Paolo Lossa, Country Sales Manager di CyberArk Italia, ci parla di sicurezza del dato, deepfake e di servizi di sicurezza altamente evoluti di tipo Identity as-a-Service.
– I deepfake hanno il potenziale per diventare (se già non lo sono) uno strumento pericoloso per perpetrare attacchi alle aziende. Quali sono gli scenari attuali? Come difendersi?
I deepfake hanno il potenziale per diventare una funzionalità aggiuntiva degli attacchi alle aziende, amplificando le tecniche di ingegneria sociale esistenti, facendole apparire ancora più credibili. È già possibile reperire sul Dark Web filmati deepfake, e per gli attaccanti non è così difficile rubare video e registrazioni dei manager dai social media aziendali, dai materiali di marketing o dagli account digitali dei singoli dipendenti, ad esempio, e utilizzare le loro proprietà per generare deepfake da utilizzare strategicamente nei tentativi di phishing. Abbiamo già visto cybercriminali sfruttare piattaforme come applicazioni chat e di collaborazione per rendere le loro comunicazioni più credibili, a integrazione di metodi più tradizionali come il phishing via e-mail.
L’aggiunta di livelli più sofisticati ai deepfake significherebbe che gli attaccanti potrebbero trarre vantaggio dalla fiducia riposta in format come il video o le comunicazioni verbali. Considerata la frequenza con cui i video dei CEO o di altre figure di rilievo vengono pubblicati – e sono quindi accessibili da Internet – vi è ora la possibilità, ad esempio, che le e-mail di phishing siano seguite da un messaggio video o audio urgente del CEO inviato su WhatsApp, per aggiungere autenticità. D’altronde, più aumentano i contenuti video e audio, più facile sarà manipolare anche le persone, con il potenziale di cambiare completamente il panorama del phishing.
Prevediamo che gli autori delle minacce possano creare deepfake in cui costruiscono un personaggio fittizio – un collega di cui ci si fida come ad esempio un membro del team IT – per raggiungere dipendenti mirati e inconsapevoli con una serie di videochiamate al fine di conquistare la loro fiducia prima di richiedere le loro credenziali e utilizzarle per accedere ai sistemi aziendali. Molti di noi, dopo tutto, non hanno avuto modo di incontrare i colleghi in questi mesi di pandemia. In realtà, crediamo che questa tecnica possa essere già in uso in alcuni contesti, anche se un cybercriminale, data la natura mirata di un attacco del genere, farebbe di tutto per camuffarlo.
– Smart working e sicurezza dei dati. La pandemia e il conseguente lavoro “forzato” da remoto hanno portato a molte violazioni in ambito security. Quali strumenti devono mettere in campo le aziende per non perdere il controllo dei propri dati?
Oggi, con molte persone che lavorano da casa, la sicurezza informatica è diventata un argomento ancora più prioritario. Con il lavoro a distanza, ognuno di noi è ora un potenziale punto di ingresso nell’organizzazione per gli attaccanti, con un conseguente aumento dei rischi, e aziende che sono più vulnerabili che mai ai cyberattacchi. Uno dei principali fattori di pericolo è rappresentato dai cybercriminali che approfittano della paura umana relativa al Covid-19 per condurre attacchi basati su tecniche di social-engineering.
Semplici passi per creare un ambiente più sicuro potrebbero includere l’aggiunta di autenticazione biometrica e multi-fattore quando ci si connette a sistemi e dati aziendali, per essere produttivi e più protetti da qualsiasi luogo si operi. Questo diventa assolutamente cruciale per quei dipendenti remoti che hanno accesso a informazioni privilegiate o sistemi critici.
Più in generale, i dispositivi mobili sono la nostra ancora di salvezza a casa e in ufficio, ma possono anche essere suscettibili agli attacchi. E’ importante assicurarsi, se possibile, che i device di lavoro siano utilizzati solo per scopi professionali per ridurre la potenziale esposizione a siti web pericolosi e malware, che le patch siano sempre aggiornate e i dispositivi sottoposti a backup in un luogo sicuro.
– Identity as-a-Service, qual è il concetto di fondo di questo tipo di servizio? Quali sono i vantaggi tangibili per utenti e imprese?
Nel mondo mobile, digitale e del cloud di oggi, tutte le identità possono diventare privilegiate in determinate condizioni. Se non adeguatamente protette, possono aprire le porte ai malintenzionati per eseguire attacchi sempre più mirati. A causa di questa nuova realtà, l’approccio tradizionale alla gestione e alla sicurezza delle identità non è più adeguato. L’Identity-as-a-Service – la sicurezza delle identità secondo CyberArk – è il livello fondamentale che gestisce e protegge l’accesso di una serie di identità umane, applicative e di macchine e i servizi che utilizzano.
