SIAMO SEMPRE SOTTO ATTACCO INFORMATICO …

Che siamo sempre e costantemente sotto attacco informatico è purtroppo una condizione ormai comunemente accettata. Nel puro ambito personale, ce ne accorgiamo dal numero elevato di email di phishing che riceviamo quotidianamente e dalle continue false richieste, da parte di vari fasulli istituti bancari, aventi lo scopo di estorcerci le credenziali dei nostri account.

Una recentissima pubblicazione, Digital Defense Report 2020 di Microsoft, ha messo ancor più in luce quanto gli attacchi informatici risultino essere ormai la nostra quotidiana normalità.

Gli spunti, provenienti dal report, sono molteplici, pertanto cercheremo di evidenziare quelli che reputiamo essere di maggiore o di più immediato interesse.

Le organizzazioni cyber-criminali stanno evolvendo in termini di efficienza e competenza; anche perché possono contare su cospicui finanziamenti, sia da organizzazioni legate a certe nazioni-stati che da organizzazioni malavitose. La maggior parte degli attacchi sono spesso riconducibili ad organizzazioni presenti in alcuni nazioni-stati dell’Europa orientale (Russia), del medio oriente (Iran) e dell’estremo oriente (Cina e Corea del Nord) ed hanno come target principali società ed enti in USA, Europa, Canada, Corea del Sud e Arabia Saudita.

Tali organizzazioni stanno sviluppando anche nuovi strumenti, sia automatici (basati su sofisticati algoritmi e robot) che di spionaggio industriale (cioè richiedenti una forte e perspicace attività investigativa umana), utilizzando, come base principale di primo attacco, la ricognizione automatica del web e l’email phishing. Lo scopo secondario è arrivare al furto di credenziali, al ransomware ed al malware criptato, con l’obiettivo ultimo di ottenere un tornaconto economico fraudolento e/o creare problemi gestionali ed economici a determinate aziende e/o enti statali. Particolarmente in questo ambito, la realizzazione di Exploit VPN ha evidenziato l’interesse criminale di riuscire a bloccare il funzionamento di reti aziendali (tramite DoS e DDoS).

Un ulteriore elemento di valutazione è che tali organizzazioni hanno mostrato di possedere un forte spirito di adattamento; infatti il periodo del COVID-19 ha portato ad un notevole aumento di phishing basato su argomenti relativi ai virus, ai dispositivi sanitari di difesa ed ai servizi alla salute. Si è notato che tali variazioni di argomenti seguono addirittura i top trend, per lanciare delle esche a tema, col massimo effetto.

I server maligni, in cui vengono custoditi i vari siti fasulli e i software malevoli, ormai sono inseriti in ambito cloud,  ben mimetizzati in mezzo ad altri siti ed applicazioni tradizionalmente convenzionali.

Che i dispositivi IoT fossero elementi di frontiera, pertanto anelli deboli della catena su cui far convergere gli attacchi, era già insito nelle loro caratteristiche. Infatti si è evidenziato nel 2020 un aumento, rispetto all’anno precedente, di circa il 35%  degli attacchi perpetrati verso i dispositivi IoT.

Ed allora cosa fare ?

Il report stesso cerca di dare risposte. Basandosi sia sul buon senso che sulle funzionalità delle più recenti tecnologie, ne riportiamo una decina (quelle di nostro maggior interesse).

Adottare l’autenticazione a più fattori (MFA): L’aggressore dovrà superare più fattori di controllo per ottenere il nostro account e questo diminuisce drasticamente la probabilità statistica di riuscita dell’attacco (es. PIN, Codici via PEC o SMS, SPID, Carte elettroniche personali, app di autenticazione su smartphone, …).

Andare oltre le password: Fermo restando che le password devono essere complesse, univoche e possibilmente casuali, le tecnologie attuali permettono di affiancare alle password il riconoscimento biometrico. Pertanto possiamo adottare, ormai a costi accettabili, il riconoscimento della faccia, delle impronte digitali, della voce, della retina o di altro per aumentare esponenzialmente la nostra sicurezza.

