La forma più comune di attacco oggi è ancora il phishing (anche in versione spear, truffa mirata con cui si ottiene accesso a dati sensibil), con milioni di mail in circolazione ogni giorno.
Secondo un recente report di Small Business Trends, in media ogni utente riceve ogni giorno cinque email di phishing. Quasi un terzo di queste aggirano le forme base di protezione e arrivano nelle mailbox degli utenti: si tratta pertanto di una minaccia da prendere sul serio.
Ma cosa rende il phishing così pericoloso e quali sono i fattori per cui gli attacchi di phishing continuano a verificarsi?
Ci risponde Laurence Pitt, Security Strategist di Juniper Networks, partendo, ancora una volta dal fattore culturale, che si rivela essere sempre il principale: la formazione degli utenti è ancora un problema.
Gli utenti continuano a essere vittime dei tentativi di phishing o aprendo allegati o cliccando su link contenuti nelle email perché, osserva Pitt, al di fuori del dipartimento IT gli utenti ricevono poco più di una formazione di base, spesso nell’ambito del processo di onboarding, o una volta all’anno.
In realtà, un investimento continuativo nella formazione sulla sicurezza è fondamentale per mettere gli utenti nelle condizioni di riconoscere gli attacchi. Con una formazione più regolare gli utenti acquisiscono una maggiore consapevolezza sui modi per individuare le minacce e, con ogni probabilità, diffonderanno questa conoscenza chiacchierando con i colleghi.
Un secondo fattore su cui si sofferma Pitt è l’oggettivo valore dei dati personali, che è crollato. In parole semplici, c’è in circolazione una tale quantità di dati personali che le persone non vogliono più (o non hanno bisogno di) pagare cifre elevate.
Abbiamo assistito a un passaggio dalle semplici tattiche di phishing mirate alla sottrazione di informazioni all’invio di email contenenti “qualcosa”, dal ransomware al malware.
C’è stato anche un aumento del numero di persone disposte a pagare un riscatto per riconquistare l’accesso ai propri dati. Ciò è particolarmente evidente in settori quali la pubblica amministrazione locale, l’istruzione e la sanità, in cui i costi per la mitigazione del danno spesso superano il valore del riscatto.
Terzo fattore da tenere in considerazione: il phishing è economico, ma utilizza tecnologie avanzate. Ci siamo abituati a ricevere spam. Ma ora i cybercriminali stanno adottando tecniche di machine learning per adattare i contenuti e tool di social networking per individuare gli obiettivi ideali e quindi fare il possibile per convincere l’utente che l’email sia legittima. Aggiornare gli utenti sull’evoluzione delle tattiche mediante una formazione continua è tuttora uno dei modi migliori per proteggere i dati aziendali dagli attacchi.
La sostanza è che le aziende non sempre si aggiornano: i team IT sono quasi sempre carenti di personale e per quei pochi è difficile tenere tutto sotto controllo.
Tre delle aree più frequentemente trascurate sono anche tra le aree dove più spesso si verificano gli attacchi.
Patch, backup e dispositivi, anche IoT
Pitt osserva che non si ribadirà mai abbastanza l’importanza di installare le patch. Si tratta di una delle attività di base da svolgere sempre: le patch risolvono le vulnerabilità e queste ultime sono ciò che permette ai cybercriminali di assumere il controllo di un sistema. Installate le patch, controllate la disponibilità di nuove patch e ricominciate da capo.
Al secondo posto viene il backup. Disporre di un processo di backup solido e sperimentato può fare la differenza tra tornare alla piena operatività in breve tempo ed essere costretti a pagare un riscatto. Se si riesce a bloccare subito la diffusione di un malware, sarà probabilmente sufficiente ripristinare le immagini dei dischi per tornare a lavorare.
Dispositivi personali e IoT si stanno avvicinando molto. Ci siamo abituati a pensare al BYO (bring your device) come a portare il proprio notebook in ufficio, e le persone sono nella maggior parte dei casi disposte a installare i tool di sicurezza aziendale che mantengono al sicuro i propri dispositivi.
Più preoccupante è quella forma di BYO per cui le persone portano al lavoro i propri dispositivi IoT e li collegano alla rete aziendale. Molti di questi dispositivi non sono dotati di una sicurezza forte o potrebbero essere stati mal configurati dallo stesso utente per eludere i processi IT. Si crea un grosso rischio, perché le vulnerabilità e le debolezze dello IoT potrebbero essere sfruttate dai cybercriminali per ottenere accesso a dati e sistemi.
Phishing, rimedi in un’infrastruttura adeguata
Per tenere lontani gli attacchi, le organizzazioni dovrebbero allestire livelli plurimi di sicurezza. Negli ultimi anni ho assistito a un’evoluzione delle soluzioni mail verso il cloud, che normalmente offre un sistema di protezione integrato. Ma cosa succede con quel malware che riesce a penetrare nella rete?
Le soluzioni di Advanced Threat Protection and Prevention offrono funzionalità avanzate per l’individuazione del malware negli allegati e la sua rimozione prima ancora che la mail giunga nella mailbox dell’utente.
Queste soluzioni usano inoltre vari feed di misurazione della reputazione per poter capire quando nel contenuto è presente un link a siti o indirizzi IP pericolosi e impedire che tali contenuti arrivino all’utente finale.
Una volta implementata una tecnologia per il rilevamento delle minacce, il passo successivo consiste nel capire come utilizzarla su tutti i dati che vengono creati da molteplici soluzioni.
Qui per Pitt è utile uno strumento per l’automazione della sicurezza. Sfruttando i dati presenti sulla rete nei dispositivi di sicurezza e provenienti dai feed di informazioni sulle minacce, è possibile creare e applicare policy che garantiscano la notifica immediata delle potenziali minacce e una migliore protezione dell’ambiente.
Vale la pena ripetere ancora una volta che anche se abbiamo installato i migliori sistemi di protezione dalle minacce per proteggere reti e dati dagli attacchi di phishing, dobbiamo sempre essere sicuri che anche gli utenti facciano la loro parte.
Devono sempre stare all’erta ed essere aggiornati e questo può avvenire solo se vengono formati su base regolare e in modo adeguato.
