Richard Yew e Darrin Raynolds, rispettivamente Senior Director Product Management e CISO di Edgio, condividono consigli e opinioni sulle più recenti minacce alla sicurezza informatica.
Le minacce della cybersecurity sono in continua evoluzione ed è essenziale che le aziende e gli utenti siano informati sui possibili pericoli e su come proteggersi da essi. Secondo un recente studio IBM, “per l’83% delle aziende non è importante se avverrà una data breach, ma quando”, mentre il costo medio di una violazione dati è stato di 4,35 milioni di dollari nel 2022. Inoltre, è risaputo che più veloci sono detection e response nei confronti di una minaccia, meglio è.
Edgio, provider di soluzioni software edge-enabled che garantisce la fruizione integrata e sicura di prodotti e servizi digitali, analizza alcune delle minacce più significative che le organizzazioni si trovano ad affrontare attualmente, e condivide consigli su come individuarle e mitigarle.
Ransomware: verso l’”illegalità”
Una delle cyberminacce più pericolose è il ransomware, un malware in grado di cifrare i dati delle vittime sui loro dispositivi o server, compromettendo la disponibilità dei loro dati e chiedendo un riscatto in cambio della chiave di decifrazione. Negli ultimi anni, gli attacchi ransomware sono diventati più sofisticati e mirati, crescendo del 41% nell’ultimo anno.
Per proteggersi dal ransomware, è fondamentale effettuare backup regolari dei dati e mantenere tutti i software e i sistemi aggiornati con le ultime patch di sicurezza. È inoltre importante implementare servizi avanzati di protezione delle applicazioni web e delle API (WAAP) per tutte le applicazioni web, al fine di limitare qualsiasi vulnerabilità che possa essere utilizzata dagli aggressori come backdoor per accedere ai sistemi e dati critici tramite compromissione diretta o movimenti laterali.
Darrin Raynolds, Chief Information Security Officer di Edgio ha commentato: “Una strategia preventiva nei confronti dei ransomware è sempre più vitale, specie considerato che probabilmente, in diversi Paesi, pagare il loro riscatto diventerà illegale. I governi inizieranno a vietare i pagamenti agli hacker e chiederanno alle aziende di esercitare una sufficiente ‘igiene informatica’ ed essere abbastanza lungimiranti affinché il ransomware non sia un problema per l’azienda”.
Attacchi DDoS: adottare un approccio olistico
Secondo il Verizon DBIR (Data Breach Investigations Report) del 2022, la minaccia numero uno è tuttavia il DDoS (Distributed Denial of Service) che continua a crescere ogni anno ammontando per ora al 46% degli attacchi e venendo scelto per la sua capacità di sovraccaricare di traffico un sito web o una rete, non rendendoli disponibili per gli utenti, ma al contempo rendere difficile rintracciare la fonte dell’attacco.
“Ricordate gli attacchi informatici agli aeroporti americani dello scorso ottobre? Questi aeroporti sono stati bloccati da attacchi DDoS, anche se per poco tempo, ma tutti gli aeroporti avevano soluzioni di sicurezza sofisticate, per cui la domanda è: come sono state penetrate? Le organizzazioni hanno l’abitudine di concentrarsi solo su un’area, quindi mettono le migliori soluzioni DDoS nell’edge, ovvero sulle applicazioni web, ma dimenticano di proteggere il resto dei sistemi e dell’infrastruttura di origine. Per questo è sempre importante pensare alla cybersecurity con un approccio olistico, una soluzione end-to-end, a partire dall’infrastruttura di base fino alla crittografia dei dati, al DDoS e alla protezione dell’application layer”, ha dichiarato Richard Yew, Senior Director Product Management di Edgio.
Nel giugno dello scorso anno, Edgio ha bloccato due grandi attacchi DDoS. Il secondo di questi è stato pari a 355,14 Mpps (Million Packets Per Second), uno dei più grandi attacchi DDoS conosciuti al pubblico.
Phishing: il nuovo velo del “Work from Anywhere”
Un’altra minaccia significativa è rappresentata dal phishing, un tipo di attacco di social engineering che mira a ingannare le vittime per indurle a fornire informazioni sensibili o a installare malware tramite link fasulli, solitamente inviati via spam. Ultimamente questo tipo di attacco ha beneficiato di uno dei più recenti cambiamenti nel modo di affrontare il lavoro: lo smart working.