Manutenere l’email: Poiché il 90% degli attacchi provengono dalle email, prevenire il phishing può limitare la possibilità di successo degli aggressori. Le piattaforme di mailing ormai prevedono filtri in ingresso, in uscita e sui collegamenti. Consideriamo anche la possibilità di disabilitare l’inoltro automatico.

Realizzare un sicuro ciclo di vita di sviluppo del software: Sia che sviluppiate software in proprio o che lo acquistiate, si consiglia di organizzare un solido ciclo di vita di sviluppo del software, che includa modellazione delle minacce, revisioni della progettazione, test statici e dinamici approfonditi delle applicazioni e test di penetrazione in produzione.

Adottare l’approccio 3-2-1 ai backup: I backup sono essenziali per riorganizzare e far ripartire l’azienda dopo una violazione. E’ utile implementare la regola del 3-2-1: cioè conservare 3 copie (originale + 2 backup), utilizzare 2 tipi diversi di media per i backup e conservare 1 copia di backup in un altro luogo (offsite).

Adottare il principio del privilegio minimo: Per limitare i rischi interni, sia intenzionali che non intenzionali, occorre praticare il principio del privilegio minimo, che prevede il rilascio all’utente delle credenziali minime e sufficienti per espletare le sue funzioni aziendali. Sempre da valutare la limitazione dei privilegi degli amministratori di sistema ed il loro controllo, per evitare intrusioni indesiderate ai sistemi e alle applicazioni di particolare importanza aziendale.

Adottare politiche di sicurezza per gli IoT: Abbiamo capito che sono e saranno l’anello debole del sistema informatico, pertanto occorre integrare ogni dispositivo IoT all’interno dei programmi di sicurezza aziendali, monitorandone il funzionamento, con l’obiettivo di arrivare alla governance completa del dispositivo stesso.

Conoscere il proprio perimetro: Le recenti spinte verso lo smart-working e l’utilizzo crescente di dispositivi personali e di reti pubbliche (BYOD) hanno portato a ridefinire il perimetro informatico aziendale. Gli endpoint sono sempre più lontani dalla rete aziendale, si espandono con nuove installazioni software, per videoconferenza e attività collaborative, divenendo punti di riferimento per le tipiche attività degli hacker, quali ricognizione e infiltrazione nelle reti aziendali. Monitorare gli endpoint (anche non aziendali) e controllarne il corretto e sicuro funzionamento è la sfida del presente e lo sarà ancor più in futuro.

Investire nella formazione continua degli utenti: Gli utenti, essendo la prima linea di difesa aziendale, devono essere fortemente sensibilizzati sugli argomenti della sicurezza informatica. La formazione deve essere istituzionalizzata a livello organizzativo e deve essere sempre aggiornata sulle modalità e sugli strumenti per individuare e gestire le varie tipologie di attacco informatico.

Adottare una mentalità Zero Trust: Non bisogna mai pensare che tutto ciò che si trova dietro al nostro firewall aziendale sia sicuro. Indipendentemente dall’origine della richiesta o dalla risorsa a cui si accede, valutiamo sempre l’autenticazione, l’autorizzazione e la crittografia, prima di concedere l’accesso.

ACTION ICT (Ottobre 2020)

ACTION ICT è un’azienda di informatica giovane, dinamica e innovativa. Opera, sia a livello nazionale che internazionale, offrendo competenze professionali e soluzioni progettuali nell’ambito dell’ICT a clienti di medie e grandi dimensioni. Le nostre aree di eccellenza sono coperte da tre nostri centri di competenza: ACTION DATA (Big Data Analytics e Intelligenza Artificiale), ACTION APP (Web & Mobile Application) e ACTION IOT (Internet of Things e Robotica).