioni e gli esperti di threat hunting, per affrontare e rimanere un passo avanti rispetto alle minacce informatiche più sofisticate e furtive del giorno d’oggi.

I dati parlano da soli

Il 2022 è stato un anno diverso da tutti gli altri.

77.000

Potenziali intrusioni bloccate da OverWatch

7 minuti

Tempo medio di rilevamento delle potenziali intrusioni da parte di OverWatch

oltre 1 milione

Eventi dannosi evitati

50%

Aumento delle intrusioni interattive

71%

Le minacce rilevate da OverWatch che sono risultate prive di malware

1 ora e 24 minuti

Tempo di diffusione medio di ecrime

Principali punti salienti

CVE, zero-day e oltre

La proliferazione di vulnerabilità e di zero-day appena resi noti sta mettendo a rischio le organizzazioni a un livello senza precedenti. Gli autori delle minacce stanno sfruttando queste vulnerabilità a una velocità mai vista prima. Ciò lascia poco tempo per reagire alle organizzazioni prese di mira.

Scopri perché un approccio proattivo al threat hunting sarà cruciale per stare un passo avanti rispetto ai rischi crescenti e come le organizzazioni possono arrivarci.

Stesso ransomware, abilità operativa esclusiva

I redditizi modelli di ransomware-as-a-service (RaaS) sono un importante promotore dell’attività di intrusione dell’eCrime. Un’ampia gamma di affiliati sta sfruttando la disponibilità di offerte RaaS e utilizzando schemi diversi di abilità operativa avversaria.

Nel report, il team OverWatch condivide quattro casi di studio che illustrano alcuni dei diversi approcci osservati nelle intrusioni di affiliati RaaS.

Approfondimento delle abilità operative: strumenti emergenti, di tendenza e di supporto

Malgrado vi sia una prevalenza di attacchi privi di malware, OverWatch continua a notare che gli avversari utilizzano una vasta gamma di strumenti per i loro attacchi.

Questo rapporto analizza in modo approfondito gli strumenti e le abilità operative emergenti, di tendenza e di supporto, mettendo in evidenza capacità e tattiche che sono salite alla ribalta e metodi inediti mai visti prima.

Identità sotto assedio

Negli ultimi 12 mesi, OverWatch ha osservato un significativo abuso di credenziali valide e compromesse.

Le tecniche basate sull’identità sono emerse in cima alla lista delle sei tattiche del MITRE ATT&CK® Framework: accesso iniziale, persistenza, privilege escalation, aggiramento delle difese, accesso alle credenziali e rilevamento.

Scoprite cosa può fare la tua organizzazione per mantenere al sicuro le tue identità.

Phishing: via le macro, avanti le ISO

Gli avversari hanno immediatamente iniziato a cambiare le tattiche di phishing quando, a inizio anno, Microsoft ha annunciato che le macro VBA (una tattica collaudata di diffusione del malware) sarebbero state disabilitate per impostazione predefinita su tutta la linea di prodotti Office. Anziché abbandonare del tutto le campagne di phishing, OverWatch ha osservato che gli attaccanti hanno adottato strumenti alternativi, sostituendo le macro cariche di malware con file container altrettanto compromessi, come ISO, ZIP e RAR, tra gli altri.

Leggi il report per scoprire i casi di studio dettagliati che esaminano questa tattica e le strategie di threat hunting per identificare i tentativi di phishing ISO.

Gli avversari si spostano sul cloud

Le attività di intrusione nelle applicazioni e nelle infrastrutture cloud sono in aumento. In questo rapporto, OverWatch descrive in dettaglio due attacchi basati sul cloud per illustrare il modo in cui gli avversari operano negli ambienti cloud e sfruttano i componenti chiave nelle diverse fasi dell’intrusione. Il report fornisce inoltre elementi di azione, indicazioni e considerazioni per i responsabili della difesa da utilizzare nella valutazione del loro ambiente cloud.

Falcon OverWatch Cloud Threat Hunting™ applica la stessa metodologia di threat hunting sistematica e completa e aggiunge al contempo nuovi strumenti e telemetria per una visibilità granulare fino al piano di controllo.

Scarica il Report sul threat hunting di Falcon OverWatch 2022

Approfondimenti indispensabili del team di threat hunting di CrowdStrike

Scarica subito

Scarica il Report sul threat hunting di Falcon OverWatch 2022

Approfondimenti indispensabili del team di threat hunting di CrowdStrike

Scarica subito