La tempesta perfetta
L'email è stata per decenni il vettore di minaccia numero uno per i cyber-criminali e continua a esserlo oggi. Tuttavia, l'attuale crisi ha fornito diversi nuovi fattori che i malintenzionati sono ansiosi di sfruttare. In molte aziende, il numero dei lavoratori da remoto è aumentato dal 10 al 95% dei dipendenti: ciò offre l'opportunità di focalizzarsi su endpoint che potrebbero essere meno protetti rispetto ai normali desktop aziendali. Il personale può anche essere più distratto lavorando da casa e quindi più incline a cliccare su link o ad aprire allegati, cose che normalmente avrebbe evitato di fare.
Anche i responsabili IT possono essere distratti; stressati dalle numerose richieste alle quali devono rispondere per supportare il lavoro di massa da remoto e impegnati in altri progetti meno visibili, mentre la loro azienda cerca di adattarsi rapidamente alla nuova normalità. Queste lacune possono diventare ancora più grandi se il personale di sicurezza è costretto a prendere un congedo per malattia a causa del virus.
Quali sono le minacce?
Ramsomware, mai abbassare la guardia
Una consulenza congiunta del National Cyber Security Centre (NCSC) del Regno Unito e della Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti indica le principali strategie messe in atto oggi sia dagli aggressori APT sia dai cyber-criminali mossi da motivi economici. Queste sono:
- Il Phishing, usando il COVID-19 come esca. Questo potrebbe essere ideato per rubare le credenziali dell'utente o diffondere malware
- Nuovi domini registrati contenenti riferimenti o le parole COVID-19, da utilizzare in combinazione con le email di phishing
- Attacchi all'accesso remoto / infrastruttura di lavoro
Questo è in linea con ciò che Barracuda Networks sta osservando. I suoi filtri hanno registrato un aumento del 667% nei tentativi di spear-phishing COVID-19 tra gennaio e la fine di marzo, ad esempio. Un'ulteriore suddivisione mostra la gamma di tattiche utilizzate: il 54% erano truffe, il 34% erano attacchi di brand impersonation, l'11% erano ricatti e l'1% erano attacchi di compromissione business email compromise (BEC).
Le videoconferenze e l'infrastruttura VPN sono particolarmente a rischio, con gli hacker desiderosi di sfruttare vulnerabilità trascurate e/o impostazioni utente predefinite non sicure. L'NCSC ha osservato email/siti di phishing che tentavano di raccogliere accessi e password approfittando dei difetti dei prodotti VPN.
Provato e testato
La buona notizia è che molte di queste tattiche dovrebbero essere familiari ai responsabili della sicurezza IT. Le email di social engineering e phishing, lo sfruttamento delle vulnerabilità e il BEC sono tutti approcci collaudati che vengono minimizzati attraverso pratiche consolidate. Inoltre, nonostante i titoli sensazionalistici delle notizie, i ricercatori in realtà non vedono un aumento complessivo dei livelli di criminalità informatica: è solo che le risorse e le campagne esistenti vengono riproposte per sfruttare l'interesse globale per la pandemia e gli utenti che cercano freneticamente i vaccini, informazioni sulle mascherine e consigli.
Detto questo, sono in gioco altri fattori che possono complicare le cose per i responsabili della sicurezza IT. Pochi avranno avuto il tempo, il budget o la lungimiranza per dotare ogni singolo dipendente di un laptop o dispositivo aziendale prima che fossero stabiliti i blocchi governativi e gli ordini di lavorare da casa. Ciò crea una serie sfide in termini di visibilità e sicurezza: un'esplosione notturna in endpoint potenzialmente non gestiti e poco protetti. L’opportunità di ricorrere a soluzioni di Shadow IT, l'uso di applicazioni e dispositivi non autorizzati sono molto più elevati del normale. I responsabili IT aziendali devono stabilire rapidamente quali sono le loro policy in questo settore.
Un'altra sfida potrebbe essere rappresentata dall'uso delle VPN. Per molte aziende questo è il modo migliore per connettere in modo sicuro i lavoratori da remoto alla rete aziendale. Ma cosa succede quando l'intera forza lavoro vuole connettersi, e per l'intera giornata, non solo sporadicamente? Il servizio VPN stesso potrebbe sovraccaricarsi, al punto da non poter essere utilizzato per distribuire patch critiche agli endpoint. Ciò potrebbe infine mettere sotto pressione le aziende alla ricerca di alternative e potrebbe spingere verso un maggiore utilizzo di servizi cloud come Office 365, optando per un approccio ‘zero trust’ che enfatizza l'autenticazione a più fattori e la politica del "mai fidarsi, verificare sempre".
Pensare al futuro
Una volta che il panico iniziale si sarà esaurito, queste sono tutte questioni importanti a lungo termine a cui i responsabili IT dovrebbero pensare. Ma nel frattempo, l'attenzione deve essere rivolta alla protezione dell'ambiente di lavoro domestico attuale. Questo significa:
- Ottenere visibilità su tutti gli endpoint remoti e sul loro stato di sicurezza utilizzando strumenti automatici di gestione asset/patch
- Assicurarsi che tutti gli endpoint, compresi i computer utilizzati per lavorare da casa, siano aggiornati e protetti con la protezione email e web a più livelli
- Offrire a tutti i dipendenti una formazione aggiornata su come individuare le minacce COVID-19
- Rivedere le politiche di accesso applicando l'autenticazione a due fattori (2FA) a tutti gli account
- Aumentare la sicurezza del cloud nativo (ovvero integrato in Office 365) con piattaforme di sicurezza email/web di terze parti
- Stilare un elenco di app di videoconferenza/collaborazione approvate e di policy per l'utente finale (ad es., l’uso obbligatorio dell’autenticazione a due fattori)
- Se si utilizza una VPN, assicurarsi che sia facilmente implementabile e altamente scalabile
- Investire in un servizio di risposta alle emergenze per automatizzare gli avvisi e bloccare le minacce
- Backup su Cloud per tutti i dipendenti che lavorano da casa