Luca Maiocchi, country manager di Proofpoint, traccia gli scenari odierni delle minacce e ci spiega come innalzare la protezione phishing.
– Il phishing è un fenomeno in costante ascesa, quali sono le prerogative tipiche di questa minaccia? Come riconoscere un attacco di phishing?
Nel corso nel 2020 abbiamo condotto una ricerca sui CISO italiani, che ha mostrato come il phishing sia stato il tipo di attacco registrato più spesso dalle nostre aziende (39%), seguito da Business Email Compromise (28%), Insider threat e credential phishing, entrambi al 22%. Anche l’emergenza COVID-19 ha avuto i suoi effetti, con il 26% delle aziende italiane che ammette un aumento degli attacchi legati alla pandemia.
Ci sono molte ragioni per il crescente successo del phishing, che ha una bassa barriera d’ingresso per i criminali informatici, ma offre un ritorno di alto valore. Queste e-mail sono molto facili da creare, richiedono poche conoscenze tecniche e, soprattutto, dipendono esclusivamente dal clic di un utente per avere successo. Infatti, oltre il 99% dei cyberattacchi ha bisogno di un’interazione umana per funzionare. Sfortunatamente, gli autori delle minacce utilizzano attivamente l’ingegneria sociale per convincere le persone a cliccare su un link o ad avviare un attacco, spesso sfruttando le loro decisioni istintive senza un adeguato controllo.
– Quali soluzioni proponete per difendere le imprese da attacchi di phishing?
Dal punto di vista aziendale, il passo più importante è mettere le persone al centro di qualsiasi strategia di sicurezza. Gli utenti sono l’ultima linea di difesa contro il phishing, motivo per cui una loro costante educazione alla consapevolezza della sicurezza fornisce una base necessaria a garantire che tutti possano identificare una email di phishing e segnalarla facilmente. Raccomandiamo anche difese a più livelli sul limite della rete, sul gateway email, nel cloud e sull’endpoint, oltre all’implementazione di protocolli di autorizzazione email come DMARC e SPF per autenticare la validità di qualsiasi email inviata dal proprio dominio.
– Protezione phishing: quali sono i settori più a rischio? Perché? Quali gli ambienti già compromessi in maggior misura?
Ogni settore sembra essere ugualmente a rischio, ma i criminali informatici sono notoriamente attratti dal denaro. Questo significa che il mercato finance può essere considerato come un obiettivo primario per il phishing, ma ogni settore e ogni dipartimento ha potenzialmente a che fare con il denaro, e questo li rende interessanti e soggetti ad attacchi di phishing.
Dobbiamo considerare che i cyber criminali non lanciano operazioni di phishing puntando solo ed esclusivamente al denaro in modo diretto, ma anche a dati e informazioni sensibili, che possono essere trasformati in denaro successivamente. Questo rende la minaccia del phishing ancora più pervasiva, e potenzialmente critica per ogni settore.
– Lo scollamento tra dipendenti e pericoli del mondo reale è davvero forte in alcuni contesti; il livello medio di maturità della sicurezza informatica è ancora scarso. Quanto conta la formazione del personale nel contrastare questo fenomeno? Come vi adoperate per supportare le imprese in questo?
Le aziende devono partire dal presupposto che ci sarà sempre qualcuno che cliccherà su un link o un allegato dannoso, ed è per questo che devono proteggersi e sensibilizzare gli utenti sulla sicurezza informatica. È fondamentale che investano in soluzioni avanzate di posta elettronica per rilevare e bloccare le minacce in arrivo, identificando anche i dipendenti a maggior rischio o più attaccati (VAP). Quando questo è combinato con la formazione degli utenti sulle minacce più comuni, comprese le simulazioni di attacco per una difesa efficace e sostenibile contro il phishing, le organizzazioni distribuiranno il giusto livello di protezione e mitigazione dove è più necessario.
La vigilanza è l’arma migliore contro le e-mail di phishing ed essere in grado di identificare i segnali di allarme in un’e-mail prima del clic può mitigare l’attaccante dall’ottenere un primo punto d’appoggio per poi compromettere il sistema aziendale. È fondamentale segnalare qualsiasi e-mail sospetta al proprio amministratore IT e verificate con i colleghi, amici e familiari se anche loro stanno ricevendo e-mail simili. Senza mai dimenticare che le istituzioni finanziarie non vi chiederanno mai le vostre informazioni personali attraverso un’e-mail.
– Nonostante il forte impatto della tecnologia nel mondo imprenditoriale, molto spesso le aziende sono restie al cambiamento. In Italia si registra una resistenza al cambiamento particolarmente alta. Quali considerazioni potete fare in merito? Cosa riscontrate presso i clienti?
