I cybercriminali approfittano della vulnerabilità del momento per diffondere ransomware e malware

Lavoro remoto: proteggere l’azienda formando i dipendenti

Nelle ultime settimane, recarsi fisicamente nei negozi è stato particolarmente complesso. Ci si è dovuti giostrare tra code e attese, e per molto tempo è stato impossibile recuperare determinati articoli, pensiamo in Italia a farina e lievito. La tendenza all’acquisto dettato dal panico si è finalmente attenuata, ma i decreti governativi che hanno imposto di rimanere a casa il più possibile hanno portato a un’impennata della spesa online. Quando a tutto questo si aggiungono attaccanti malintenzionati, la ricetta viene insaporita dal rischio cyber.

Oggi, come mai prima d’ora, le abitudini online sono cambiate e le attività non si limitano solo ai momenti di svago. In base ai dati di un’indagine condotta da GFK, da marzo la penetrazione del canale online per il settore del Largo Consumo in Italia è cresciuta in maniera significativa. Il 37% delle famiglie italiane che ha fatto la spesa online nelle ultime settimane non aveva mai fatto acquisti di prodotti di consumo confezionati sul web nell’ultimo anno. La domanda ha superato la capacità di offerta, con il 19% delle famiglie che avrebbe voluto acquisti online ma non ne ha avuto la possibilità. In parallelo, anche i pagamenti online sono aumentati, incrementando le opportunità e di conseguenza i rischi.

I creatori di ransomware e malware sfruttano questa circostanza. L’incertezza crea vulnerabilità che sono proprio l’obiettivo dei cybercriminali ed in questa situazione la posta in gioco si rivela ancora più alta. Perché? A rischio non finiscono solamente dati e coordinate bancarie personali, ma aumentano i rischi anche per i datori di lavoro.

I computer portatili aziendali utilizzati vengono esposti ad attacchi malware e diventano una potenziale via di accesso a dati e asset di maggior valore. Gli scenari sono potenzialmente illimitati. Un’intera città in ostaggio o l’interruzione del funzionamento di un’infrastruttura critica potrebbero derivare da un attacco ransomware partito dal dispositivo aziendale in uso all’utente. Questo scenario non è più solo una minaccia potenziale, perché sono già numerose le segnalazioni di violazioni di dati da quando è partito il lockdown. Senza dover immaginare scenari fantascientifici, la minaccia è già qui.

Le aziende investono molto nella sicurezza, ma le misure attualmente in vigore non sono sempre sufficienti a bloccare minacce come i ransomware, che possono essere inviati in una semplice email di phishing in grado di eludere facilmente antivirus e firewall. Senza contare che dispositivi aziendali che operano fuori dalla rete aziendale non beneficiano di tutte le misure difensive disponibili in azienda.

Le aziende di tutto il mondo sono consapevoli del problema, la nostra indagine Global Advanced Threat Landscape ha evidenziato che ransomware e malware rappresentano una delle principali minacce più temute per il 59% dei responsabili di sicurezza intervistati. Quali strategie stanno mettendo in campo per contrastarli?

È stato dimostrato più volte che gli attacchi mirano ad una bassa resistenza, puntando spesso alle credenziali privilegiate che consentono l’accesso alle aree più sensibili delle reti aziendali. In questo periodo, gli obiettivi non cambiano, con gli attaccanti che utilizzano (più del solito) tecniche di social engineering per sfruttare tendenze e preoccupazioni attuali al fine di ottenere le credenziali utilizzate o memorizzate sui dispositivi aziendali, oltre a sfruttare i privilegi di cui dispongono gli utenti.

La gestione delle credenziali privilegiate comporta l’implementazione di rigidi controlli di accesso sui singoli account all’interno della rete aziendale. Fornire agli utenti credenziali uniche per accedere ai dati quando necessario permette ai team di sicurezza di limitare gli accessi ad aree specifiche di una rete. In questo modo, agli aggressori viene negata la libertà di movimento e hanno ridotte possibilità di spostarsi (sia lateralmente che verticalmente) in rete anche dopo aver compromesso l’account di un utente. Senza questi controlli, i criminali informatici potrebbero passare da un account all’altro, facendosi strada verso gli asset più critici.

Nonostante la loro evidente importanza, gli accessi privilegiati sono stati spesso trascurati all’interno delle strategie di protezione IT aziendale. Come confermato da due analisi CyberArk, il quadro è preoccupante. In primo luogo, solo il 41% dei professionisti della sicurezza è consapevole dell’esistenza delle credenziali privilegiate sul dispositivo degli utenti. Inoltre, solo il 27% sta pianificando l’introduzione del principio di sicurezza del ‘privilegio minimo’ sull’infrastruttura a supporto delle applicazioni business-critical.

In conclusione, se non si conoscono a fondo le proprie risorse e specificità, è difficile proteggerle. In questa “nuova normalità” operativa, impostare il minimo privilegio sui laptop dei dipendenti è un primo importante passaggio ed un modo estremamente efficace per impedire la diffusione di un attacco. Non è in gioco solo l’accesso al dispositivo degli utenti, ma anche ai preziosi dati ed asset presenti in altre sezioni della rete aziendale estesa (utenti finali, datacenter e cloud).

Per evitare di aumentare i rischi IT presentati dal lavoro da remoto, i dipendenti dovrebbero limitare le attività online “collaterali” quando sono operativi ed effettuare ricerche ed attività con buon senso e cautela, mentre i team di sicurezza devono impedire che i laptop utilizzati diventino una rampa di lancio per compromissioni ancora più dannose.

A cura di Massimo Carlotti, Presales Team Leader di CyberArk