Sicurezza informatica, compliance e difesa dagli attacchi

Le vulnerabilità caratterizzano tutti gli ecosistemi tecnologici e affrontarle con cautela è uno dei lavori più richiesti ai team IT di oggi.

lo smashing dovrebbe allarmare i CISO

La sicurezza informatica costituisce un aspetto sempre più importante dell’operatività quotidiana degli ambienti di business, come proteggere dati e persone?

Il concetto stesso di sicurezza sta cambiando notevolmente in questi anni e, conseguentemente, anche l’approccio a sistemi, piattaforme e servizi in uso presso le aziende.
In uno scenario in rapida evoluzione, le imprese, soprattutto le più piccole, possono trovarsi disorientate. Senza un reparto IT debitamente formato, e senza il supporto di un consulente qualificato, è facile rimanere sguarniti, indifesi contro le minacce odierne.

Quali sono le sfide di domani?

Per potenziare la cybersecurity, la collaborazione tra pubblico e privato è fondamentale: costituisce la base per una strategia nazionale di difesa dalle minacce e dal cybercrime. La sicurezza cyber è uno degli ambiti che ha subìto maggiormente l’impatto dello stato di crisi economica e sanitaria.
Lo scenario attuale ha modificato le nostre abitudini quotidiane. La maggior parte delle attività si svolge in ambienti digitale. Dopo oltre un anno dall’esplosione della pandemia, sono molti gli aspetti critici che hanno impattato su tutti noi, in primis la percezione del rischio.

Occorre dunque dare maggiore importanza alla cybersecurity e alla collaborazione tra istituzioni e organizzazioni private.
È fondamentale che la sicurezza cibernetica in questa rivoluzione sia considerata e implementata by-design, ossia prevista e inserita sin dalla fase progettuale e diventando l’elemento fondante e abilitante di tutti i servizi, le piattaforme e le applicazioni digitali. È indispensabile per la tenuta dell’intero sistema prevedere, analizzare e prevenire tutti i possibili rischi a cui siamo esposti, seguendo un approccio alla sicurezza cibernetica finalmente sistemico e che tenga in considerazione tutta la supply chain.

sicurezza informatica

Cybercrime e sicurezza informatica, quali segnali?

Oggi, l’obiettivo dei criminali è quello di bloccare le attività d’impresa, esfiltrare informazioni e segreti industriali, ma anche estorcere denaro.

Il primo passo è quello di saper leggere i segnali e le criticità relative all’infrastruttura IT aziendale.
Per farlo occorrono strumenti e competenze che consentano di minimizzare e individuare eventuali infiltrazioni malevole in poco tempo. In ambito security è in uso da diverso tempo il concetto di “Dwell time”. Con questa terminologia si intende il tempo di permanenza durante il quale un attaccante ha accesso non rilevato a una rete, finché non viene completamente individuato e rimosso.

Secondo le analisti FireEye, il global attacker Dwell Time è passato dai 56 giorni del 2019 ai 24 giorni del 2020. Potrebbe sembrare un tempo molto alto, e lo è a tutti gli effetti, ma rappresenta un miglioramento di proporzioni colossali rispetto ai 416 giorni registrati nel 2011.
Il dato globale fa ben sperare anche se i dati EMEA riflettono un peggioramento, con un Dwell time che è passato da 54 giorni a 66 giorni negli ultimi due anni.
Le attività malevole sono corroborate da una costante presenza di minacce ransomware che, nel 2020, hanno rappresentato un quarto delle attività investigative degli esperti.

Sicurezza informatica

Osservando le categorie di malware in circolazione è possibile notare che la maggioranza è di tipo backdoor (41%), mentre le componenti relative a ransomware, furto di identità, launcher, dropper e downloader si spartiscono la torta complessiva con pochi punti percentuali cadauno.
In termini di disponibilità, uno strumento o un codice recuperabile pubblicamente risulta oggi facilmente ottenibile senza restrizioni particolari. Ciò include strumenti che sono disponibili gratuitamente su Internet, come così come tool che sono regolarmente venduti o acquistati da qualsiasi acquirente.
La maggior parte dei malware è tuttavia di tipo “non pubblico”. Possono includere strumenti che sono sviluppati, detenuti o utilizzati privatamente, nonché tool condivisi o venduti a un limitato numero di clienti.

sicurezza informatica

Smart working e sicurezza informatica, le cattive abitudini

In questo scenario l’elevato utilizzo di modalità di lavoro da remoto ha intensificato la sfida dei reparti IT aziendali. Globalmente, spostamento verso il lavoro remoto durante la pandemia ha intensificato i problemi relativi alla protezione dei dati.
La protezione dei dati dagli attacchi e dal furto, a causa di attori sia esterni sia interni, è una preoccupazione importante. Le organizzazioni desiderano funzioni di ripristino granulare e altre funzionalità non sempre disponibili in modo nativo.

