Il passaggio al digitale è stato sicuramente vantaggioso, ma ci ha costretti a ripensare l’identità digitale come qualcosa da implementare all’interno delle organizzazioni che va oltre il semplice accesso. La sicurezza degli endpoint non è mai stata così in pericolo perché, nella corsa al riposizionamento, le organizzazioni hanno dato più importanza alla velocità d’accesso (per garantire continuità all’operatività) rispetto alla sicurezza. Gli endpoint sono ormai definitivamente migrati al di fuori del perimetro classico dell’azienda, e se la sicurezza non ha necessariamente tenuto il passo con queste novità, l’esigenza di accedere ai dati e alle risorse aziendali non è cambiata. Pertanto, un approccio Zero Trust abbinato ai principi di minimo privilegio è essenziale per proteggere le identità e gli accessi sugli endpoint. Una mancata implementazione di questo modello di sicurezza renderebbe significativamente più facile il lavoro di un hacker.
La natura mutevole del ransomware
Nel corso dell’ultimo anno, il ransomware si è confermato tra le minacce più attuali e concrete per gli endpoint. Il Verizon 2021 Data Breach Investigations Report evidenzia che: “Il principale cambiamento di quest’anno per quanto riguarda i tipi di azione ha riguardato il ransomware, che ha guadagnato il terzo posto a livello assoluto nelle violazioni, comparendo nel 10% di esse, più che raddoppiando la sua frequenza rispetto allo scorso anno)”.
Gli attacchi ransomware avanzati iniziano dall’endpoint, utilizzando un singolo dispositivo come gateway per spostarsi in tutta la rete e crittografare i file, le applicazioni e i sistemi più importanti per un’organizzazione. Esempi di questo includono il ransomware Bad Rabbit, apparso per la prima volta nel 2017 sotto le mentite spoglie di un programma di installazione di Adobe Flash (tradizionale trucco di ingegneria sociale) e, naturalmente, il recente attacco Darkside sulle infrastrutture critiche negli Stati Uniti.
Ciò che è preoccupante, però, è che stiamo iniziando a vedere una nuova tendenza nel modo in cui il ransomware viene utilizzato sull’endpoint. Gli attori delle minacce non si limitano più a criptare o a bloccare i dispositivi, ma rubano effettivamente i dati e chiedono un riscatto per evitare che questi dati vengano resi pubblici. Questo riduce significativamente il possibile ruolo positivo del backup, perché i dati sono già stati rubati. In pratica, pur ripristinando i dati, questi sono comunque compromessi e nella disponibilità degli attaccanti. Tali attacchi stanno pertanto sorpassando i confini tra il ransomware e le violazioni mirate dei dati, motivo per cui le aziende devono essere estremamente consapevoli di questa nuova minaccia.
La chiave per mitigare gli attacchi di questa natura è l’implementazione di policy di minimo privilegio sugli endpoint. Questo impedisce al ransomware e ad altre forme di attacco di utilizzare i privilegi sugli endpoint come punto di partenza per raggiungere i file e i sistemi più importanti in altre parti della rete. Gli aggressori vengono fermati sul nascere, con eventi limitati al punto di infezione iniziale, rendendoli molto meno efficaci e minimizzando il danno potenziale.
Questo approccio è particolarmente rilevante nell’ambito odierno in cui gli endpoint hanno livelli più disparati di sicurezza, mentre l’ambiente lavorativo può essere un bar, un’auto o la casa. La cybersecurity deve tenere il passo con la flessibilità del lavoro moderno per garantire al meglio la continuità del business.
Di Massimo Carlotti, Presales Team Leader di CyberArk
