Minacce e attacchi sono all’ordine del giorno e sempre più sofisticati. Per una buona difesa Fortinet fornisce agli utenti un memorandum di sei accorgimenti. Infatti stiamo assistendo a momenti di crescente tensione a livello mondiale con forti implicazioni nel cyberspazio e Fortinet offre spunti e accorgimenti generali, sempre validi e molto semplici, che ogni organizzazione dovrebbe mettere in pratica per prepararsi a qualsiasi cyberattacco e proteggere i propri asset digitali.
Dato che gli attacchi informatici scalabili, in grado di avere un impatto rilevante, richiedono una pianificazione e uno sviluppo significativi, lo scenario più probabile è quello in cui vengono sfruttate alcune tecniche già esistenti, come il ransomware e gli attacchi denial of service. Tuttavia, non possiamo escludere la possibilità di attacchi di Sleeper Agent, ovvero impianti dannosi inseriti nei sistemi critici in tempi non sospetti, per poi essere attivati da remoto durante una crisi. La cosa più importante è essere preparati nel caso in cui si verifichi un evento di questo tipo.
La cybersecurity è un lavoro di squadra
Affinché la difesa da un determinato attacco informatico sia efficace, tutti devono lavorare in team per prevenire, rilevare e rispondere. Tutto ciò deve essere combinato con un’efficace strategia di cyber response che coinvolga i membri critici del gruppo per proteggere le risorse, riprendersi rapidamente da un attacco utilizzando dati di backup e risorse isolate e ottenere così il supporto delle agenzie governative.
Sei accorgimenti che possono essere adottati fin da subito
–Segmentare la rete: le risorse critiche dovrebbero essere ripartite in domini ben protetti, dovrebbe essere implementata anche una segmentazione intent-based per assicurare che i dispositivi, gli asset e i dati che si spostano di continuo dentro e fuori la rete siano allocati dinamicamente al segmento più adatto sulla base delle policy.
–Mantenere opzioni di comunicazione ridondanti: è essenziale mantenere una comunicazione sempre aperta con gli elementi distribuiti del proprio network. I tradizionali modelli WAN sono estremamente vulnerabili agli attacchi DDoS. Le SD-WAN d’altro canto, permettono alle aziende di cambiare dinamicamente i percorsi di comunicazione in base a una varietà di fattori, inclusa la disponibilità.
–Salvaguardare i dati critici: data l’alta frequenza di attacchi ransomware, ogni impresa dovrebbe eseguire un backup regolare dei propri dati critici per poi custodirli anche offline. Tali dati dovrebbero poi essere controllati periodicamente per sincerarsi che non siano infettati da malware. In aggiunta, una buona pratica è eseguire esercitazioni regolari per garantire che i dati di cui è stato effettuato il backup possano essere rapidamente ridistribuiti nei sistemi critici e nei dispositivi e garantire che le reti possano tornare alla normalità nel minor tempo possibile.
–Fare leva su integrazione e automazione: un approccio che preveda l’utilizzo di una piattaforma unica per integrare i dispositivi per la sicurezza garantisce che essi possano condividere e correlare la threat intelligence così come partecipare in modo fluido come parte integrante di ogni risposta coordinata a una minaccia.
–Esaminare le comunicazioni elettroniche: l’e-mail resta il vettore di attacco più comune per chi ha l’obiettivo di infettare dispositivi e sistemi con il malware. Oltre al training rivolto agli utenti, occorrono gateway di posta elettronica sicuri che possano identificare e ispezionare in un ambiente sicuro gli allegati potenzialmente malevoli. Allo stesso modo, è necessario impiegare firewall di nuova generazione che esaminino le comunicazioni interne crittografate, alla ricerca del software dannoso e impianti “command-and-control”.
–Iscriversi a feed dedicati alla threat intelligence: questo tipo di servizi, insieme all’appartenenza a enti regionali o di settore, permettere di essere sempre aggiornati sugli ultimi vettori d’attacco e malware. Utilizzando questa tipologia di intelligence e integrandola in una piattaforma di sicurezza integrata, le organizzazioni possono evidenziare gli indicatori della presenza di minacce e non solo per bloccarli quando rilevati, ma per impedire loro di entrare nella rete.