Durante l’ultimo anno, il valore e l’importanza delle password è sensibilmente aumentato. L’esplosione dei servizi internet, lo smart working e la scuola in DAD, oltre al moltiplicarsi di account di app, store digitali e social network hanno provocato un utilizzo ancora più massiccio di password.
Tuttavia, la maggior parte degli utenti di Internet oggi non è consapevole dell’importanza di creare password sicure ed efficaci, il che lascia le persone vulnerabili agli attacchi di criminali informatici e hacker.

Per una maggiore sicurezza, occorre abilitare sistemi crittografici e meccanismi di gestione password. È inoltre indicato scegliere password di almeno 16 caratteri e sistemi di autenticazione a due o più fattori. Indipendentemente dalla sicurezza, non bisogna utilizzare la stessa password per più servizi. Non bisogna utilizzare nella scelta info personali o frasi e riferimenti tratte da canzoni o film famosi. È assolutamente sconsigliato scrivere la password su fogli o agende oppure provare a memorizzarle.

Mappare procedure e punti deboli per migliorare la sicurezza informatica

Lo smart working ha permesso alla maggior parte delle aziende di contenere le difficoltà causate dal Covid-19, spingendole a sperimentare nuovi approcci per poter continuare in maniera efficiente anche in questa nuova normalità.
Quindi, se lo smart working diventerà un modello consolidato, dovremo stabilire nuove policy per far fronte all’incremento degli hacker presenti nel network. Questi ultimi, infatti, sanno molto bene che i sistemi IT non aggiornati ed ancora in uso sono inadeguati. Di seguito, indichiamo alcune delle priorità che ogni responsabile IT dovrebbe considerare per avere sistemi sicuri ed in linea con la compliance.

rete

In questo contesto sono necessarie nuove procedure per garantire che tutti possano lavorare dove, quando e come vogliono. Come prima cosa, la gestione degli asset dovrebbe avere la priorità per far fronte alla creazione di ambienti ibridi complessi di cloud storage, containerizzazione, dispositivi personali e reti pubbliche non controllate da parte dei lavoratori da remoto.

Un inventario preciso e aggiornato può identificare più facilmente i punti deboli. Formulando piani d’azione per affrontarli ed evitando così di rimanere in stallo ed aspettare che si presenti la violazione. Se consideriamo uno scenario di questo tipo e le potenziali catastrofi connesse, si può comprendere del perché sia stato coniato il termine minaccioso “Shadow IT”.

La sicurezza informatica passa anche dalla gestione degli asset IT che, oggigiorno, è in gran parte automatizzata. Qualsiasi dispositivo che si connette alla rete aziendale, anche su larga scala viene esaminato e registrato, dai PC alle applicazioni che offrono servizi in cloud, dal software ai dispositivi IoT. Se uno tra questi legge, crea o aggiorna i dati, ne verremo subito informati. In questo scenario il monitoraggio in tempo reale e la scansione delle vulnerabilità rappresentano la “nuova normalità.” Una corretta gestione degli asset permetterà di applicare le patch più facilmente.

Vulnerabilità

Le vulnerabilità caratterizzano tutti gli ecosistemi tecnologici e affrontarle con cautela è uno dei lavori più richiesti ai team IT di oggi.
Passare metodicamente attraverso ogni app, applicando manualmente ogni correzione disponibile, potrebbe però risultare poco pratico e controproducente. Per questi motivi è necessario creare una lista di priorità delle patch che tenga conto della facilità di sfruttamento della vulnerabilità e di quanto possa essere dannosa la conseguente penetrazione. Ogni azienda sarà caratterizzata dai propri scenari, dalle app utilizzate e dai dati critici.

amministratore IT

La gestione moderna delle vulnerabilità deve anche tenere in considerazione il ritmo con il quale cambia il network. Nel mondo ibrido c’è un costante passaggio di dispositivi che si connettono e disconnettono dalla rete aziendale, ognuno con le proprie vulnerabilità in attesa di essere risolte.

Per far fronte a questo problema, un framework delle priorità classificherà le vulnerabilità evitando uno spreco degli asset nell’affrontare i problemi più semplici. Una corretta implementazione di questo processo non porterà solo a una maggiore efficienza operativa all’interno dei sistemi di sicurezza IT. Ma renderà più semplice alimentare la linea di business con un reporting chiaro su come le misure di protezione sono applicate efficacemente in tutta l’azienda.

Le conseguenze della pandemia globale hanno imposto alcune decisioni difficili alle organizzazioni e ai loro CISO. La crisi economica costringerà infatti i team di sicurezza IT a giustificare i loro budget e persino come svolgono il proprio ruolo.

