Attualmente, solo una minoranza degli hacker agisce “solo per divertimento” o per sfida. La maggior parte sono spinti da motivazioni economiche, sono estremamente organizzati e raramente lavorano da soli. Gli hacker sono agili, mentre non si può sempre dire lo stesso delle aziende, soprattutto quando sono alle prime armi sul fronte della sicurezza.
L’obiettivo di un hacker è quello di rubare i dati delle carte di credito, gli indirizzi e-mail, i nomi utente e le password. Ossia tutto quello che possa essere venduto al miglior offerente. Tra le tecniche che sfruttano per raggiungere i loro obiettivi troviamo le seguenti.
Ransomware
Gli hacker possono virtualmente tenere in ostaggio le aziende con il ransomware, una pratica spietata che cripta da remoto i file senza il tuo consenso. Alcune forme di ransomware sono programmate per diffondersi nella rete.
Invece di richiedere che un destinatario apra l’allegato di un’e-mail o faccia clic su un link, la tendenza attuale è diversa. Il ransomware abilita la trasmissione del codice dannoso tra le reti senza l'interazione dell'utente (come ad esempio WannaCry, che ha iniziato a diffondersi nel maggio 2017). “WannaCry è il primo ransomware completamente automatizzato”, spiega Craig Williams, responsabile senior del programma di sicurezza di Talos, il ramo di Cisco dedicato alle ricerche sulla sicurezza.
WannaCry ha interessato più di 200.000 computer in tutto il mondo e si stimano perdite per circa 4 miliardi di dollari. Questo ransomware viene installato sfruttando una vulnerabilità del protocollo SMB di Microsoft ed è particolarmente efficace in ambienti Windows più vecchi, come Windows XP, Windows Server 2003 e Windows 8. Microsoft aveva già rilasciato un aggiornamento della sicurezza per correggere questa vulnerabilità, ma non tutti gli utenti erano protetti automaticamente.
Secondo i risultati del report “2017 State of Cybersecurity in Small and Medium-Sized Businesses (SMB)” del Ponemon Institute, il 52% delle PMI intervistate ha subito un attacco ransomware (andato o meno a segno) in un lasso di tempo di 12 mesi. Una volta completata l’infezione, sullo schermo compare un messaggio con la richiesta di pagare un riscatto in bitcoin per riavere i propri dati. In genere la cifra del riscatto varia dalle £ 200 (circa € 225) alle £ 10.000 (circa € 11.230), ma alcune vittime hanno pagato molto di più.
Notizie recenti mettono in luce l’esistenza di una nuova generazione di minacce ormai virale su scala globale e che prolifera con una rapidità senza precedenti. Il gruppo di ricerca sulle minacce Cisco Talos ha scoperto una minaccia, chiamata VPNFilter, che ha compromesso oltre 500.000 router o dispositivi Network Attached Storage di piccole sedi o uffici domestici a livello globale. I dispositivi Cisco non sono stati colpiti. Questa minaccia complessa consente all'autore di analizzare il traffico che passa attraverso i dispositivi, di rubare i file da unità di backup della rete e potenzialmente di sfruttarli per accedere alle reti aziendali connesse.
I criminali informatici conoscono a fondo i loro bersagli, compresi i loro gusti e il modo in cui conducono gli affari. Sanno quanto pagheranno per il rilascio dei loro dati e sfruttano senza pietà tutti i punti deboli che riescono a individuare.
Gli attacchi BEC sono il 75% più redditizi del ransomware. Eppure non se ne parla così tanto. I BEC (Business E-Mail Compromise) sono attacchi mirati che utilizzano tecniche di social engineering per indurre le persone a trasferire denaro a favore degli hacker. Non c'è nessun malware, non ci sono allegati. A differenza degli attacchi ransomware, non sottraggono alcun dato alle vittime. Tutto si basa su false dichiarazioni e istruzioni fraudolente.
