C’è un pensiero comune tra le organizzazioni globali, le quali ritengono che avere una “buona” postura di sicurezza proteggerà i loro dati importanti e terrà i cybercriminali lontano dalla circolazione. Ma cosa vuol dire “buono”, e soprattutto, quando questo buono è sufficiente?
Le minacce di oggi prendono di mira soprattutto le persone, non le infrastrutture. Quindi, anche se le soluzioni tecnologiche rimangono cruciali per costruire una solida difesa informatica, sono solo un aspetto di una barriera ben più ampia e profonda.
Che si tratti di link pericolosi, compromissione degli account o di ingegneria sociale, gli aggressori stanno rivolgendo la loro attenzione a quella che per molte organizzazioni è l’ultima linea di difesa. Un’ultima linea purtroppo spesso mal preparata: le persone.
Può essere sufficiente un click, anche di un solo dipendente. E non importa quanto siano robusti i sistemi informatici, i cyber criminali avranno accesso all’organizzazione.
È necessario un nuovo approccio, soprattutto ora, nella nuova normalità definita dal lavoro a distanza, che ponga le persone al centro della sicurezza IT, garantendo che i dipendenti siano in grado di individuare e affrontare gli attacchi ed estremamente consapevoli del loro ruolo nella protezione.
Affrontare la nuova normalità
Con milioni di dipendenti in più che lavorano da casa, senza le protezioni garantite dall’ufficio, le superfici di attacco delle aziende si sono inevitabilmente allargate, lasciandole più esposte che mai alle minacce. I criminali sono fin troppo consapevoli che questa situazione gioca a loro favore e non hanno perso tempo.
Ancor prima che la pandemia diventasse ufficiale, il team di threat intelligence di Proofpoint aveva scoperto grandi volumi di attacchi di phishing a tema coronavirus – da quelli che offrivano una “cura” a quelli che raccoglievano informazioni per popolare un “database governativo”. Ora che il lockdown cambia da regione a regione, ci aspettiamo che gli attacchi si adattino e utilizzino esche relative ad esempio. alla riapertura degli uffici.
Ogni attacco basato su email ha il medesimo obiettivo: sfruttare la natura umana, i tratti psicologici innati condivisi da tutti. Utilizzando attacchi di social engineering, i cyber criminali ingannano i dipendenti per rubare credenziali e dati sensibili, reindirizzare i pagamenti delle buste paga e trasferire fondi in modo fraudolento. Indipendentemente dalla tecnologia adottata, basta un clic perché un attacco abbia successo.
Definiti “il problema più costoso della sicurezza informatica”, gli attacchi di Business Email Compromise (BEC) hanno vissuto un picco negli ultimi anni e sono in rapida crescita in termini di popolarità per due semplici motivi: funzionano e ripagano. Tanto che l’FBI ha recentemente pubblicato un articolo in cui stima che dal 2016 questi attacchi siano costati alle aziende di tutto il mondo circa 26 miliardi di dollari.
L’anno scorso, Toyota Boshoku è stata vittima della più grande perdita economica mai registrata in un singolo attacco. La filiale Toyota è stata ingannata da un impostore che si spacciava per un partner commerciale e ha trasferito 37 milioni di dollari su un conto fasullo. Più recentemente, nel gennaio di quest’anno, Porto Rico ha perso più di 4 milioni di dollari in tre diversi attacchi BEC contro le sue agenzie governative e solo il mese scorso, il fondo di investimento statale norvegese Norfund è caduto nella trappola di un’email fittizia e ha trasferito 100 milioni di NOK (circa 10 milioni di dollari) ai cyber criminali.
Costruire oggi la difesa di domani
Quando si tratta di difendersi dagli attacchi BEC, questi avvenimenti eccezionali hanno dimostrato che i sistemi di protezione di molte organizzazioni sono tutt’altro che efficaci. La grande forza lavoro remota, sempre più dipendente dalla posta elettronica, ha messo in luce un punto debole significativo, che molti non riescono a gestire.
Le persone e le email sono la superficie di attacco preferita dai criminali moderni, ma la maggior parte delle strategie di difesa non considera in modo adeguato questo aspetto. Nonostante oltre il 90% delle minacce avanzate derivi dalla posta elettronica, solo il 10% degli investimenti per la sicurezza si concentra in questa area. Purtroppo, mancano anche formazione e conoscenza, con solo il 66% della forza lavoro globale che conosce il termine phishing, e solo il 31% ha familiarità con il ransomware.
Questa situazione deve cambiare. Non possiamo aspettarci che il personale protegga l’azienda senza dotarlo degli strumenti e delle conoscenze per farlo. Anche le aziende devono affinare le loro difese, per riflettere il panorama delle minacce di oggi ed essere pronte per gli attacchi di domani.
Mettere le persone al centro
Gli attacchi via email stavano causando danni molto gravi già prima della pandemia e continueranno a farli. Tuttavia, il passaggio al lavoro a distanza in massa ha rappresentato un’opportunità per esaminare gli attacchi più comuni e la protezione in atto.
Era un esame atteso da tempo.
Il fatto che la sicurezza delle reti e degli endpoint rimanga l’area di attenzione principale per i team di sicurezza, nonostante sia ben lontana dall’essere l’obiettivo primario per i cyber criminali, dovrebbe destare preoccupazione.
Le precedenti strategie di difesa del perimetro sono obsolete. Le persone sono mobili, accedono ai dati aziendali da ogni luogo su ogni tipo di dispositivo, rete e piattaforma al di fuori della tradizionale rete aziendale e sono al centro della maggior parte degli attacchi. È logico quindi posizionarle davvero al centro della sicurezza IT.