Secondo gli analisti di tutto il mondo, la spesa per la sicurezza in cloud è destinata ad aumentare, ma i dirigenti aziendali si aspettano ancora molta efficienza operativa dai propri collaboratori. Per garantire questo, l’automatizzazione dei compiti più semplici è vitale per consentire ai tecnici esperti di concentrarsi sulle minacce che richiedono maggiore attenzione. I professionisti della sicurezza, quando riescono a dedicarsi solo agli scenari più complessi, possono dimostrare il loro valore.

Mettere in sicurezza dati e lavoratori

I criminali informatici sono sempre più alla ricerca di nuove opportunità per mirare ai dispositivi di controllo nelle case e nelle aziende. A volte questo tipo di dispositivi non rientrano nell’ambito della gestione IT tradizionale. La sicurezza dei sistemi residenziali intelligenti e delle piccole imprese merita un’attenzione elevata soprattutto perché l’accesso potrebbe avere gravi conseguenze a livello di security. Ciò è particolarmente rilevante per gli ambienti di lavoro remoti in cui è importante l’accesso sicuro.

La Threat Intelligence, che è dinamica, proattiva e disponibile in tempo reale, può aiutare a identificare le tendenze che mostrano l’evoluzione dei metodi di attacco e individuare le priorità di cyber hygiene. Il valore e la capacità di agire sull’intelligence delle minacce vengono drasticamente ridotti se non può essere attuabile in tempo reale su ogni dispositivo di sicurezza. Solo un security fabric ampio, integrato e automatizzato può fornire protezione per l’intero ambiente di rete, dall’IoT all’edge, dal network core e ai multi-cloud alla velocità sufficiente e in scala.

I consigli per incrementare la sicurezza aziendale e personale includono, in primis, la protezione totale di tutti i device in uso (PC, portatili, tablet, smartphone). Ogni connessione interna o esterna alla rete aziendale deve essere ispezionata alla ricerca di attività sospette. Antivirus aggiornati e installazione delle ultime patch sono la base per un’estate in serenità.

Protezione posta elettronica

Phishing e e-mail

In secondo luogo, è importante prestare la massima attenzione durante la lettura delle e-mail, che restano la prima fonte di attacco diretto verso le imprese. Phishing, malware e attacchi sofisticati partono frequentemente da una mail sospetta ma opportunamente mascherata per sembrare legittima.
Come già noto da tempo, il phishing è una truffa veicolata tramite Internet, in cui si cerca di ingannare la vittima al fine di recuperare informazioni sensibili come username, password o dati bancari.

Generalmente, il criminale informatico invia false comunicazioni al soggetto-vittima, fingendosi un Ente o un’azienda ben conosciuta o con cui è possibile che si stiano avendo conversazioni e relazioni, usando scuse plausibili per ottenere i dati personali della vittima.
Per proteggersi da questo tipo di minacce è opportuno prestare sempre attenzione alle comunicazioni ricevute e diffidare da quelle sospette. Per mitigare un possibile attacco in corso è importante cambiare immediatamente la password degli account compromessi, contattare il servizio clienti, avvisare gli enti colpiti ed eventualmente gli istituti di credito.

Anche se il phishing può sembrare una semplice e-mail ingannevole, è un reato vero e proprio, e come tale va considerato. Motivo per cui il passo successivo alle eventuali segnalazioni è quello di informare le autorità competenti. Nonostante non sia previsto dall’ordinamento penale, il phishing oggi viene giudicato come frode informatica e furto d’identità digitale. In quanto reato informatico, inoltre, va comunicato alla Polizia Postale, che sul suo sito ha disposto uno spazio per le segnalazioni di questo tipo.

Connettività e VPN

Se in viaggio, è bene fare attenzione alle reti alle quali ci colleghiamo. Le connessioni Wi-Fi di hotel, bar e ristoranti sono uno dei vettori di attacco privilegiati dagli attaccanti, perché quasi mai adeguatamente sicure causa di malware o di intercettazioni di credenziali dei siti a cui ci si connette. Privilegiare quindi l’uso di una VPN e – come ultima spiaggia – l’uso di una connessione tramite l’hotspot dello smartphone che si trasformerà così in un router Wi-Fi mobile.

Per innalzare il grado di security dei device in uso è consigliato evitare il salvataggio automatico dei dati di accesso su browser Internet, VPN e applicazioni aziendali, specialmente sui device personali o condivisi (ad esempio il PC nella hall dell’albergo). Se i dispositivi personali o aziendali cadessero in mani sbagliate, gli attaccanti avrebbero accesso immediato a tutti questi strumenti.

La salvaguardia dei dati passa da numerosi aspetti, che includono l’attenzione all’uso di device e reti e dalla gestione efficiente e costante dei backup. In questo, il cloud e la centralizzazione sicura dei dati consentono di lavorare in modo flessibile e al riparo da buona parte delle minacce.