Luca Maiocchi, country manager Italy di Proofpoint, riflette sull’evoluzione della cybersecurity. Sempre di più al centro delle attenzioni dei cybercriminali ci sono le singole persone. Come possono proteggerle al meglio le aziende?

Fattore-umano sicurezza informatica

Come ormai ben noto, gli ultimi 18 mesi hanno portato con sé tantissime sfide. Per chi si occupa di cyber sicurezza, le criticità legate alla pandemia non rappresentano più una novità, ma l’impatto che hanno avuto e che avranno sul lungo termine deve essere ancora pienamente compreso. I cybercriminali hanno saputo cogliere le loro opportunità: se molti lavoratori si sono allontanati dall’ufficio e operano tuttora in ambienti remoti o ibridi, chiamando i team di sicurezza a proteggere un’inedita ed estesa superficie di attacco con centinaia, se non migliaia, di nuovi punti di accesso, gli hacker hanno concentrato con successo i loro sforzi sul fattore umano, utilizzando tattiche sempre più sofisticate per ottenere credenziali, dati e accessi a reti e sistemi.

Dopo i primi, significativi riscontri positivi del 2020, il trend continua ancora oggi, dando vita a un nuovo panorama di minacce. Per questo, la protezione degli utenti deve passare da una profonda comprensione di tre aree chiave: vulnerabilità, attacchi e privilegi, corrispondenti a loro volta a tre domande. Dove si trovano gli utenti più esposti? Quali rischi stanno correndo? E qual è il potenziale impatto di un attacco, una volta riuscito?

Il modus operandi: in che modo i criminali informatici prende di il fattore umano?

Con il 99% dei cyberattacchi che necessita di un’interazione umana per avere successo, la più grande vulnerabilità di qualsiasi organizzazione sono i suoi dipendenti. Per proteggere loro e, conseguentemente, l’impresa, è necessario comprendere le minacce che devono affrontare, perché solo allora potranno essere formati sul loro ruolo nel contrastrarle.

In sostanza, si tratta di valutare un rischio, ponendosi la seguente domanda: se i miei utenti venissero presi di mira da un attacco informatico, quanto è probabile che ne diventino vittime?

Purtroppo, la risposta è “molto probabile”, e più di quanto si vorrebbe sentire. L’e-mail rimane il principale punto di accesso per un attacco, con tutti i tipi di esche di phishing, payload malevoli e tecniche di ingegneria sociale che colpiscono la casella di posta. Nonostante la visibilità che viene data a questo tipo di minacce, molti utenti non sono ancora abbastanza preparati per difendersi, tanto che, in media, una persona su cinque clicca su allegati pericolosi nel corso delle simulazioni effettuate.

Ma non finisce qui: ci sono altri vettori di attacco al fattore umano che registrano tassi di successo ancora più alti. La sola steganografia, tecnica con cui si nascondono i payload malevoli in immagini e file audio, ha ingannato un bersaglio su tre l’anno scorso, risultando la più performante tra le varie tipologie di attacco

Nuove vesti per vecchi trucchi: il panorama delle minacce odierne

Anche se più sofisticato, focalizzato e tenace negli attacchi, il cybercriminale rimane tendenzialmente poco innovativo nei suoi metodi.

Lo scorso anno, il ransomware si è rivelato il flagello delle aziende di tutto il mondo, in crescita del 300% rispetto al 2019 con, la casella di posta elettronica ancora una volta il principale punto di ingresso. In un moderno attacco ransomware, il malware di primo stadio viene consegnato via email come payload iniziale, che scarica poi altri file dannosi quando viene attivato da Remote Desktop Protocol o VPN compromessi.

Il phishing delle credenziali, altra tecnica familiare, ha avuto un impatto altrettanto significativo, rappresentando metà di tutte le minacce e-mail del 2020 e superando tutti gli altri vettori di attacco.

Ma non è una sorpresa che così tanti cybercriminali continuino a concentrarsi sul fattore umano: le credenziali compromesse con successo possono portare a tutto, dalla frode telematica al furto di identità, allo spionaggio informatico e contribuiscono direttamente al problema più costoso che i team di sicurezza  devono affrontare: la compromissione della posta elettronica aziendale (BEC), responsabile di quasi la metà di tutte le perdite riconducibili al crimine informatico, pari a 1,8 miliardi di dollari nel solo 2020.

Le novità, invece, riguardano i temi usati per le esche. A metà marzo 2020, circa l’80% di tutte le minacce ha utilizzato argomenti legati a COVID-19 e, mentre la paura e l’incertezza si diffondevano in tutto il mondo insieme al coronavirus, i criminali informatici hanno preso di mira gli utenti con offerte di vaccini, trattamenti, cure e altro in cambio di clic su link pericolosi o l’inserimento di credenziali su un sito web falsificato.

Le iterazioni più recenti si mascherano da conferme di appuntamenti per il vaccino, ed è lecito aspettarsi tattiche simili ad ogni sviluppo legato al COVID-19.

Considerare i privilegi degli utenti: quali rischi si corrono?

Per determinare appieno il livello di rischio di un’organizzazione, è necessario identificare con precisione a cosa i criminali informatici saranno in grado di accedere se dovessero compromettere uno dei vostri utenti.

L’impatto potenziale di un simile attacco al fattore umano dipenderà in gran parte dal livello di privilegio di chi viene colpito, in cui un livello più elevato darà chiaramente accesso a informazioni molto più sensibili e preziose. Anche le minacce interne, però, siano esse intenzionali o meno, rappresentano anche un rischio significativo tra gli utenti privilegiati.

Un solo set di credenziali trapelate o un clic incauto possono esporre un’azienda a gravi conseguenze finanziarie e reputazionali, e gli ambienti di lavoro remoti e ibridi rendono questa minaccia molto più difficile da mitigare.

Per monitorare, gestire e proteggere efficacemente gli utenti privilegiati, si dovrebbero dunque prima identificare le proprie Very Attacked People (VAP), ovvero le persone più a rischio di attacco. Quando si ha chiaro chi sia più a rischio e il livello di accesso a dati e  reti, è possibile mettere in atto i controlli appropriati e, per la maggior parte delle organizzazioni, questo significa monitorare le connessioni USB, l’esfiltrazione di dati, il download di file e la copia di cartelle in orari anomali.

Maggiore sarà la visibilità sui propri utenti a rischio e sulla loro attività, superiore sarà anche la sicurezza della propria azienda.

Mettere le persone al centro della difesa informatica

I cybercriminali oggi prendono sempre più di mira gli individui, occorre quindi una difesa informatica incentrata sulle persone, iniziando con l’ottenere la massima visibilità possibile su chi viene attaccato, in quale modo e cosa può mettere a rischio.

Oltre alle protezioni e-mail e alle difese perimetrali, le aziende devono implementare un programma di formazione sulla consapevolezza della sicurezza completo, continuo e adattivo.

Gli utenti a tutti i livelli, in particolare quelli con accesso privilegiato, devono sapere come rilevare, contrastare e segnalare attività e comunicazioni sospette; e soprattutto, devono capire il loro ruolo nel mantenere la sicurezza dell’organizzazione, e le conseguenze del non farlo.

Indipendentemente dalle tattiche e dai metodi di attacco specifici, le persone rimangono il più grande rischio per le aziende, ma anche la loro prima linea di difesa informatica. Prepararle a questo compito è vitale e il risultato, nel tempo, sarà una cultura in cui la cybersecurity non sarà più solamente una preoccupazione dei team IT: sarà responsabilità di tutti.

 

Articoli correlatiAltro dello stesso autore