Attacchi sempre più mirati e pericolosi, le imprese sono chiamate ad avere un nuovo approccio

Quali minacce di sicurezza vedremo nel 2020? minacce informatiche

La sicurezza informatica sta diventando un asset sempre più importante per le aziende. Non può più essere considerata infatti come una mera spesa, ma rappresenta un fattore abilitante per il business. Essere vulnerabili e subire violazioni significa avere ingenti danni economici e reputazionali. Ne abbiamo parlato con Walter  Narisoni, Sales Engineer Manager di Sophos Italia con il quale abbiamo scoperto le tecniche di attacco maggiormente utilizzate, il costo delle violazioni e le soluzioni da utilizzare per ridurre i rischi.

Come si sta evolvendo lo scenario delle minacce informatiche?

I cybercriminali sono diventati molto più “professionali” e hanno reso più sofisticate le loro tecniche di attacco: fino a qualche anno fa venivano effettuati attacchi inviando direttamente file infetti, ora invece gli hacker conducono per prima cosa una dettagliata analisi dell’obiettivo che vogliono colpire. Vengono così determinati eventuali endpoint vulnerabili,  brecce nella sicurezza (come server esposti via RDP) o nei programmi utilizzati dalle organizzazioni bersaglio. Una volta individuati i punti deboli, i criminali informatici preparano attacchi mirati che sono più difficili da intercettare e scoprire proprio perché spesso sfruttano programmi già presenti sui computer comunemente utilizzati per task amministrativi come PowerShell e VBScript o strumenti leciti di sicurezza commerciali normalmente utilizzati da amministratori di rete ed esperti di penetration testing quali Cobalt Strike

Tra le diverse minacce informatiche, i ransomware sono ampiamente utilizzati. Come si stanno evolvendo?

La ricerca “The State of Ransomware 2021” mostra una consistente riduzione nella proliferazione di questo tipo di attacchi rispetto allo scorso anno. Purtroppo però non si tratta di un fenomeno positivo. Questo perché i criminali informatici, sfruttando soprattutto tecniche mirate e l’hacking hands-on-keyboard, compiono attacchi con un potenziale dannoso ben più elevato rispetto a quando le minacce erano generiche ed automatizzate. Il cybercrime è ora in grado di bloccare intere aziende o parti di esse con più facilità e lo fa fino al pagamento di un riscatto. C’è però una novità rispetto che in passato: prima di criptare i dati, una parte di essi viene sottratta ed utilizzata come base per richiedere un secondo riscatto ed evitare così la loro divulgazione. Per questo, qualora i sistemi di sicurezza delle imprese riconoscessero il ransomware e lo bloccassero per tempo, i criminali hanno però già sottratto alcuni dati che potrebbero essere utilizzati per ottenere un guadagno.

Le aziende pagano il riscatto e riottengono i dati?

Le organizzazioni che hanno deciso di pagare il riscatto sono aumentate dal 26% al 32% nel 2021, ma soltanto l’8% è riuscita a recuperare tutti i suoi dati. Il 29% ne ha ottenuti solo meno della metà.

Walter Narisoni_sophos italia copiaDopo quanto tempo le imprese attaccate si accorgono di aver subito una violazione?

Purtroppo, soprattutto a causa delle abilità e delle tecniche utilizzate dai criminali informatici, ancora troppe organizzazioni impiegano alcune settimane per capire di essere state vittima di una violazione informatica. Come si evidenzia nell’“Active Adversary Playbook 2021” il tempo più lungo durante il quale un’intrusione è andata avanti inosservata è stato pari a 15 mesi. Un altro dato interessante è che il tempo medio di permanenza dell’autore di un attacco nella rete presa di mira è di 11 giorni (264 ore).

Quanto costa ad un’organizzazione una violazione informatica?

Si tratta di cifre molto variabili. Tutto dipende dalla tipologia di violazione, da quanto i criminali informatici sono riusciti a rubare o dall’ammontare del tempo nel quale l’azienda non ha potuto operare. Secondo lo State of Ransomware, nel 2021 una violazione informatica è costata mediamente 1,85 milioni di dollari per organizzazione. Questo dato comprende il costo del ripristino dell’infrastruttura, il danno economico derivante dal blocco delle attività e dal valore dei dati sottratti. Non sono però considerati i danni reputazionali che possono creare conseguenze ancora maggiori e di lungo periodo. Da notare inoltre è come il costo di una violazione nel 2021 sia fortemente cresciuto rispetto agli 0,76 milioni di dollari del 2020: un dato questo che dimostra l’importanza di una sicurezza informatica adeguata.

Come le imprese possono quindi proteggersi?

E’ necessario un approccio integrato alla sicurezza informatica attraverso soluzioni all’avanguardia che sfruttano le tecnologie più evolute come l’intelligenza artificiale o il blocco delle tecniche di exploit. Molto importanti risultano anche i moduli EDR (endpoint detection and response) che permettono di risolvere i limiti tipici degli antivirus ed aumentano la protezione delle postazioni di lavoro. Per rendere la rilevazione delle minacce ancora più efficace e scoprire immediatamente possibili intrusioni esistono servizi di Managed Threat Response come quello offerto da Sophos: un team di esperti in sicurezza supporta le aziende clienti 24 ore al giorno ed interviene e debella le minacce entro 1 ora di tempo.

Quali sono le altre soluzioni che Sophos mette a disposizione delle aziende?

Sophos offre un ampio portafoglio di soluzioni di sicurezza informatica che proteggono le organizzazioni a 360 gradi dalle minacce informatiche come software per il controllo della rete e degli endpoint, firewall, soluzioni per la protezione della posta elettronica, sistemi di cifratura ed access point nativamente sicuri. La loro forza, oltre che per le funzionalità di ogni singolo elemento, si trova nel fatto che queste soluzioni sono tutte integrate e collegate: grazie alla condivisione dei dati in un unico data lake e ai sistemi XDR di analisi e di intelligenza artificiale, è possibile avere sotto controllo l’intera infrastruttura attraverso un’unica console (Sophos Central) e migliorare l’identificazione delle minacce.

L’intelligenza artificiale sta diventando quindi sempre più importante. Sostituirà l’uomo?

No: l’AI è un alleato fondamentale, ma non è capace di prendere decisioni. Servono tecnici competenti che, grazie proprio all’intelligenza artificiale e al machine learning, sono in grado di avere una conoscenza accurata ed in real-time di quello che sta succedendo sulle reti aziendali ed intervenire correttamente. Bisogna però ricordare che così come i “buoni” utilizzano l’intelligenza artificiale, allo stesso tempo anche i criminali informatici sfruttano l’AI per rendere le proprie minacce sempre più efficaci.

Soluzioni integrate, tecnologie di ultima generazione e supporto di esperti di sicurezza informatica permettono alle imprese di essere protette al 100%?

Purtroppo no, il rischio c’è sempre, ma avere il meglio di questi elementi consente di limitare le probabilità di subire una violazione e di scoprire immediatamente una possibile intrusione. A giocare un ruolo determinante è anche quello dei dipendenti delle aziende che devono essere adeguatamente formati per evitare che il loro comportamento possa offrire ai criminali informatici le chiavi della propria organizzazione. In questa direzione Sophos ha lanciato PhishThreat, un simulatore di attacchi phishing che le aziende possono utilizzare per testare le capacità dei dipendenti nel riconoscere questo tipo di minacce informatiche.