CTC Global

La sfida

1. L'implementazione della tecnologia operativa spesso non prevede il coinvolgimento di professionisti della sicurezza informatica, il che determina la rapida implementazione di una serie di tecnologie dotate di protocolli di sicurezza diversi.
2. Le pipeline di produzione si avvalgono di tecnologie operative mai collegate prima, come IC, PLC e SCADA. Le strategie di sicurezza adottate in precedenza, che si basavano sull'isolamento delle reti, non sono più funzionali.
3. La dipendenza da una complicata rete di fornitori di terze parti rende i produttori particolarmente vulnerabili agli attacchi alla catena di approvvigionamento.

La soluzione

• Hadrian è stato utilizzato da CTC Global per ottenere una panoramica olistica della superficie di attacco che comprendesse anche asset sconosciuti.
• Il red teaming autonomo di Hadrian ha imitato l'approccio di un hacker ai test e ha fornito dati in tempo reale sul contesto e sul rischio degli asset.
• Le informazioni acquisite in passato sono state utilizzate per eseguire test mirati che hanno identificato i rischi critici.
• Hadrian ha riesaminato la superficie di attacco a intervalli regolari e si è adattato ai cambiamenti dell'ambiente attraverso una convalida continuativa della sicurezza.

Il risultato

Gestione completa della superficie di attacco e mappatura degli asset

Hadrian ha iniziato a realizzare la mappatura della superficie di attacco di CTC Global senza disporre di una conoscenza previa della sua rete interna. L'approccio outside-in ha permesso ad Hadrian di individuare asset che CTC Global non sapeva di possedere, ma che erano invece accessibili ai cybercriminali. Hadrian ha utilizzato informazioni open source, la scansione attiva e le proprie conoscenze passive per individuare asset precedentemente sconosciuti in 23 domini. Decine di migliaia di scansioni hanno permesso ad Hadrian di identificare e collegare facilmente gli asset, aiutando CTC Global a orientarsi nella sua superficie di attacco in continua evoluzione.

Utilizzo dei dati del settore per identificare potenziali vettori di attacco

Hadrian si è soffermata sulle aree ad alto rischio della superficie di attacco per identificare gli asset che hanno maggiori probabilità di essere utilizzati negli exploit. Ad esempio, la conoscenza di Hadrian degli exploit comuni condotti sulle aziende manifatturiere ha permesso di determinare l’elevato rischio a cui era esposto il cloud.

Hadrian ha individuato e iniziato a testare gli asset che hanno maggiori probabilità di svolgere un ruolo negli attacchi più comuni alla sicurezza del cloud. Gli asset ad alto rischio includono fonti statiche olistiche come i bucket S3, Azure Blob Storage e Google Cloud Storage. I bucket S3 sono risultati particolarmente interessanti perché potevano essere utilizzati per attacchi XSS e per l'acquisizione di sottodomini.

Simulazione di attacchi con tecnologia modulare

Hadrian si basa su una tecnologia modulare. Tale tecnologia suddivide gli exploit complessi in sezioni più piccole, o "moduli". Queste sezioni più piccole vengono combinate ed eseguite in una varietà di sequenze che offrono una certa flessibilità. A questo punto, Hadrian determina quali sequenze eseguire in base ai dati raccolti in passato e al contesto in cui i moduli transitano tra di loro.

La modularità ha fatto sì che, durante l'analisi di CTC Global, Hadrian potesse orientarsi e prendere decisioni sulle fasi successive con la stessa adattabilità di un cybercriminale umano.

Ad esempio, dopo aver contrassegnato i bucket S3, Hadrian ha implementato un modulo di hacking che ha testato l'esposizione dei file sensibili conservati nel bucket. A seconda della possibilità di accesso, Hadrian ha implementato nuovi moduli che hanno esplorato i file alla ricerca di informazioni riservate.

Hadrian ha rapidamente ottenuto l'accesso alle credenziali di accesso e alle informazioni personali memorizzate in uno dei bucket S3 e ha quindi segnalato la violazione dei dati come estremamente critica, rendendo possibile quasi immediatamente l’adozione di una procedura correttiva.

Hadrian continuerà a eseguire test in modo continuativo per rispondere ai cambiamenti dell'infrastruttura IT di CTC Global. I dati continui comprenderanno l’individuazione di nuovi asset, il contesto degli stessi, la prioritizzazione del rischio e i suggerimenti per la correzione.