Rendiamo sicuro il nostro mondo: 5 suggerimenti
- Il 90% dei siti web di phishing è attivo per un solo giorno
Questa percentuale evidenzia un aspetto preoccupante della criminalità informatica: il rapido ricambio di questi siti dannosi complica gli sforzi di rilevamento e mitigazione. Gli aggressori creano e smantellano rapidamente i siti di phishing, spesso prendendo di mira eventi ad alto traffico, come le festività o i lanci di prodotti importanti, massimizzando così le possibilità di successo in una breve finestra di tempo. Questa strategia effimera rende meno efficaci le misure di sicurezza tradizionali, poiché molti sistemi di rilevamento si basano su dati storici e modelli consolidati per identificare le minacce. La breve durata di vita di questi siti web si traduce spesso nell’elusione di sistemi di blocklist e altre difese prima ancora che le organizzazioni si accorgano della loro esistenza. Di conseguenza, i professionisti della sicurezza informatica si trovano ad affrontare una battaglia molto complessa, che richiede l’adozione di strategie più agili e proattive per identificare e contrastare queste minacce transitorie, che possono colpire in qualsiasi momento e scomparire altrettanto rapidamente.
Qualche consiglio da parte di Rob Falzon, Office of the CTO di Check Point:
- Nel panorama digitale odierno, non è sufficiente sperare di evitare un attacco informatico, ma bisogna essere preparati quando questo si verifica. È importante implementate esercitazioni regolari di phishing per aiutare i dipendenti a riconoscere le minacce e costruite un piano di risposta rapida per agire rapidamente durante un attacco.
- Bisogna partire dal presupposto che si verificherà una violazione e assicurarsi che il team conosca il proprio ruolo nell’attenuazione dei danni. Un’organizzazione ben preparata ha un piano d’azione chiaro: allertare il team di sicurezza, disabilitare gli account compromessi e avvisare immediatamente gli utenti.
- Bisogna essere proattivi e pronti per ridurre significativamente l’impatto di un attacco informatico.
- Il 70% dei file dannosi arriva via e-mail
Nonostante i progressi tecnologici e i metodi di comunicazione, l’e-mail è un vettore di comunicazione persistente per gli attacchi informatici. Il suo uso diffuso e la fiducia intrinseca che gli utenti ripongono nelle loro caselle di posta elettronica ne fanno uno dei preferiti dai criminali informatici. L’adattabilità dell’e-mail consente agli aggressori di personalizzare i messaggi per i singoli obiettivi, aumentando significativamente le probabilità che i destinatari aprano i file allegati. Spesso vengono, per esempio, utilizzate tattiche di social engineering, creando un senso di urgenza o familiarità per spingere gli utenti ad agire impulsivamente. Questo approccio non solo manipola il comportamento umano, ma sfrutta anche il fatto che molte organizzazioni continuano a utilizzare la posta elettronica come metodo critico per lo scambio di file e informazioni.
Qualche consiglio da parte di Jeremy Fuchs, Office of the CTO di Check Point:
- Incrementare l’adozione di una sicurezza che analizza i file e blocca il contenuto malevolo, come il Content Disarm & Reconstruction (CDR), che va oltre la semplice analisi del malware e agisce efficacemente per rendere il file sicuro. Il CDR rimuove istantaneamente qualsiasi contenuto eseguibile, prima della consegna, sia che venga rilevato come dannoso o meno. In questo modo, l’utente finale sa che sta lavorando su un file sicuro.
- Praticare una buona igiene informatica. Quando si tratta di file o e-mail, è importante adottare sempre buone pratiche di sicurezza informatica. Ad esempio, è fondamentale passare il mouse sull’indirizzo del mittente per accertarsi che corrisponda, e poi anche su eventuali link presenti nell’e-mail e controllare che non vi siano errori ortografici o grammaticali di rilievo.
- Prendersi il tempo per pensare: “aspetto un file da questa persona?”. Nel caso di un PDF che richiede una firma, è bene chiedersi: “Sono un firmatario? Ricevo spesso documenti da firmare?”. Prendersi qualche momento per riflettere sul contesto dell’e-mail, può in molti casi aiutare a distinguere ciò che è buono da ciò che è cattivo.
- In media, nel mondo ogni organizzazione ha subito oltre 1.620 attacchi informatici settimanali dall’inizio di quest’anno, con un aumento del 40% rispetto al 2023. In Italia il dato è di quasi 1.900 attacchi settimanali.
L’aumento degli attacchi informatici illustra la maggiore sofisticazione delle minacce: gli aggressori utilizzano metodi avanzati e automatizzati per sfruttare le vulnerabilità. Diversi fattori contribuiscono all’aumento significativo della frequenza degli attacchi, come ad esempio il lavoro a distanza e il crescente utilizzo di collaboratori, che ha ampliato la superficie di attacco potenziale per le organizzazioni. I criminali informatici sfruttano le debolezze di sicurezza emergenti quando i dipendenti accedono ai sistemi sensibili da luoghi diversi. Inoltre, la continua diffusione del ransomware e di altri attacchi a scopo di lucro alimenta questa crescita, con gli aggressori desiderosi di sfruttare qualsiasi opportunità di guadagno finanziario.
Qualche suggerimento da parte di Pete Nicoletti, Global CISO per Check Point:
- Non stiamo solo assistendo a un aumento del volume degli attacchi. La loro durata si sta riducendo drasticamente: dallo sfruttamento iniziale all’esfiltrazione dei dati, si è, infatti, passati da settimane a pochi secondi. Il tempo di reazione umano non è più abbastanza veloce e la prevenzione guidata dall’intelligenza artificiale e la risposta automatizzata sono l’unico modo per ridurre questa tendenza.
