L’attacco che ha occupato intere pagine di giornali e servizi nei TG in prima serata in questi giorni sottolinea ancora una volta la pericolosità del ransomware e l’importanza di definire misure di sicurezza adeguate e robuste per evitare furti di credenziali e compromissione di account che possono portare a situazioni veramente difficili da gestire e risolvere. Quando si parla con i CISO delle loro maggiori preoccupazioni e priorità, il tema del ransomware rimane uno fra i principali a destare forti timori, a causa dell’enorme impatto che può avere. È il loro scenario da incubo: un evento di sicurezza pubblico in grado di danneggiare la capacità operativa e provocare una grave perdita di dati, il tutto con costi davvero elevati.
Le statistiche mostrano che circa il 94% dei cyberattacchi inizia attraverso il canale e-mail, che di conseguenza si configura come una vera e propria centrale di rischio direttamente all’interno di un’organizzazione. Anche se storicamente gli attacchi ransomware sfruttavano le porte RDP (Remote Desktop Protocol), c’è un significativo aumento di attacchi ransomware veicolati attraverso campagne di phishing basate sulle e-mail, evidenziando una controtendenza rispetto gli anni precedenti in cui gli hacker hanno sfruttato principalmente i downloader come payload iniziale. Inoltre, reti che dispongono di scarsi punti di controllo possono essere più facili da amministrare, ma al contempo rendono più semplice per l’attaccante raggiungere i propri obiettivi. Ulteriori livelli di segmentazione della rete intorno ai sistemi e ai dati critici fanno sì che un’infezione malware abbia meno probabilità di impattare sui servizi fondamentali. I sistemi IT aziendali, inviando e ricevendo costantemente e-mail, tendono a essere più a rischio, per questo devono essere tenuti segmentati dall’infrastruttura e dai dati vitali per l’organizzazione.
Volumi elevati di dati, molti dei quali estremamente personali, uniti alla necessità di fornire servizi ininterrotti e controlli di sicurezza non particolarmente stringenti lasciano le amministrazioni pubbliche nel mirino costante dei cyber criminali. Per potenziare le difese, le organizzazioni dovrebbero garantire consapevolezza della sicurezza informatica a ogni livello aziendale, abbinata a best practice di protezione aggiornate. Qualsiasi difesa efficace e a più livelli deve includere una soluzione Zero Trust in grado di connettere in modo sicuro il personale a dati e reti, una solida sicurezza della posta elettronica che includa l’autenticazione DMARC, una tecnologia di isolamento per valutare e rimuovere link e contenuti a rischio, la rilevazione e prevenzione di ogni eventuale compromissione delle credenziali e una visibilità totale sui log per rilevare minacce interne e altre attività sospette. Il panorama delle minacce continuerà ad evolversi a ritmo elevato e la strategia di difesa deve farlo con esso. Per i team di sicurezza IT incaricati di proteggere gli utenti in questo momento in precedenza inimmaginabile, la sfida non è mai stata così grande. L’unica difesa di successo è ampia e profonda. E inizia con le persone.
Di Luca Maiocchi, country manager di Proofpoint Italia
