Gran parte degli attacchi non sfonda una porta: entra con una chiave rubata. Il phishing e il furto di credenziali sono tra i vettori di accesso iniziale più comuni. Una volta dentro con un account legittimo, l’attaccante si muove senza far rumore, a meno che qualcuno non stia osservando i segnali giusti.
I 5 segnali che monitoriamo per primi
Tra gli indicatori più precoci che il nostro SOC rileva ci sono: accessi da località o orari anomali, login da credenziali appena cambiate o appena create, tentativi di accesso multipli falliti seguiti da un successo, uso di credenziali su sistemi mai usati prima da quell’utente, e attività che corrispondono a tecniche di persistenza note in MITRE ATT&CK.
Perché contano le prime ore
Un account compromesso rilevato nelle prime ore si contiene con un reset e un isolamento. Lo stesso account scoperto dopo giorni può significare dati esfiltrati o ransomware distribuito. Il monitoraggio continuo trasforma un potenziale disastro in un incidente minore.
Verifica la tua copertura
Sapresti dire, oggi, se una delle tue credenziali fosse usata da un attaccante in questo momento? Richiedi un assessment: misuriamo la tua capacità di rilevare un accesso compromesso.