Come le aziende vedono il problema sottovalutando gli aspetti più importanti e facendo supposizioni sbagliate rischiando ogni giorno senza esserne consapevoli
Il team di Asernet, analizzando le problematiche affrontate negli ultimi 12 mesi sul tema “sicurezza informatica”, ha stilato una lista di percezioni errate sul tema della cybersecurity.
Si riporta di seguito l’elenco della “Top 10” delle percezioni errate, provando a spiegare, in base alla nostra esperienza, perchè non bisogna sottovalutare il tema della sicurezza informatica ad ogni livello e per ogni azienda, anche quelle più piccole.
Errata percezione 1: non siamo un obiettivo, siamo troppo piccoli e/o non abbiamo beni di valore
Molte aziende vittime di attacchi informatici presumono di essere troppo piccole, in un settore di nessun interesse o privo del tipo di risorse redditizie che attirerebbero gli hacker. La verità è che non importa quanto si è grandi e se ci sono o meno dati di valore da proteggere: se hai anche un solo PC e una connessione ad Internet, sei un bersaglio. Nonostante quello che si dice in giro, la maggior parte degli attacchi a grosse aziende sono portati a termine sfruttando le risorse di tante piccole aziende e privati ignari della loro partecipazioni ad azioni criminogene. Questi ultimi, avendo delle lacune di sicurezza, dovute principalmente alla loro errata percezione, permettono ai criminali informatici di utilizzare i propri canali digitali e le proprie risorse per portare a termine attacchi verso organizzazioni che hanno valore.
Se ritieni che la tua organizzazione non sia un obiettivo sicuramente non controllerai la tua rete e questo fa molto comodo ai cybercriminali che possono agire dalla tua rete nascondendo la propria identità digitale.
Errata percezione 2: non abbiamo bisogno di tecnologie di sicurezza avanzate installate ovunque
Alcuni team IT sono convinti che il software per la sicurezza degli endpoint basti per bloccare tutte le minacce e non abbiano bisogno di proteggere anche i server. Questa cosa la sanno molto bene gli hacker che verificano immediatamente la presenza di antivirus sui server, eventuali errori di configurazione e mancata applicazione delle patch di sicurezza per cui i Server diventano l’obiettivo primario per accedere senza lasciare tracce all’interno della vostra rete.
Secondo quello che abbiamo visto, gli aggressori riescono facilmente trovare un percorso verso un server e utilizzano credenziali di accesso rubate o le ricavano attraverso metodologie “brute force”. Se c’è un dispositivo con sistema operativo Linux (e ultimamente sicuramente ce ne sono anche se non lo sappiamo perchè la maggior parte dei router, centralini telefonici, firewall etc… sono gestiti tramite questo sistema operativo) i cybercriminali cercano di utilizzarlo immediatamente installando su di essi delle backdoor da utilizzare per avere libero accesso alla vostra rete.
Una volta entrati, tentano di aggirare i software di protezione degli endpoint usando tecniche ogni giorno più sofisticate. Questo gli serve per iniettare codice malevolo all’interno degli endpoint utilizzando attacchi malware “senza file” caricando direttamente in memoria delle DLL mirror da usare come base di lancio; oppure utilizzano agenti di accesso remoto legittimi (Cobalt, Anydesk, TeamViewer etc.) per effettuare operazioni che sembrano fatte dal reparto IT.
Le tecnologie antivirus di base avranno difficoltà a rilevare e bloccare tali attività e solo se si hanno strumenti avanzati per il rilevamento dei comportamenti basati sull’Intelligenza Artificiale sarà possibile individuare e bloccare sul nascere tentativi di violazione della tua rete aziendale.
Errata percezione 3: disponiamo di solide politiche di sicurezza
Disporre di policy di sicurezza per applicazioni e utenti è fondamentale. Tuttavia, devono essere verificate e aggiornate costantemente perchè le reti informatiche sono dinamiche e ogni giorno vengono inseriti nuovi dispositivi e nuove funzionalità.
Diventa quindi essenziale verificare e testare giornalmente le policy, utilizzando tecniche di “penetration test” e verificando le funzionalità dei piani di backup e dei disaster recovery.
Errata percezione 4: Il Remote Desktop Protocol (RDP) verso i server può essere protetto dagli aggressori modificando le porte di accesso e introducendo l’autenticazione a più fattori (MFA)
La porta standard utilizzata per i servizi RDP è la 3389, quindi tutti gli aggressori eseguiranno la scansione di questa porta alla ricerca di server aperti.
Tuttavia, la scansione identificherà tutti i servizi attivi, indipendentemente dalla porta su cui si trovano, quindi cambiare le porte non offre nessuna protezione.
