Barracuda full logo

I file caso SOC: la risposta automatizzata alle minacce di XDR offre protezione ad alta velocità a un dipendente nel cloud

Argomenti:
16 gen 2025
|
Eric Russo

Riepilogo dell'incidente

  • Un dipendente di un'azienda di telecomunicazioni si è connesso come di consueto al proprio account cloud.
  • Secondo i dati che raggiungono i sistemi di rilevamento automatico di Barracuda Managed XDR, sembravano aver percorso una distanza di 361 km, circa 225 miglia, a quasi il doppio della velocità del suono prima di effettuare nuovamente l'accesso.
  • Questi sistemi di rilevamento hanno registrato simultaneamente che:
    • Il secondo accesso utente ha utilizzato un dispositivo diverso.
    • Il secondo accesso proveniva da un IP e una posizione insoliti per questo utente.
    • Questo IP è stato segnalato come dannoso.
  • Nel complesso, c'era una probabilità del 99% che l'account fosse compromesso da un attore di minacce.
  • Poiché il datore di lavoro dell'utente disponeva di Automated Threat Response come parte di XDR Cloud Security, l'account compromesso è stato automaticamente sospeso, il cliente è stato avvisato e l'incidente è stato risolto.

L'incidente è stato rilevato, contenuto e mitigato dalla funzionalità di risposta automatica alle minacce di Barracuda Managed XDR Cloud Security. Barracuda Managed XDR è un servizio di visibilità estesa, rilevamento e risposta (XDR) che fornisce ai clienti servizi di rilevamento delle minacce, analisi, risposta agli incidenti e mitigazione, guidati da intelligenza artificiale e umana, 24 ore su 24, per proteggersi da minacce complesse.

Come si è svolto l'attacco

Un pomeriggio, intorno alle 15:25, un dipendente di un'azienda di telecomunicazioni si è connesso al proprio account cloud con il solito dispositivo e dalla solita posizione.

  • Sono poi sembrati viaggiare a oltre 2.160 km all'ora, la velocità di un avanzato aereo da ricognizione Lockheed SR-71 Blackbird, verso una località che avevano visitato raramente, se non del tutto, e hanno effettuato nuovamente l'accesso al loro account utilizzando un altro dispositivo.
  • Questa attività anomala ha attivato una serie di segnali di allarme nei sistemi di rilevamento Barracuda XDR.
  • Il secondo accesso è stato identificato come sospetto e non autorizzato.
  • Ha mostrato quattro caratteristiche che suggeriscono la compromissione dell'account con il 99% di sicurezza:
    • Lo scenario di "viaggio impossibile", coprendo una distanza di 361 km (circa 225 miglia) a quasi il doppio della velocità del suono tra gli accessi.
    • Un dispositivo diverso è stato utilizzato nel secondo accesso sospetto.
    • Gli indicatori di machine learning di Barracuda Managed XDR hanno segnalato l'indirizzo IP e la posizione associati al login sospetto come "rari" per l'account utente interessato.
    • L'intelligence sulle minacce ha segnalato l'indirizzo IP utilizzato nell'evento di accesso sospetto come potenzialmente malevolo.

Risposta alle minacce e mitigazione

  • Non molto tempo dopo il secondo tentativo di accesso, il modello di machine learning di XDR ha convalidato le caratteristiche anomale dell'evento di accesso sospetto e ha attivato un avviso di rilevamento malevolo.
  • Sei minuti dopo, XDR ha sospeso automaticamente l'account interessato e ha emesso un avviso di sicurezza all'organizzazione.
  • Un analista di cybersecurity del SOC ha seguito con una chiamata all'organizzazione per informarli di persona. L'organizzazione ha confermato l'incidente come un vero positivo.
Esempio di risposta automatizzata alle minacce nei file del caso SOC

Risultati chiave

  • Oltre a implementare soluzioni di sicurezza come Barracuda Managed XDR con Automated Threat Response e protezione email avanzata e multilivello, le organizzazioni possono rafforzare la loro protezione contro tali incidenti attraverso politiche robuste e formazione dei dipendenti.
  • Questa dovrebbe includere politiche di accesso condizionato — come consentire l'autenticazione solo da luoghi autorizzati — misure di autenticazione multifattoriale (MFA) e la rotazione regolare delle credenziali per evitare che password obsolete o trapelate siano utilizzate attivamente.
  • La formazione sulla consapevolezza della sicurezza aiuterà a prevenire che gli utenti diventino vittime della fatica MFA e di attacchi di phishing sempre più complessi e sfuggenti.

Le funzionalità di Barracuda Managed XDR, come l'intelligence sulle minacce, la risposta automatizzata alle minacce e l'integrazione di soluzioni più ampie come XDR Server Security, XDR Network Security e XDR Cloud Security, offrono una protezione completa e possono ridurre drasticamente il tempo di permanenza.

Per ulteriori informazioni su come Barracuda Managed XDR e il Security Operations Center possono aiutare, contattaci.

Stai un passo avanti agli hacker con la sicurezza informatica gestita 24 ore su 24, 7 giorni su 7.
Eric Russo

Eric Russo è Direttore della Sicurezza Difensiva SOC presso Barracuda.

Post correlati:
Remediazione collettiva per MSP: proteggi ogni cliente con un'unica azione
Remediazione collettiva per MSP: proteggi ogni cliente con un'unica azione
BarracudaONE potenzia le operazioni MSP con nuove funzionalità
BarracudaONE potenzia le operazioni MSP con nuove funzionalità
 I file dei casi SOC: Il ransomware Akira trasforma lo strumento di gestione remota della vittima contro se stessa
I file dei casi SOC: Il ransomware Akira trasforma lo strumento di gestione remota della vittima contro se stessa
 Ritorno a scuola, ritorno alle truffe parte 2: Mitigazione in azione
Ritorno a scuola, ritorno alle truffe parte 2: Mitigazione in azione

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Ricevi tutte le ultime notizie, ricerche e analisi direttamente nella tua casella di posta.