Nel suo intervento Denis Valter Cassinerio, General Manager South Europe, Balkans & Turkey Emea di Acronis, elenca e spiega le 12 best practice che consentono alle aziende di migliorare nell’ambito della resilienza informatica.
Le minacce informatiche sono in crescita, guidate dai ransomware che rimangono lo strumento malware preferito dai criminali informatici per arricchirsi. Minacciando le aziende con azioni di esfiltrazione di dati, blocco delle attività e appropriazione di dati sensibili. Secondo l’ultimo report Acronis Cyberthreats, gli attacchi ransomware sono aumentati del 23% nel primo trimestre del 2024. E l’avvento di strumenti di GenAI come ChatGPT ha ulteriormente migliorato l’efficacia e la portata delle minacce e ha reso più semplice anche per criminali informatici alle prime armi sferrare un attacco.
In crescita i costi delle violazioni nelle aziende
Tutti trend che hanno un costo per le aziende, anzi un costo sempre più salato. L’indagine “Cost of a Data Breach 2024” di IBM ha confermato che il costo medio di una violazione dei dati è passato da 4,55 milioni di dollari nel 2023 a 5,53 milioni di dollari nel 2024. In questo scenario da un lato gli standard e le soluzioni di cybersecurity continuano a evolvere. Dall’altro le autorità e le assicurazioni stanno raccomandando o richiedendo l’implementazione di un piano di resilienza informatica. Ciò è previsto anche dall’entrata in vigore la scorsa settimana in Italia della Direttiva Europea Nis2. Ma perché le organizzazioni diventino resilienti in modo efficace occorre che siano altrettanto abili nel respingere il più possibile gli incidenti e nel riprendersi rapidamente quando le difese falliscono.
Per la resilienza informatica ecco 12 best practice
Affinché ciò avvenga, gli analisti di Acronis hanno individuato 12 best practice.
#1 Implementare misure anti-malware potenziate dall’apprendimento automatico e dall’AI. Ciò consentirà di identificare in modo adattivo le minacce in base al loro comportamento. Inoltre, in questo modo, l’EDR consente ai difensori di correlare i potenziali indicatori di compromissione (IOC) in modo più efficace su più endpoint; contenere rapidamente gli attacchi. Infine indagare sugli incidenti per identificare eventuali vulnerabilità che hanno consentito l’attacco e rimediare a tali punti deboli contro attacchi futuri.
#2 Aumentare i livelli di sicurezza della posta elettronica e il filtraggio degli URL. Le e-mail rimangono il vettore più diffuso. Infatti il 27,6% di tutte le e-mail ricevute sono spam e l’1,5% contiene malware o collegamenti di phishing, secondo il nostro ultimo report sulle minacce. Studio che evidenzia anche che il numero degli attacchi via e-mail sono aumentati nei primi sei mesi dell’anno di quasi il 300%. E ben il 26% degli utenti ha riscontrato tentativi di phishing tramite URL dannosi.
Resilienza informatica: agire anche sulle vulnerabilità della Rete
#3 Dotarsi di più strumenti che aumentano la visibilità delle risorse IT e dei flussi di dati. Gli strumenti di inventario IT e di prevenzione della perdita di dati (DLP) possono fornire una migliore visibilità delle procedure normali e anomale di archiviazione e spostamento dei dati. E rilevare così attività sospette e bloccare potenziali esposizioni.
#4 Eliminare le esposizioni della rete esterna e interna. Le vulnerabilità della Rete sono un altro vettore di attacco comune. Le aziende dovrebbero adottare misure di base come disabilitare il protocollo Microsoft Remote Desktop Protocol (RDP) tranne dove necessario; distribuire i firewall e sistemi di prevenzione delle intrusioni; limitare l’accesso VPN a specifiche posizioni geografiche. E ancora: limitare o vietare l’accesso alle risorse aziendali dai dispositivi personali e segmentare le reti interne per contrastare la propagazione del ransomware.
#5 Gestire con attenzione password e diritti di accesso. Secondo il Verizon Data Breach Investigations Report 2024, le credenziali rubate hanno contribuito al 24% di tutte le violazioni segnalate. Mentre le credenziali sono state compromesse nel 50% degli attacchi di phishing. Per combattere queste tattiche, le aziende dovrebbero implementare l’autenticazione a più fattori, soprattutto sui sistemi con dati sensibili. Cambiare sempre il login delle impostazioni di fabbrica e tutte le password dopo un attacco riuscito. Adottare il principio privilegio minimo per i diritti di accesso soprattutto per le banche dati e le infrastrutture più critiche e concedere privilegi limitati nel tempo o una sola volta, ove possibile.