L’adozione di servizi cloud pubblici, applicazioni SaaS e sistemi di accesso remoto ha dissolto il tradizionale perimetro di rete, quindi l’autenticazione e l’autorizzazione di tutte le identità diventano fondamentali per impedire che i dati e le risorse critiche di un’organizzazione siano potenzialmente accessibili in molti più modi che in precedenza. L’identità diventa la linea di difesa chiave per la maggior parte delle aziende e del “nuovo perimetro”.
– Sicurezza CyberArk – La gestione degli accessi privilegiati mette al riparo da rischi estesi sulla rete e permette di bloccare preventivamente tentativi di intrusione. Come funziona?
Ancor prima di scegliere una soluzione di gestione degli accessi privilegiati (PAM) per l’azienda, i CISO dovrebbero chiedersi: “cosa voglio proteggere?” Questa gestione riguarda infatti mentalità e, approccio, oltre che tecnologia.
Migliaia di progetti PAM realizzati con le più grandi organizzazioni del mondo hanno rafforzato il nostro punto di vista secondo cui il modo migliore per proteggere l’azienda è innanzitutto identificare i dati e le risorse critiche, quindi valutare i percorsi che un cyber criminale potrebbe seguire per comprometterli. Sembra un procedimento ovvio, ma non è ancora una pratica così comune come dovrebbe.
Identità privilegiate, credenziali, segreti e account si trovano in tutta l’infrastruttura IT, sia essa on-premise, multi-cloud o un insieme di entrambi. Bisognerebbe concentrarsi inizialmente su chi ha accesso a dati e risorse critici.
La gestione PAM è la strategia completa di cybersecurity che comprende persone, processi e tecnologia – per controllare, monitorare, proteggere e verificare tutte le identità e le attività privilegiate, umane e non, in un ambiente IT aziendale.
PAM si basa sul principio del minimo privilegio, in cui gli utenti ricevono solo i livelli minimi di accesso richiesti per svolgere le loro funzioni lavorative. Questo principio è ampiamente considerato come una best practice di sicurezza ed è un passo fondamentale nella protezione dell’accesso privilegiato a dati e risorse di alto valore. Con la sua applicazione, le organizzazioni possono ridurre la superficie di attacco e mitigare il rischio da parte di malintenzionati interni o attacchi informatici esterni che possono portare a costose violazioni dei dati.
– Con i workload che si stanno rapidamente spostando verso “la nuvola”, come è possibile ottenere la visibilità dei dati e il controllo degli accessi? Come abilitare una efficace cloud security?
Il 2020 ha visto la massiccia accelerazione della migrazione al cloud come parte delle iniziative di trasformazione digitale rapidamente adottate per sostenere la nuova realtà lavorativa ibrida affrontata dalla maggior parte delle aziende.
Le risorse e i workload cloud sono suscettibili a un’ampia gamma di minacce IT, tra cui violazioni di dati, ransomware, attacchi DDoS e di phishing. Insieme al rapido dispiegamento di nuovi ambienti e servizi cloud, è stata creata una quantità enorme di permessi basati sull’identità, molti dei quali trascurati. Nel tentativo di consentire rapidamente ai dipendenti di poter lavorare, i privilegi di accesso possono essere stati concessi in modo eccessivo, per evitare interruzioni di servizio.
Questo comporta due problemi. Il primo è potenzialmente di concedere a qualcuno troppe autorizzazioni, permettendo l’accesso a elementi a cui non dovrebbe, con il rischio potenziale di errori o abusi.
Sicurezza CyberArk
Un recente studio svolto della società di ricerca ESG ha rilevato che gli account e i ruoli con troppe autorizzazioni sono al primo posto tra le configurazioni errate dei servizi cloud. Non sorprende che gli attaccanti ne abbiano preso nota. Lo studio ha classificato anche i privilegi eccessivi come il vettore di attacco più comune contro le applicazioni cloud.
Questo è il secondo problema. Agli occhi di un cybercriminale, ogni identità cloud rappresenta una potenziale opportunità e un primo passo verso le risorse più preziose di un’azienda. Se non adeguatamente configurate o gestite, queste identità creano un percorso per ottenere un accesso privilegiato e compromettere un intero ambiente cloud.
La mitigazione di questi rischi comporta il monitoraggio continuo dell’accesso al cloud e l’applicazione del minimo privilegio, identificando e rimuovendo le autorizzazioni cloud eccessive che possono lasciare le organizzazioni esposte. In questo modo è possibile ridurre significativamente il rischio e migliorare la visibilità e la sicurezza generali.