Gli attacchi alle mail aziendali necessitano di maggiori attenzioni
Haist (TeamViewer): l'approccio Zero Trust e la formazione dei dipendenti sono la migliore linea di difesa
Gli attacchi BEC (Business Email Compromise) - che consentono ai criminali informatici l'accesso non autorizzato a informazioni riservate o per indurre le vittime a trasferire fondi - stanno crescendo vertiginosamente come emerge anche dal report di Abnormal Security: gli attacchi BEC sono aumentati di oltre l'81% nel 2022 e del 175% negli ultimi due anni. Un incremento dovuto anche al passaggio al lavoro ibrido e remoto e dal conseguente cambiamento delle abitudini dei dipendenti e del panorama generale della sicurezza. Tra le cause, l'aumento dell'uso di dispositivi personali per il lavoro da remoto ha creato delle lacune nella sicurezza, in quanto questi dispositivi spesso non dispongono dei protocolli di protezione di cui sono dotati i dispositivi aziendali. Inoltre, la gestione di una forza lavoro geograficamente sparsa rende più difficile per i team IT mantenere la visibilità della rete e il controllo sull'accesso ai dati. Entrambe le cose creano un terreno fertile per gli attacchi BEC, che possono sfruttare le vulnerabilità dei dispositivi personali o indurre i dipendenti a concedere un accesso ai sistemi non autorizzato.
Le conseguenze di questi attacchi possono essere devastanti, con perdite finanziarie, danni alla reputazione e interruzioni operative. Infatti, il costo medio di un attacco BEC riuscito è stimato in oltre 125.000 dollari. Queste truffe sfruttano le vulnerabilità umane e le tattiche di prevenzione tradizionali che si basano sui 'filtri' delle e-mail e non sono sufficienti a mantenere il giusto livello di sicurezza. Lo strumento più efficace nella lotta contro i BEC è lo sviluppo di una cultura della consapevolezza della sicurezza e mettere l'approccio 'Zero Trust' al centro del modello di sicurezza. Responsabilizzare i dipendenti è la prima linea di difesa Le e-mail di phishing sono diventate sempre più sofisticate, facendo leva su tattiche di social engineering che possono eludere non solo i filtri più evoluti, ma anche sfuggire ai dipendenti più consapevoli. Utilizzando informazioni raccolte attraverso i social media - o da precedenti violazioni di dati - gli hacker fanno spesso riferimento a informazioni interne all'azienda e a conversazioni passate per rendere credibile il fatto di essere persone reali, come dirigenti, colleghi o fornitori.
Sono situazioni che facilmente inducono le persone a divulgare informazioni sensibili o ad autorizzare pagamenti in modo fraudolente. La formazione tradizionale che si limita a mettere in guardia i dipendenti dalle e-mail di phishing, non è più sufficiente a prevenire gli attacchi. I moderni programmi di sensibilizzazione alla sicurezza devono essere dinamici e coinvolgenti. Devono simulare scenari reali, insegnare ai dipendenti come identificare i segnali di pericolo nelle e-mail e dotarli delle competenze necessarie per riconoscere le tattiche di social engineering. Per esempio, imparare a identificare i segnali come gli indirizzi di mittenti contraffatti e gli errori grammaticali. Inoltre, è bene mantenere sempre un atteggiamento scettico di fronte a richieste inaspettate, soprattutto se riguardano transazioni finanziarie o modifiche alle informazioni del conto bancario. Il personale deve essere incoraggiato a verificare le informazioni, ad esempio, chiamando un numero di telefono o contattando il mittente per verificare la legittimità di una richiesta. Questi programmi di formazione devono essere costanti e non una tantum, per garantire che i dipendenti rimangano vigili e aggiornati.
Zero Trust: fiducia zero, è il modello Anche con alti livelli di formazione dei dipendenti, alcune truffe BEC riescono a superare la barriera umana. È qui che entrano in gioco processi di sicurezza come il modello Zero Trust grazie al quale ogni utente e ogni dispositivo, indipendentemente dalla posizione o dal livello di fiducia percepito, deve essere continuamente autenticato prima di ottenere l'accesso a qualsiasi risorsa. In questo modo si alza notevolmente il livello di guardia per gli hacker, perché anche se riescono a compromettere una singola credenziale di accesso, non avranno accesso automatico all'intero sistema. Un componente chiave dell'approccio Zero Trust è l'autenticazione a più fattori (MFA), che agisce come una serratura multipla su ogni punto di accesso. Proprio come un sistema di sicurezza fisica che richiede più forme di identificazione, l'MFA (autenticazione a più fattori) richiede non solo un nome utente e una password, ma anche un fattore di verifica aggiuntivo come un codice da un'app del telefono o una scansione dell'impronta digitale. Questo rende molto più difficile l'accesso non autorizzato, anche attraverso gli attacchi BEC.
Zero Trust e MFA devono essere alla base di qualsiasi infrastruttura IT. Con Zero Trust anche il principio dell'accesso con il minimo privilegio per concedere agli utenti solo il livello minimo di accesso necessario per svolgere il proprio lavoro. Sarebbe come assegnare le chiavi che sbloccano solo alcune stanze di una casa ma non la sala principale. In questo modo si minimizza il danno in caso di compromissione delle credenziali, perché gli aggressori possono accedere solo ai dati e alle risorse assegnate a quell'utente specifico. Oltre a queste tattiche, le aziende dovrebbero sfruttare il monitoraggio continuo e le decisioni di accesso basate sul rischio per agire come guardie che pattugliano i corridoi di un edificio. I team di sicurezza possono utilizzare analisi avanzate per monitorare l'attività degli utenti e identificare le anomalie che potrebbero indicare un comportamento sospetto. Inoltre, l'approccio Zero Trust consente di implementare controlli di accesso basati sul rischio. Ad esempio, l'accesso da una posizione non riconosciuta potrebbe attivare un processo di autenticazione più stringente o richiedere un'ulteriore approvazione prima di concedere l'accesso.
Infine, i team di sicurezza possono utilizzare la ?segmentazione' delle infrastrutture per contenere le minacce. Si tratta di dividere la rete in compartimenti più piccoli. In questo modo, anche se gli aggressori riescono a penetrare in una sezione, il loro movimento viene limitato, impedendo loro di compromettere l'intera rete. È come immaginare una fortezza con compartimenti separati per funzioni diverse, come l'armeria, la tesoreria e gli alloggi. Se gli aggressori violassero il muro esterno ed entrassero nel cortile, non avrebbero comunque accesso agli oggetti di valore custoditi all'interno.
Robert Haist, CISO, TeamViewer