#6 Prevedere un programma di sensibilizzazione alla sicurezza. Ridurre il numero di clic su allegati e collegamenti dannosi nelle e-email, chat, social può portare a significative riduzioni del rischio. Come? Stimolando i dipendenti a tenere le antenne alzate su questi veicoli molto pericolosi. Come per esempio inviando loro regolarmente false e-mail di phishing e predisponendo corsi di aggiornamento per chiunque cada nello stratagemma, amministratore delegato incluso.
Investire in cybersicurezza e protezione dei dati: 12 best practice
#7 Implementare la scansione automatizzata e programmatica delle vulnerabilità e la gestione delle patch. Le aziende in generale faticano a installare tempestivamente le patch software dei propri fornitori di tecnologia, lasciandole senza in media per oltre 88 giorni.
#8 Ridurre il numero di agenti sugli endpoint e sulle console. Le organizzazioni normalmente implementano nel tempo le proprie soluzioni di sicurezza informatica e protezione dei dati e ciò avviene in modo frammentario. Determinando in questo modo una proliferazione di agenti remoti sugli endpoint e sulle console di gestione presso il desk operativo IT e quindi questo genera lacune e conflitti.
L’importanza del backup per la resilienza informatica
#9 Utilizzare i framework di sicurezza come il NIST. Le aziende dovrebbero trarre vantaggio dai framework di sicurezza informatica più diffusi (e gratuiti) come il NIST per consultare le loro preziose linee guida.
#10 Implementare un solido regime di protezione dei dati. Le aziende devono partire dal presupposto che un attacco prima o poi avrà successo e sforzarsi di migliorare il regime di protezione dei dati come ultima linea di difesa. Il ripristino dei dati da un backup recente può consentire la rapida ripresa delle operazioni commerciali senza pagare un riscatto. Tuttavli gli aggressori spesso tentano di individuare, crittografare o eliminare archivi di backup e disattivare misure di backup.
Pertanto, le imprese dovrebbero conservare più copie crittografate di backup su supporti diversi e in posizioni separate. Condurre regolari test dal vivo del loro piano di backup. Scansionare i backup alla ricerca di malware e vulnerabilità senza patch e risolvere tali problemi prima di ripristinare i sistemi e implementare l’archiviazione immutabile degli archivi di backup per contrastare le tattiche di eliminazione dei backup.
#11 Valutare l’implementazione di un programma di ripristino di emergenza. I servizi di disaster recovery consentano la ripresa immediata delle operazioni utilizzando applicazioni e dati replicati (off-site o nel cloud). Servizi che oggi sono molto più convenienti e semplici da gestire, anche per le piccole imprese.
#12 Definire un piano di risposta agli incidenti, testalo e aggiornarlo regolarmente. Questo piano dovrebbe contenere alcune componenti essenziali. Tra questi: un elenco di nomi e numeri dei contatti interni ed esterni in formato cartaceo, un canale di comunicazione interno di ripiego affidabile nel caso in cui sistemi come la posta elettronica diventino inutilizzabili. Infine un piano di comunicazione che identifichi chi deve essere informato e da chi e quando e individui chi ha la leadership esecutiva e quali i team, a cominciare dal legal, vanno coinvolti. Inoltre, dovrebbe includere misure per raccogliere dati forensi che possano essere utilizzati dopo un incidente, non solo per richiedere un risarcimento all’eventuale broker assicurativo, ma anche per identificare le vulnerabilità che hanno consentito la violazione, porvi rimedio e aggiornare di conseguenza il piano di risposta.
Resilienza informatica – le conclusioni
Non va infine sottovalutato che per contrastare la crescente sofisticazione e frequenza di questi incidenti, le aziende di ogni settore e dimensione, devono valutare di concentrare i propri sforzi su processi e tecnologie. Soluzioni che riducono la complessità crescente e supportino il personale IT con l’uso dell’intelligenza artificiale, dell’automazione e dell’integrazione. Oltre a contenere i rischi aziendali di questa tipologia di attacchi, questi investimenti miglioreranno anche la capacità di un’azienda di soddisfare i requisiti di conformità normativa, a cominciare dalla già citata Nis2.