Il furto di identità è una minaccia in crescita nell’attuale panorama digitale. I cyber criminali si rendono conto quanto sia più efficace, veloce ed economico sottrarre credenziali legittime e usarle per accedere invece di tentare di forzare tecnologie di difesa.
Una volta sottratti i dati di accesso anche di un solo dipendente, potranno muoversi lateralmente, rubando altre credenziali, aumentando i privilegi, compromettendo server ed endpoint e portando all’esterno dati sensibili dell’organizzazione: è ormai davvero facile per un attaccante trasformare un’identità compromessa in un incidente ransomware o in una violazione dei dati che coinvolge tutta l’azienda.
Le identità privilegiate rappresentano le chiavi del regno, che i cyber criminali sfruttano per rubare i gioielli della corona, ovvero gli asset più critici per le aziende. Purtroppo, gli attacchi alle identità sono difficili da rilevare e per questo la maggior parte delle organizzazioni non è consapevole di questo rischio.
I team di sicurezza devono considerare gli strumenti di analisi di cui dispongono per individuare eventuali utenti compromessi e movimenti laterali negli ambienti prima che i danni siano troppo gravi.
L’evoluzione della minaccia informatica ci insegna come combatterla
Indice degli argomenti
Le e-mail restano il principale punto di accesso
Gli attori delle minacce sanno che le persone hanno accesso ai dati aziendali più critici e la maggior parte può essere indotta con relativa facilità a compiere un’azione che potrebbe mettere a repentaglio la sicurezza dell’organizzazione. Per questo la maggior parte degli attacchi inizia con una semplice e-mail.
Gli attacchi via e-mail continuano a dominare il panorama delle minacce a livello globale e in ogni singola nazione. Il report State of the Phish 2023 di Proofpoint ha rivelato che tra le aziende italiane che hanno subìto un tentativo di phishing nel 2022, il 79% non è riuscita a impedirne il successo.
Di questi attacchi riusciti, il 46% ha portato al furto di credenziali e/o alla compromissione dell’account, con i dipendenti che hanno esposto inavvertitamente le proprie credenziali, consentendo agli attori delle minacce di accedere a dati sensibili e ai propri account aziendali.
Molti degli attacchi odierni si basano su queste identità compromesse, compreso il ransomware. I dati mostrano che il 63% delle aziende italiane ha subìto un tentativo di attacco ransomware via email nell’ultimo anno, nel 44% dei casi con un’infezione andata a buon fine. Inoltre, il 39% delle organizzazioni italiane ha dichiarato di aver subìto una perdita di dati a causa di attività svolte da un insider nel 2022.
È evidente che la sicurezza delle e-mail sia fondamentale. Ma grazie a una combinazione tecnologica tra regole per gateway di posta elettronica, analisi avanzata delle minacce, autenticazione delle e-mail e visibilità sulle applicazioni cloud, le organizzazioni possono bloccare la maggior parte degli attacchi mirati prima che raggiungano i dipendenti.
Tuttavia, affinché una strategia di protezione sia realmente efficace bisogna considerare l’intera catena di attacco e le minacce che utenti e le loro identità devono continuamente affrontare.
Interrompere la catena di attacco
I cyber criminali tendono ad affidarsi alla stessa tecnica: colpire i dipendenti con un’e-mail, nel tentativo di accedere in azienda e spostarsi lateralmente, arrecando il maggior numero di danni possibile. Nella sostanza, è una metodologia che funziona e continuerà a farlo, a meno che le organizzazioni non cerchino un modo per spezzare gli anelli della catena di attacco.
Quando ci si pone l’obiettivo di interrompere la catena di attacchi, il primo passo è bloccare la compromissione iniziale, ed è qui che una solida strategia di sicurezza delle e-mail è fondamentale. Dagli attacchi BEC (Business Email Compromise), all’acquisizione di account cloud o lo sfruttamento di fornitori terze parti fidati per compromettere l’azienda, tutto può partire da una prima email, dopo la quale i criminali hanno accesso al dominio, con la possibilità di accedere agli account email e commettere frodi.
È preoccupante che gli account compromessi possano spesso passare inosservati, senza lasciare indicatori di compromissione o presenza di malware.
Nonostante l’implementazione di soluzioni per la gestione di account privilegiati e l’autenticazione multifattore (MFA), questi attacchi sono in costante aumento. Se non vengono rilevati rapidamente, le organizzazioni si trovano ad affrontare un problema ancora più grave: l’escalation dei privilegi e il movimento laterale all’interno delle reti.
Per contrastare questo fenomeno, le aziende devono implementare una tecnologia utile a identificare e risolvere casi di utenti compromessi e rimuovere ciò di cui gli attaccanti hanno bisogno per procedere: l’accesso agli account privilegiati.
Un approccio unificato all’Identity threat detection and response (ITDR) le aiuterà a porre rimedio ai rischi legati alle identità privilegiate e comprendere le potenziali conseguenze di una compromissione, come l’accesso a dati critici e alla proprietà intellettuale.
Analisi di un’e-mail: ecco come riconoscere truffe e frodi informatiche
La sicurezza è una responsabilità condivisa
Implementando questi solidi controlli, le organizzazioni possono essere in grado di prevenire il furto di identità e la compromissione iniziale, ma, come per tutte le minacce, è fondamentale una combinazione di persone, processi e tecnologia.
La sicurezza è una responsabilità condivisa. E le aziende devono mettere le persone, a ogni livello aziendale, in condizione di comprendere la protezione e i comportamenti a rischio che possono portare a violazioni.
I programmi di formazione e sensibilizzazione sono fondamentali, ma devono essere personalizzati sulla base delle necessità specifiche, di ogni organizzazione ma anche di ogni individuo. Per questo è opportuno che il programma sia basato sul punto di vista dell’utente, diventando così rilevante per la sua vita lavorativa e personale.
In Italia, l’attenzione al tema sta aumentando anche se resta un indiscutibile margine di miglioramento: in base ai dati del nostro report State of the Phish 2023, il 51% delle organizzazioni italiane forma i dipendenti su argomenti di sicurezza che riguardano esplicitamente la loro organizzazione e il 49% forma tutta la forza lavoro.
Un ulteriore elemento da considerare è legato al dinamismo del mondo del lavoro. Nell’ultimo anno, la mobilità operativa, unita all’incertezza economica post-pandemia, ha fatto sì che un gran numero di dipendenti cambiasse o lasciasse il posto di lavoro – il 18% in Italia.
Questo trend ha reso più difficile la protezione dei dati per le organizzazioni, con il 39% che ha dichiarato di aver subito una perdita di dati a causa di una minaccia interna. Tra chi ha cambiato lavoro in Italia, il 42% ha ammesso di aver portato con sé i dati.
Secondo i dati di Proofpoint, oltre il 99% delle minacce informatiche richiede una qualche interazione umana per avere successo.
Quando le persone rappresentano un elemento così importante di un attacco, devono essere una parte essenziale anche della difesa aziendale.
Con i criminali informatici che dedicano tempo e sforzi crescenti per cercare di penetrare in reti, sistemi e dati, il minimo che le organizzazioni possono fare è operare per rendere queste attività ancora più complesse.
