L’emergenza globale ha costretto numerose organizzazioni a dotarsi di soluzioni di smart working senza avere tempo per un’adeguata progettazione in termini di cybersecurity.
Gabriele Zanoni, EMEA Solutions Architect di FireEye, sottolinea come quando ci si trova a dover affrontare nell’emergenza un progetto che vada a garantire accesso remoto ai sistemi aziendali, a un ampio bacino di utenti, è di fondamentale importanza adottare anche una serie di precauzioni dal punto di vista della cybersecurity.
A cosa devono prestare attenzione le aziende e gli utenti in termini di sicurezza quando avviano un programma di smart working?
In prima istanza è necessario realizzare un threat model aggiornato, ovvero analizzare come gli aggressori potrebbero comportarsi in questa specifica situazione, sulle modalità in cui in passato altre aziende sono state compromesse, per arrivare poi a stabilire quali sistemi o accorgimenti di sicurezza o di mitigazione serviranno.
Sfruttando le sorgenti di intelligence sulle minacce cyber è ad esempio possibile avere a disposizione informazioni importanti per creare dei modelli di scenari di attacco da andare poi ad indirizzare.
Ad esempio, sappiamo con certezza che diversi gruppi di aggressori hanno già avviato una campagna di email malevole a tema Coronavirus.
FireEye ha rilevato, durante questo periodo, email con la presenza di falsi link che invece di portare l’utente a visionare le statistiche aggiornate sulla diffusione del virus, portavano allo scaricamento di file con malware. Gli aggressori, per meglio ingannare le vittime, impersonavano enti sanitari prediligendo vittime nel settore governativo ma hanno effettuato anche l’invio di email con malware anche a clienti di alcuni istituti bancari.
FireEye ha indicato diversi punti a cui prestare attenzione proprio sulla base del threat model dato dalle nuove modalità lavorative.
Tra i punti di attenzione ci sono: l’accesso remoto agli endpoint, i movimenti laterali, le autenticazione multi-fattore, la gestione sicura dei device degli utenti, le connessioni VPN e gli accessi remoti, nonché i controlli per i servizi cloud solo per citarne alcuni.
Questa attività di threat modeling dovrebbe essere svolta periodicamente in una azienda che desidera affrontare il tema della cybersecurity in modo efficace.
Spesso per queste attività di studio delle minacce, di verifica delle propria esposizione e di valutazione dell’efficacia delle contromisure sono coinvolte diverse divisioni aziendali che spaziano ad esempio dalla cybersecurity, alla threat intelligence alla gestione delle rete e dei sistemi IT.
E’ inoltre chiaro che i cambi repentini a livello di architetture, rete e sistemi possano indebolire il livello di sicurezza se non correttamente gestiti e tracciati.
Pertanto indirizzare tempestivamente i nuovi scenari di compromissione (anche con informazioni di Threat Intelligence), valutare l’efficacia delle soluzioni di sicurezza in campo ed al contempo tracciare i cambiamenti “non previsti o “non voluti” diventa parte fondamentale di una strategia di validazione continua della propria esposizione con il fine ultimo di minimizzare i rischi.
