Barracuda full logo

I file caso SOC: la risposta automatizzata alle minacce di XDR offre protezione ad alta velocità a un dipendente nel cloud

Argomenti:
16 gen 2025
|
Eric Russo

Riepilogo dell'incidente

  • Un dipendente di un'azienda di telecomunicazioni si è connesso come di consueto al proprio account cloud.
  • Secondo i dati che raggiungono i sistemi di rilevamento automatico di Barracuda Managed XDR, sembravano aver percorso una distanza di 361 km, circa 225 miglia, a quasi il doppio della velocità del suono prima di effettuare nuovamente l'accesso.
  • Questi sistemi di rilevamento hanno registrato simultaneamente che:
    • Il secondo accesso utente ha utilizzato un dispositivo diverso.
    • Il secondo accesso proveniva da un IP e una posizione insoliti per questo utente.
    • Questo IP è stato segnalato come dannoso.
  • Nel complesso, c'era una probabilità del 99% che l'account fosse compromesso da un attore di minacce.
  • Poiché il datore di lavoro dell'utente disponeva di Automated Threat Response come parte di XDR Cloud Security, l'account compromesso è stato automaticamente sospeso, il cliente è stato avvisato e l'incidente è stato risolto.

L'incidente è stato rilevato, contenuto e mitigato dalla funzionalità di risposta automatica alle minacce di Barracuda Managed XDR Cloud Security. Barracuda Managed XDR è un servizio di visibilità estesa, rilevamento e risposta (XDR) che fornisce ai clienti servizi di rilevamento delle minacce, analisi, risposta agli incidenti e mitigazione, guidati da intelligenza artificiale e umana, 24 ore su 24, per proteggersi da minacce complesse.

Come si è svolto l'attacco

Un pomeriggio, intorno alle 15:25, un dipendente di un'azienda di telecomunicazioni si è connesso al proprio account cloud con il solito dispositivo e dalla solita posizione.

  • Sono poi sembrati viaggiare a oltre 2.160 km all'ora, la velocità di un avanzato aereo da ricognizione Lockheed SR-71 Blackbird, verso una località che avevano visitato raramente, se non del tutto, e hanno effettuato nuovamente l'accesso al loro account utilizzando un altro dispositivo.
  • Questa attività anomala ha attivato una serie di segnali di allarme nei sistemi di rilevamento Barracuda XDR.
  • Il secondo accesso è stato identificato come sospetto e non autorizzato.
  • Ha mostrato quattro caratteristiche che suggeriscono la compromissione dell'account con il 99% di sicurezza:
    • Lo scenario di "viaggio impossibile", coprendo una distanza di 361 km (circa 225 miglia) a quasi il doppio della velocità del suono tra gli accessi.
    • Un dispositivo diverso è stato utilizzato nel secondo accesso sospetto.
    • Gli indicatori di machine learning di Barracuda Managed XDR hanno segnalato l'indirizzo IP e la posizione associati al login sospetto come "rari" per l'account utente interessato.
    • L'intelligence sulle minacce ha segnalato l'indirizzo IP utilizzato nell'evento di accesso sospetto come potenzialmente malevolo.

Risposta alle minacce e mitigazione

  • Non molto tempo dopo il secondo tentativo di accesso, il modello di machine learning di XDR ha convalidato le caratteristiche anomale dell'evento di accesso sospetto e ha attivato un avviso di rilevamento malevolo.
  • Sei minuti dopo, XDR ha sospeso automaticamente l'account interessato e ha emesso un avviso di sicurezza all'organizzazione.
  • Un analista di cybersecurity del SOC ha seguito con una chiamata all'organizzazione per informarli di persona. L'organizzazione ha confermato l'incidente come un vero positivo.
Esempio di risposta automatizzata alle minacce nei file del caso SOC

Risultati chiave

  • Oltre a implementare soluzioni di sicurezza come Barracuda Managed XDR con Automated Threat Response e protezione email avanzata e multilivello, le organizzazioni possono rafforzare la loro protezione contro tali incidenti attraverso politiche robuste e formazione dei dipendenti.
  • Questa dovrebbe includere politiche di accesso condizionato — come consentire l'autenticazione solo da luoghi autorizzati — misure di autenticazione multifattoriale (MFA) e la rotazione regolare delle credenziali per evitare che password obsolete o trapelate siano utilizzate attivamente.
  • La formazione sulla consapevolezza della sicurezza aiuterà a prevenire che gli utenti diventino vittime della fatica MFA e di attacchi di phishing sempre più complessi e sfuggenti.

Le funzionalità di Barracuda Managed XDR, come l'intelligence sulle minacce, la risposta automatizzata alle minacce e l'integrazione di soluzioni più ampie come XDR Server Security, XDR Network Security e XDR Cloud Security, offrono una protezione completa e possono ridurre drasticamente il tempo di permanenza.

Per ulteriori informazioni su come Barracuda Managed XDR e il Security Operations Center possono aiutare, contattaci.

Stai un passo avanti agli hacker con la sicurezza informatica gestita 24 ore su 24, 7 giorni su 7.
Eric Russo

Eric Russo è Direttore della Sicurezza Difensiva SOC presso Barracuda.

Post correlati:
Ritorno a scuola, ritorno alle truffe parte 2: Mitigazione in azione
Ritorno a scuola, ritorno alle truffe parte 2: Mitigazione in azione
 Ritorno a scuola, ritorno alle truffe
Ritorno a scuola, ritorno alle truffe
 Sicurezza informatica nei comuni: MSP in prima linea nella difesa digitale
Sicurezza informatica nei comuni: MSP in prima linea nella difesa digitale
 Tredion utilizza Barracuda Managed XDR per aiutare il gruppo scolastico olandese a contenere le minacce informatiche.
Tredion utilizza Barracuda Managed XDR per aiutare il gruppo scolastico olandese a contenere le minacce informatiche.
Cerca nel blog

The Ransomware Insights Report 2025

Risultati chiave sull'esperienza e l'impatto del ransomware sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Sicurezza della vulnerabilità gestita: correzione più rapida, meno rischi, conformità più semplice

Scopri quanto può essere facile individuare le vulnerabilità che i criminali informatici vogliono sfruttare

GUARDA IL WEBINAR

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.