Una ricerca che abbiamo condotto di recente sui CISO italiani ha evidenziato una situazione tutt’altro che ideale. Alla domanda su come i dipendenti rendano il loro business vulnerabile ai cyberattacchi, i CISO italiani hanno risposto di essere vittime di e-mail di phishing (67%) e di cliccare su link malevoli (63%), seguiti dalla cattiva gestione delle informazioni sensibili (46%). Tuttavia, quando si tratta di consapevolezza e formazione sulla cybersecurity, lo studio ha mostrato una forte disconnessione tra visione e realtà. Il 50% dei CISO ha definito la mancanza di consapevolezza sulle minacce informatiche la loro più grande sfida, mentre il 39% di loro pensa che la loro azienda dovrebbe investire di più in formazione e consapevolezza.
Protezione phishing
Alla domanda sulle più grandi sfide della loro organizzazione nell’implementazione della tecnologia di cybersecurity, il 57% dei CISO ha evidenziato un divario significativo nelle competenze di cybersecurity e nella formazione. Anche se i CISO sono evidentemente consapevoli dell’importanza fondamentale della formazione e della consapevolezza, il 65% dei CISO italiani ha ammesso di formare i propri dipendenti sulla consapevolezza della cybersecurity una volta all’anno o meno, addirittura con un 17% che non li forma mai. Ciò che è probabilmente peggio, solo il 17% delle aziende ha un programma di formazione continua. Sondaggi simili sono stati condotti nel corso del 2020 in diversi paesi europei, mostrando risultati simili ed evidenziando ancora una volta la necessità di un nuovo approccio alla cybersecurity, focalizzato sulla formazione delle persone e sull’aumento della loro fiducia e consapevolezza verso le minacce informatiche.
– Quando ci si scontra con ambienti chiusi, dove il primario obiettivo è il taglio dei costi o il risparmio assoluto, non ci sono vincitori: Quanto è sensibile il fattore prezzo e costo nel vostro mercato e per i vostri clienti. Quali esperienze avete registrato in merito?
Il difficile scenario economico che stiamo vivendo ha un impatto significativo sugli investimenti aziendali, e non solo nella cybersecurity. Sempre di più, le aziende devono però considerare che la cybersecurity è un abilitatore di business, fondamentale per la loro attività, e non solo un “male necessario”. Fortunatamente, la consapevolezza sta aumentando e i consigli esecutivi stanno diventando sempre più consapevoli di come un approccio completo e strategico alla cybersecurity possa in definitiva migliorare il loro business.
I cyberattacchi possono avere un impatto finanziario e di immagine devastante e di vasta portata per le aziende. I CISO italiani hanno evidenziato che i danni al brand e alla reputazione sono il principale pericolo legato alla cybersecurity (87%), seguito dalla perdita di dati (80%) e dalle interruzioni del business e delle operazioni (74%).
Protezione phishing
I CISO sono ben consapevoli che investire in una forte difesa informatica è fondamentale, dato che il 76% di loro vorrebbe avere un budget più alto per la cybersecurity. Nel complesso, i CISO sono abbastanza fiduciosi (63%) che la loro azienda sia ben preparata per i cyberattacchi, e il 59% di loro ha effettivamente fiducia nelle loro soluzioni e tecnologie.
Oggi più che mai, i CISO si stanno accreditando presso il consiglio di amministrazione, spiegando come la sicurezza (o la sua mancanza) può avere un impatto sul business, usando un linguaggio non tecnico ma orientato al business. Questo vale soprattutto per le organizzazioni medio-grandi, naturalmente, ma vediamo anche numerose aziende di nuova generazione, innovative e native digitali, che incorporano la cybersecurity come approccio nei loro processi aziendali.
– Volendo tracciare uno scenario aggiornato, tra ransomware, cripto-malware, phishing e tutte le minacce in circolazione: quali sono le tendenze attuali? Quanto impattano le vulnerabilità dei sistemi e dei software moderni, in termini di sicurezza generale delle imprese e di capacità di fronteggiare simili minacce?
Che si tratti di ransomware, di compromissione della posta elettronica aziendale o dei tanti altri tipi di minacce che esistono, la posta elettronica rimane il canale numero uno usato dai criminali informatici per rubare dati e trafugare miliardi ogni anno. Oltre il 90% degli attacchi mirati inizia con le e-mail e quasi tutti si basano sull’interazione umana per funzionare, rendendo le persone il nuovo perimetro aziendale da difendere.
Possiamo sicuramente dire che il focus dei criminali informatici è passato dallo sfruttamento delle vulnerabilità tecniche (zero-day, ecc…), che sono difficili da trovare e costose da sfruttare, a quello delle vulnerabilità umane, attraverso il phishing nelle sue diverse forme.
Le aziende devono cambiare per riflettere l’odierno panorama delle minacce e adottare un approccio incentrato sulle persone per la protezione della posta elettronica basata sul cloud, che controlli tutti gli aspetti delle e-mail in entrata e in uscita per rilevare e bloccare le minacce malware e malware-less e impedire che le informazioni riservate finiscano nelle mani sbagliate. Come Proofpoint raccomandiamo anche di condurre una formazione continua sulla consapevolezza della sicurezza per ogni dipendente e appaltatore con accesso ai sistemi aziendali.
