Un dato significativo riportato all’interno del Global Threat Landscape report del primo semestre 2022 redatto dai FortiGuard Labs riguarda il dilagare dei ransomware e del phishing. Ne parla approfonditamente Antonio Madoglio, Senior Director Systems Engineering – Italy & Malta
Gli attacchi ransomware stanno diventando sempre più sofisticati ed aggressivi, con i criminali informatici che introducono nuovi ceppi, e aggiornano, migliorano e riutilizzano quelli vecchi. Un dato preoccupante, se si osserva il primo semestre 2022, è l’aumento del quasi il 100% di varianti che sono state individuate rispetto al semestre precedente.
Ma in che modo il ransomware penetra all’interno di un’organizzazione? Il ransomware può essere trasmesso a una vittima ignara in molti modi. Eppure, secondo una ricerca, il phishing è il principale vettore di attacco associato ai ransomware. Per questo motivo è fondamentale che tutti i dipendenti siano consapevoli dei rischi informatici e che la formazione in materia di sicurezza informatica possa fare la differenza rispetto alla possibilità di trovarsi a un clic da una violazione.
Cos’è il phishing?
Un attacco phishing è un tipo di minaccia alla sicurezza informatica che spesso prende di mira gli utenti direttamente, tramite e-mail, messaggi di testo o social media. Durante una di queste operazioni, il criminale informatico si finge un contatto fidato della vittima per rubare dati sensibili come le credenziali di accesso, i numeri del conto corrente o le informazioni relative alle carte di credito.
Come avvengono gli attacchi?
I tentativi di phishing possono essere diversi, poiché i malintenzionati diventano sempre più sofisticati e creativi nelle loro tecniche. Alcuni tipi di attacchi phishing conosciuti sono lo spear phishing, il clone phishing, il vishing, il whaling, lo snowshoeing e la violazione delle email aziendali, solo per citarne alcuni.
Di recente è stato segnalato anche un nuovo metodo di phishing, denominato Multi-Factor Authentication (MFA) Fatigue. In questo tipo di attacco un malintenzionato esegue uno script in cui tenta di accedere più volte con le credenziali rubate, inviando così un’ondata di richieste MFA al device dell’utente. L’obiettivo è quello di sopraffarre l’utente con un flusso di notifiche, sperando che questi prema per sbaglio “approva”, fornendo così le proprie credenziali al criminale informatico.
Ciò che unisce questi exploit è un obiettivo comune: il furto d’identità o la diffusione di malware.
5 azioni che i team di sicurezza possono intraprendere per contrastare il phishing
Quando si tratta di prevenire attacchi informatici come il phishing, il team di sicurezza e i dipendenti dell’organizzazione hanno entrambi un ruolo importante da svolgere. Dalla disponibilità delle giuste tecnologie all’implementazione di programmi di formazione aziendale sulla sicurezza informatica, sono tante le semplici azioni che le imprese possono intraprendere per migliorare il proprio livello di sicurezza e difendersi da potenziali minacce.
Ecco le cinque best practice che Fortinet consiglia di implementare ad ogni azienda per difendersi dal phishing:
- Abilitare i filtri antispam: questa è forse la difesa più semplice che un’azienda possa adottare contro il phishing. La maggior parte dei programmi di posta elettronica utilizza filtri antispam di base che rilevano in automatico gli spammer noti. È possibile, inoltre, acquistare filtri antispam più avanzati che eliminano le e-mail in base ad altri attributi quali l’intestazione, la lingua e il contenuto dell’e-mail. I filtri antispam sono utili perché forniscono un ulteriore livello di sicurezza alla rete, particolarmente importante vista la centralità della posta elettronica come vettore di attacco.
- Aggiornare i software regolarmente: bisogna essere sicuri che il software e i sistemi operativi dell’organizzazione vengano aggiornati regolarmente. Le patch possono, infatti, rendere più resistenti i software e i sistemi operativi contro determinati attacchi. L’aggiornamento degli strumenti di sicurezza permette di rilevare e rimuovere meglio i malware o i virus che potrebbero essere stati inavvertitamente scaricati sul pc o sul telefono di un dipendente tramite un attacco. Tuttavia, mentre molti produttori di software forniscono aggiornamenti regolari o notifiche quando viene rilasciata una nuova patch, non tutti lo fanno. È quindi importante visitare regolarmente i siti web dei fornitori per verificare la presenza di aggiornamenti.