Inoltre, sebbene l’introduzione dell’autenticazione a più fattori sia importante, non migliorerà la sicurezza se questa policy non è applicata a tutti i dispositivi e obbligatoria per tutti gli utenti. L’accesso RDP dovrebbe essere possibile solo all’interno della rete o attraverso una rete privata virtuale (VPN), ma anche questo non può proteggere completamente un’organizzazione se gli aggressori hanno già un punto d’appoggio nella rete.
Idealmente, a meno che il suo utilizzo non sia essenziale, l’IT manager dovrebbe limitare o disabilitare l’uso di RDP sia internamente che esternamente.
Errata percezione 5: il blocco degli indirizzi IP Russi, Cinesi e Coreani ci protegge dagli attacchi provenienti da quelle aree geografiche
E’ improbabile che il blocco di IP da queste regioni provochi problemi alla nostra rete, ma potrebbe dare un falso senso di sicurezza se ci si affida solo a questo per la protezione.
Gli hacker utilizzano infrastrutture e dispositivi residenti in molti paesi: Stati Uniti, Paesi Bassi e resto d’Europa.
Errata percezione 6: i nostri backup garantiscono l’immunità dall’impatto dei ransomware
Avere dei piani solidi di backup è fondamentale per l’azienda. Tuttavia, se i tuoi backup sono connessi alla rete, sono anch’essi alla portata degli cybercriminali e possono essere criptati anche loro in caso di un attacco ransomware.
Bisogna anche dire che limitare l’accesso ai backup a pochi utenti potrebbe non migliorare la sicurezza poiché gli aggressori potrebbero avere craccato le password di questi utenti per cui avrebbero accesso anche ai sistemi di backup. Anche l’archiviazione dei backup nel cloud deve essere eseguita con cura perchè potrebbe essere compromessa se gli hacker sono venuti in possesso di un account amministratore.
La formula standard per i backup sicuri resta la 3:2:1 (tre copie di tutto, utilizzando due sistemi diversi, di cui uno offline), anche se i criminali, venuti in possesso dei vostri dati, per ottenere il riscatto ricorreranno anche alle minacce di pubblicazione di tutti i dati, anche senza doverli crittografare.
Errata percezione 7: I nostri dipendenti comprendono la sicurezza
Secondo lo “State of Ransomware 2021”, il 22% delle aziende intervistate ritiene di essere immune dai ransomware perché è difficile che gli utenti finali possano compromettere la sicurezza. Le tattiche di ingegneria sociale come le e-mail di phishing stanno diventando più difficili da individuare. I messaggi sono spesso scritti con precisione, persuasivi e mirati.
I tuoi dipendenti sanno come individuare i messaggi sospetti e cosa fare quando ne ricevono uno? A chi devono avvisare in modo che gli altri dipendenti possano essere messi in allerta?
Errata percezione 8: gli esperti in sicurezza informatica possono recuperare i miei dati dopo un attacco ransomware
Questo è molto improbabile. Gli aggressori oggi commettono molti meno errori e il processo di crittografia è migliorato, quindi fare affidamento sui “soccorritori” per trovare una scappatoia che possa annullare il danno è impossibile. Ultimamente anche i backup automatici, come le “shadow copy” di Windows, vengono eliminati dalla maggior parte dei ransomware sovrascrivendo i dati originali memorizzati sul disco, rendendo impossibile il ripristino se non dopo il pagamento del riscatto e la ricezione della chiave SSL.
Errata percezione 9: il pagamento del riscatto ci farà recuperare i nostri dati
Secondo il sondaggio “State of Ransomware 2021”, un’azienda che paga il riscatto recupera in media circa i due terzi (65%) dei propri dati. Solo l’8% ha recuperato tutti i propri dati e il 29% ne ha recuperati meno della metà. Pagare il riscatto – anche quando sembra l’opzione più semplice – non è una soluzione.
Inoltre, il ripristino dei dati è solo una parte del processo di sanificazione: nella maggior parte dei casi il ransomware disabilita completamente i computer che devono essere ricostruiti da zero prima che i dati possano essere ripristinati. L’indagine del 2021 ha rilevato che i costi di recupero sono, in media, dieci volte superiori alla richiesta di riscatto.
Errata percezione 10: l’avvio del ransomware è lo scopo dell’attacco: se sopravviviamo, siamo a posto
Sfortunatamente, questo accade raramente. Il lancio del ransomware è solo il momento in cui gli aggressori vogliono che tu capisca che sono lì e cosa riescono a fare. È probabile che i criminali siano stati nella tua rete per giorni se non settimane prima di avviare il ransomware. Esplorare la rete, disabilitare o eliminare i backup, trovare le macchine con informazioni di alto valore o applicazioni bersaglio per la crittografia, rimuovere informazioni e installare payload aggiuntivi come backdoor… queste potrebbero essere le azioni compiute prima dell’avvio del ransomware.
Questo permetterebbe ai cybercriminali una presenza nella rete della vittima consentendo il lancio di altri attacchi.