Tratto da Cyber Magazine | aprile-giugno 2020
A cura di Pierguido Iezzi
Non c’è dubbio che la pandemia si sia fatta sentire anche sul fronte Cyber Security. Ovviamente “remotizzare” milioni di lavoratori in un lasso di tempo molto breve non ha lasciato molto tempo a tantissime organizzazioni per mettere in piedi un perimetro di sicurezza informatica adeguato o che tenesse conto del nuovo scenario che si stava andando a creare. Questo è ovviamente comprensibile, laddove assicurarsi la business continuity diventa imperativo, soluzioni come lo Smart working diventano imprescindibili, proprio perché nascono per garantire la continuità del business attraverso la creazione di strumenti e processi che permettono ai tanti dipendenti, fornitori e clienti di poter collaborare da remoto.
Il rovescio della medaglia però è stato che si è creata in pochissimo tempo una superfice d’attacco per i Criminal Hacker nettamente più ampia. Non dobbiamo dimenticare che lo Smart Working, dal punto di vista strettamente Cyber, porta 4 problematiche fondamentali: la dotazione aziendale standard è fuori dal nostro perimetro aziendale e quindi opera su reti di casa a volte non sufficientemente protette o, in moltissimi casi, deve interagire con dispositivi IoT non sicuri. Come se non bastasse, alcuni lavoratori si saranno trovati costretti a lavorare sui propri device, sicuramente non allineati con le misure di sicurezza software installate – da best practice – sui device aziendali. Altra conseguenza dello Smart Working è stata l’impennata nell’utilizzo di connessioni VPN.
Queste permettono agli utenti di collegarsi alla rete aziendale direttamente dalla propria abitazione. Ma è stato dimostrato più e più volte come queste, specialmente nelle miriadi di edizioni free che esistono al momento, sono tutt’altro che una garanzia di sicurezza e affidabilità. Se violate perché non sufficientemente sicure o non correttamente settate, potrebbero spalancare ai Criminal Hacker la porta per un attacco alla vostra azienda. Come se non bastasse, nello smart working potrebbe presentarsi la necessità di utilizzare il controllo remoto, e nello specifico il Remote Desktop Protocol di Windows, per accedere ad una macchina o per procedure di help desk. Negli ultimi anni, sono stati osservati un numero crescente di cyber security incident in cui gli aggressori si sono collegati da remoto a un server Windows da Internet utilizzando RDP e si sono loggati come amministratore del computer.
La pandemia non ha fatto che accentuare la necessità di utilizzare il protocollo RDP, aumentando esponenzialmente quindi, il rischio che i Criminal Hacker riescano ad accedere alle macchine aziendali per compiere una serie di attacchi, principe tra tutti quello di installare ransomware. Per quanto riguarda altre tipologie di Cyber attacco che hanno visto l’aumentare dell’intensità non possiamo ignorare il Phishing. Questo per sua natura fa leva sui bisogni e le paure della gente, e cosa c’è di meglio per far abbassare la guardia alle vittime delle email truffa a tema COVID-19? A partire dall’inizio del contagio sono state osservate numerose campagne di email dannose che sfruttavano l’esca del Covid-19 per cercare di convincere le potenziali vittime a fare clic. I criminali hanno inviato ondate di email che vanno da una dozzina a più di 200mila alla volta, e il numero di campagne tende ad aumentare. Circa il 70% delle email di phishing scoperte nelle ultime settimane sono utilizzate per consegnare malware e un ulteriore 30% mira a rubare le credenziali della vittima.
Ci sono stati anche attacchi ancora più diretti; l’esca, questa volta, sono state le mappe del contagio.
Si è trattato di diverse campagne per diffondere malware che miravano specificamente a colpire coloro che sono alla ricerca di presentazioni cartografiche della diffusione del virus su Internet, ingannandoli e convincendoli a scaricare ed eseguire un’applicazione dannosa. Questa, sul suo front-end, mostrava una mappa caricata da una fonte online legale, ma in background comprometteva il computer attraverso infostealer e malware di simile natura. Il rischio in questo caso è trasversale, il mondo del Cyber Crime, anche durante la Pandemia opera su due concetti base: path of least resistance e vulnerability attacks. Cosa significa? Significa che i Criminal Hacker cercheranno nella maggior parte dei casi il percorso più semplice per attaccare le proprie vittime, senza badare troppo a chi stanno veramente andando a colpire. Questo va a braccetto con il concetto di vulnerability attacks; individuato un exploit, si cercano i sistemi che possono essere attaccati tramite la vulnerabilità prescelta dal Criminal Hacker. Poco importa che il bersaglio sia una PMI, una struttura sanitaria o una grande azienda strutturata. Nel mondo del Cyber Crime as a Service il livello di skill richiesto è molto più basso di quanto si possa immaginare, attacchi preconfezionati vengono venduti a basso prezzo sul Dark Web già Ready to Use.
Questo concretamente significa che l’allerta deve essere generale perché l’aumento delle superfici d’attacco a disposizione non ha fatto altro che fornire più vittime potenziali ai Criminal Hacker.
È chiaro, perciò, che lo scenario descritto non fa che sottolineare ancora di più la necessità di consolidare e migliorare costantemente i fondamenti di ogni perimetro di Cyber sicurezza: il lato tecnologico e quello umano. Da un lato infatti, è imprescindibile avere una chiara visione di quali possibili falle possono essere presenti in qualsiasi momento all’interno della nostra azienda. Effettuare regolari attività di Vulnerability Assessment e Penetration Testing garantisce la corretta individuazione di quelle problematiche non risolte che si potrebbero annidare all’interno del nostro perimetro per poi correggerle tempestivamente prima che i Criminal hacker siano in grado di sfruttarle.
Ovviamente, dobbiamo anche capire chi potrebbe essere interessato ad attaccarci. Qui entra in gioco la Domain Threat Intelligence, la conoscenza che permette di mitigare o prevenire questi attacchi. Fortemente basta sui dati, la Domain Threat Intelligence fornisce informazioni e indicatori utili per attuare migliori strategie di Cyber difesa e migliorare la resilienza del proprio perimetro aziendale. Si tratta di una conoscenza basata su prove concrete, compreso il contesto, i meccanismi, gli indicatori, le implicazioni e i consigli su una minaccia esistente o emergente.
Queste informazioni possono essere utilizzate per meglio informare le decisioni riguardanti la risposta del soggetto preso di mira a tale minaccia o pericolo. In breve, la Domain Threat Intelligence è in grado di fornire una “actionable intelligence” tempestiva, contestualizzata e – soprattutto – facilmente interpretabile anche da chi non è espressamente del settore, ma è comunque in carica delle decisioni strategiche aziendali.
Sul lato “umano” della strategia di difesa l’attività deve essere duplice e attiva: servizi di Phishing concretamente ai propri smart worker come riconoscere ed evitare mail di phishing unita a formazione più tecnica e awareness, comunque amministrabili grazie a webinar e corsi online. Stesso discorso vale per chi ha scelto di utilizzare per la prima volta una VPN: bisogna sempre informarsi e scegliere con cura il prodotto più adatto alle nostre esigenze, non dimenticarsi mai di mettere in pratica le best practice di cyber security, effettuare una attenta e scrupolosa attività di security testing e adottare soluzioni di sicurezza proattiva.