- Gli strumenti devono lavorare insieme e ridurre il MTTR (Tempo medio di riparazione).
- Automatizzare le risposte preventive alle minacce rilevate con EASM (gestione della superficie di attacco esterna). Non è più sufficiente aspettare che le minacce arrivino e bussino alla porta. Con EASM, si può essere al corrente delle minacce esterne, permettendo di preparare le le difese in modo proattivo.
- I criminali informatici hanno pubblicato i dettagli di oltre 3.500 attacchi ransomware alle aziende quest’anno
I criminali informatici continuano a utilizzare l’esposizione dei dati come mezzo di estorsione. Una spiegazione di questa tendenza è l’emergere del ransomware-as-a-service (RaaS), che ha reso più facile per i criminali meno esperti lanciare attacchi e ha ampliato il bacino dei potenziali criminali. I criminali informatici ora utilizzano tecniche avanzate come la doppia estorsione, in cui non solo criptano i dati ma minacciano anche di far trapelare informazioni sensibili se non viene pagato il riscatto, da cui l’aumento dei dati esposti.
Qualche consiglio da parte di Micki Boland, Office of the CTO di Check Point:
- Implementare una solida sicurezza degli endpoint per tutti gli endpoint, i dispositivi mobili e i tablet, i laptop e i server e garantire l’assenza di phishing, l’anti-malware, l’anti-ransomware e la crittografia completa del disco.
- Assicurarsi che tutti i dati mission-critical e altamente riservati e protetti siano segmentati con controllo degli accessi e protezione dei dati. Questi ultimi è bene che siano crittografati e sottoposti a backup regolare e i backup devono essere testati.
- Implementare una solida sicurezza per proteggersi dalla compromissione delle e-mail aziendali (BEC), che secondo IC3 è ancora il vettore di attacco numero uno ed è utilizzato dai criminali informatici per portare avanti attacchi ransomware e malware e per condurre frodi finanziarie.
- In media, il settore dell’istruzione è quello che subisce il più alto tasso di attacchi informatici, seguito dal settore governativo e sanitario.
Le istituzioni scolastiche, in particolare le università, si concentrano spesso sull’accessibilità, dando vita a reti estese che i criminali informatici possono facilmente sfruttare. La presenza di molti utenti e dispositivi può indebolire le pratiche di sicurezza, rendendola bersaglio interessante per il phishing e le violazioni dei dati. Allo stesso modo, gli enti governativi sono obiettivi primari a causa delle informazioni sensibili che gestiscono e che possono essere sfruttate per ottenere vantaggi finanziari o politici.
Le organizzazioni sanitarie si trovano di fronte a sfide uniche, poiché gestiscono grandi quantità di dati personali e spesso necessitano di maggiori misure di sicurezza informatica. L’urgenza che circonda i servizi medici può talvolta compromettere le misure di sicurezza, aumentando la suscettibilità al ransomware e ad altri attacchi. Il recente spostamento verso le operazioni digitali, accelerato dalla pandemia COVID-19, ha ampliato la superficie di attacco in tutti i settori, offrendo nuove opportunità ai criminali informatici. La prevalenza degli attacchi nei settori dell’istruzione, della pubblica amministrazione e della sanità sottolinea la necessità cruciale di migliorare le strategie di sicurezza informatica, di fornire una formazione completa ai dipendenti e di elaborare piani di risposta efficaci agli incidenti per proteggere i dati vitali e garantire la stabilità operativa.
Qualche suggerimento da parte di Aaron Rose, Office of the CTO di Check Point.
- Verificare lo stato attuale di sicurezza informatica attraverso un Security Workshop, che valuta le misure di sicurezza esistenti per identificare i punti deboli e le vulnerabilità dei sistemi e dei processi. Esaminando a fondo l’infrastruttura di rete, le applicazioni software, i dispositivi hardware, le operazioni di sicurezza e le politiche organizzative, è possibile individuare le aree che richiedono miglioramenti.
- Proteggere l’infrastruttura di rete segmentando le reti per limitare la diffusione di potenziali violazioni e adottando una mentalità di prevenzione (una volta che i malintenzionati sono entrati, è già troppo tardi). È necessario predisporre forti controlli di accesso; l’adozione di un’architettura zero trust contribuirà a garantire che solo il personale autorizzato possa accedere alle informazioni sensibili.
- La formazione dei dipendenti svolge un ruolo fondamentale nella sicurezza informatica. Stabilire programmi di formazione per aumentare la consapevolezza su phishing, malware e ransomware è un elemento molto importante. Workshop regolari, iniziative di apprendimento continuo ed esercitazioni di phishing simulato, possono preparare il personale e gli studenti a riconoscere e rispondere in modo appropriato a potenziali attacchi.
- Una scansione regolare delle vulnerabilità, soluzioni di External Attack Surface Management (EASM) e una gestione tempestiva delle patch, possono risolvere le falle della sicurezza prima che i criminali informatici le sfruttino. Inoltre, l’implementazione dell’autenticazione a più fattori non è più un “nice to have”, ma un must assoluto nell’era della guerra informatica.
- Sviluppare e aggiornare regolarmente piani di risposta agli incidenti per ridurre al minimo l’impatto degli attacchi informatici che si verificano. Questi piani devono delineare le fasi specifiche per il rilevamento, il contenimento e il ripristino e garantire canali di comunicazione chiari tra tutte le parti interessate. Backup regolari dei dati critici e la garanzia di un rapido ripristino e accesso a questi backup possono ridurre significativamente i tempi di inattività in caso di attacco.