- Implementare l’autenticazione a più fattori (MFA): L’MFA richiede che l’utente utilizzi diverse informazioni prima di accedere alla rete aziendale e alle sue risorse. In generale, questo presuppone l’implementazione di almeno due dei tre elementi dell’MFA: qualcosa che si conosce (come una password o un PIN), qualcosa che si possiede (come un token fisico, un laptop o uno smartphone), e qualcosa che si è (come un’impronta digitale, la scansione dell’iride o il riconoscimento vocale). Questi livelli di autenticazione sono cruciali nel caso in cui un malintezionato abbia già rubato le credenziali di qualche dipendente. Con l’MFA attivata – specialmente se si include l’autenticazione biometrica – i criminali informatici non possono accedere ai dati sensibili.
- Back-up dei dati: tutti i dati aziendali devono essere crittografati e sottoposti a back-up regolari, questo è fondamentale in caso di furto o compromissione.
- Bloccare i siti web inaffidabili: è bene utilizzare un filtro web per bloccare l’accesso a siti web malevoli nel caso in cui un dipendente clicchi inavvertitamente su un link pericoloso.
Aiutare i dipendenti a identificare i tentativi di phishing
Secondo il Verizon Data Breach Investigation Report 2022, l’82% delle violazioni riuscite coinvolge l’elemento umano. Sebbene la presenza di tecnologie e processi di sicurezza adeguati sia fondamentale per la sicurezza di un’organizzazione, l’uomo è spesso l’anello debole dell’ecosistema della sicurezza informatica di un’organizzazione. Per questo motivo, è fondamentale insegnare ai dipendenti le best practice della sicurezza informatica.
Quando si implementa un programma di formazione continua a livello aziendale, è necessario identificare le principali aree da coprire che presentano i maggiori rischi per l’utente finale (e, inevitabilmente, per l’azienda). Nel caso del phishing, bisogna fornire ai dipendenti consigli pratici per identificare un potenziale tentativo di questa tipologia di attacco. Ad esempio, bisogna ricordare loro di esaminare attentamente le e-mail, verificando l’indirizzo del mittente, controllando anche la grammatica e l’ortografia e la presenza di eventuali link o allegati, prima di intraprendere qualsiasi azione.
Il servizio Security Awareness and Training di Fortinet fornisce alle organizzazioni un programma di formazione che aiuta a creare una cultura consapevole del mondo informatico, in cui i dipendenti abbiano maggiore probabilità di riconoscere ed evitare di cadere nei più comuni tentativi di attacco informatico.
Migliorare lo stack tecnologico con Fortinet
Sebbene il phishing sia una tecnica di attacco molto conosciuta dai criminali informatici, si tratta solo della punta dell’iceberg. I malintenzionati aggiungono spesso nuove tecniche ai loro metodi per eludere i meccanismi di difesa e il rilevamento, e per migliorare l’efficacia le proprie operazioni. Stando alle informazioni di Fortinet sulle minacce informatiche, si evince che i criminali informatici stanno trovando nuovi vettori di attacco da sperimentare in relazione agli attacchi già noti, aumentando la frequenza con cui vengono eseguiti.
Di conseguenza, i team di sicurezza devono essere molto più agili che mai, rendendo le soluzioni di sicurezza integrata un must per tutte le aziende. La creazione di una Cybersecurity Mesh Architecture olistica – che si contrappone al mettere insieme più prodotti singoli – permette di avere una maggiore interazione e automazione, rendendo più facile per i team che si occupano di sicurezza coordinarsi rapidamente e rispondere efficacemente in tempo reale.
Fortinet offre prodotti e servizi che supportano in modo unico le attività anti-phishing, come FortiMail, una soluzione di gateway e-mail sicura. L’intero portfolio di soluzioni e prodotti dell’azienda è pensato per lavorare insieme in modo fluido, come parte del Fortinet Security Fabric – che molti chiamano Cybersecurity Mesh Architecture (CSMA). Questa profonda integrazione, supportata da un sistema operativo comune (FortiOs), consente alle organizzazioni di condividere le informazioni sulle minacce, correlare i dati e rispondere in automatico alle minacce come un unico sistema coordinato.
Fortinet offre l’unica soluzione single-vendor per consolidare le tecnologie critiche e far convergere gli ambienti critici – inclusi sicurezza, networking, endpoint e cloud – in un’unica piattaforma. Poiché i criminali informatici trovano sempre nuovi modi per infiltrarsi nelle reti, questo tipo di approccio olistico alla sicurezza non è mai stato così importante.