“Il Work from Anywhere ha aperto nuove frontiere della cybersecurity. Più che mai, per proteggersi dal phishing, è essenziale educare i dipendenti sui pericoli e su come riconoscere un’e-mail di phishing da una normale, possibilmente conducendo finte campagne phishing interne per identificare i punti deboli in qualsiasi parte dell’organizzazione. Ma dovrebbero munirsi anche di scansioni delle e-mail esterne e altre best practice per etichettare correttamente le e-mail provenienti organizzazioni esterne. Anche altre tecnologie, come l’isolamento del browser remoto (RBI) e la micro-segmentazione, possono aiutare a proteggersi dal phishing, impedendo l’accesso al resto del sistema”, ha specificato Reynolds.
L’exploit degli Zero-Day
Alcuni degli incidenti di sicurezza di più alto profilo degli ultimi due anni sono stati causati da vulnerabilità zero-day dovute alla prevalenza di molteplici software open source o SaaS utilizzati in molte aziende. Secondo il MITRE, nel 2022 sono state divulgate oltre 25.000 nuove CVE, con un aumento del 24% rispetto al 2021, e si prevede che le nuove vulnerabilità continueranno a crescere a due cifre. Molte di esse includono famose vulnerabilità zero-day (ad esempio Log4j, Spring4shell e Apache Struts) che hanno avuto un impatto su numerose organizzazioni e sono responsabili di alcune delle più grandi data breach.
“Le aziende devono ottenere una migliore comprensione e una panoramica completa dei rilevamenti in tutto il loro traffico di rete, utilizzando una sofisticata piattaforma edge per la protezione delle applicazioni web e delle API (WAAP). È necessario dotare i clienti degli strumenti di cui hanno bisogno, in modo che sappiano che gli exploit Zero-Day vengono mitigati nel più breve tempo possibile”, ha affermato Yew.
La persistenza delle APT
Un’altra minaccia alla sicurezza informatica è rappresentata da minacce avanzate e costanti (APT), che sono metodi utilizzati dagli aggressori per infiltrarsi in una rete e stabilire una presenza a lungo termine per raccogliere informazioni sensibili o compromettere l’integrità del sistema. Le APT sono spesso attacchi mirati e sofisticati lanciati da aggressori altamente qualificati. Questi attacchi possono essere perpetrati violando la parte più debole del sistema di un’organizzazione che è meno curata (ad esempio, un semplice sito web informativo). Da lì, gli aggressori cercheranno di sfruttare ulteriori vulnerabilità o configurazioni errate delle policy per spostarsi lateralmente tra i sistemi e ottenere un accesso backdoor ad altri servizi critici.
“Per proteggersi dalle APT è fondamentale disporre di una solida segmentazione della rete e monitorare regolarmente la presenza di attività insolite o sospette. Anche in questo caso soluzioni di sicurezza olistiche sono importanti e garantiscono che tutte le applicazioni, indipendentemente da quanto siano preziose, siano protette per evitare movimenti laterali” ha precisato Reynolds.
Attacchi bot: gran parte del traffico Internet
Oggi gran parte del traffico Internet proviene da client automatizzati, detti bot, che vengono utilizzati dai malintenzionati per effettuare una serie di attacchi indesiderati alle applicazioni web. Alcuni degli attacchi più comuni eseguiti da questi bot includono gli attacchi DDoS alle applicazioni, il credential stuffing, lo scraping dei dati e le frodi con le gift card.
“Quasi il 42% del traffico Internet è generato da bots. Gran parte di quel 42% è rappresentato da quelli che noi definiamo bad bot, che rappresentano un notevole spreco di larghezza di banda e di risorse in termini di consumo inutile dell’infrastruttura di molte aziende, delle loro risorse cloud e di rete, e che non fanno altro che aumentare i loro costi. Quello che possiamo fare è utilizzare la tecnologia di machine learning lato server per esaminare il traffico e non solo identificare i bot, ma anche classificarli”, ha commentato Yew.
L’approccio di Edgio
“Credo sia importante tornare sempre alle basi e guardare le cose con obiettività, e un buon punto di partenza è chiedersi qual è la definizione di sicurezza. Per me, la sicurezza è ciò che facciamo per garantire che un sistema mantenga la riservatezza, l’integrità e la disponibilità necessarie per assicurare che l’utente sia protetto in ogni momento.”
“Il nostro obiettivo in Edgio è quello di fornire ai nostri clienti l’accesso alle soluzioni più avanzate, ma anche di garantire loro una protezione a 360 gradi su tutta la rete e le applicazioni, perché essenzialmente tutto ciò che è esposto a Internet deve essere protetto, non solo la pagina di accesso, l’API o l’end-point: tutto deve essere protetto in ogni momento.
Vogliamo fornire ai nostri utenti l’accesso alla piattaforma applicativa più completa, che sia abilitata all’edge e che abbia le capacità di consentire agli utenti di scalare per proteggere i loro siti, accelerare le loro applicazioni web e migliorare il loro development rate”, ha concluso Yew.