Di solito gli hacker studiano per qualche tempo l’azienda target e iniziano a costruire un profilo. Quando hanno raccolto abbastanza informazioni, inviano e-mail di spear-phishing ai ranghi più alti del personale, spesso del dipartimento finanziario. In ogni caso deve trattarsi di una persona in grado di autorizzare trasferimenti di denaro. Più è grande l'azienda, più soldi possono ottenere. Tuttavia, gli attacchi rivolti a piccole e medie imprese sono in aumento.
Più è grande l'azienda, più soldi possono ottenere. Tuttavia, gli attacchi rivolti a piccole e medie imprese sono in aumento.
I dati sono al centro di tutte le attività dell’azienda: si tratta di proprietà intellettuale, della prossima grande occasione, dei record dei clienti, del fatturato. I costi di una violazione vanno ben oltre la correzione delle interruzioni e dei sistemi danneggiati.
Costruire una postura della sicurezza solida può aiutare a proteggere la proprietà intellettuale e la reputazione della tua azienda. In media, le aziende impiegano 191 giorni per rilevare una violazione e 66 giorni per contenerla. (Fonte: Ponemon Institute). Eppure la soluzione per limitare i danni è il rilevamento precoce.
La media dei tempi di rilevamento di Cisco è pari a 3,5 ore. Se si verifica una violazione, gli esperti dei Cisco Incident Response Services sono disponibili nel giro di poche ore per aiutarti a contenere e risolvere le cause profonde.
Gli attacchi alla filiera di approvvigionamento costituiscono una minaccia informatica emergente e in crescita, il che dimostra la competenza raggiunta dai criminali informatici. Essi infatti compromettono i meccanismi di aggiornamento software di pacchetti altrimenti legittimi. Ciò, in un secondo momento, consente loro di sfruttare la distribuzione di software lecito. Fondamentalmente, i criminali informatici prenderanno di mira le aziende della filiera di approvvigionamento con procedure di sicurezza informatiche deboli, soprattutto quando si tratta di condivisione delle informazioni. Ecco perché spesso le vittime sono PMI.
Una volta identificato l’anello debole, l'hacker può quindi concentrarsi sullo sfruttamento dell’obiettivo finale prefissato.
Difendi il tuo business dagli hacker. Combattili ovunque tentino di infiltrarsi. Le nostre soluzioni ti proteggono dal livello DNS, all'e-mail fino all’endpoint e sono supportate dalle ricerche sulle minacce leader del settore di Talos.
Se la tua azienda appartiene a una filiera di approvvigionamento, chiedi ai fornitori/partner in che modo proteggono le loro rispettive filiere di approvvigionamento. Chiedi informazioni sulle loro procedure di sviluppo e sui controlli di sicurezza interni. Come implementano le patch e gli aggiornamenti nei sistemi interni e con quale frequenza? Come segmentano e proteggono gli ambienti di sviluppo, QA e produzione? Come controllano partner e fornitori?
E non dimenticarti di porti tutte queste domande anche in merito alla tua azienda, o potresti scoprire che è proprio questo l'anello più debole della filiera di approvvigionamento. Ulteriori informazioni sugli attacchi alla filiera di approvvigionamento sono disponibili a questo link:
Alcune aziende semplicemente non hanno una strategia di sicurezza informatica chiara. Si arrangiano con una soluzione finché non diventa un ostacolo.
Altre tentano di far fronte a tutto e finiscono per dover affrontare un problema di stacking: uno stack di diverse soluzioni di sicurezza puntuali di vari fornitori, installate tutte insieme. Entrambe le situazioni implicano problemi. l miscuglio di tecnologie di sicurezza incompatibili lascia lacune, crea difficoltà di gestione e crea inefficienze che fanno prosperare gli hacker. Ogni nuova soluzione di sicurezza è dotata di un'altra interfaccia di gestione. Inoltre esige risorse umane, ore di gestione per la configurazione, la definizione di policy, la risposta agli avvisi e non è sempre chiaro se la sicurezza supplementare che ne risulta valga tutto lo sforzo ulteriore destinato alla gestione della soluzione stessa, quando sarebbe forse più opportuno concentrarsi su altri problemi di maggior rilievo.
Le aziende in questo modo si trovano ad aumentare la complessità senza incrementare più di tanto l'efficacia complessiva. Questa situazione è aggravata dal fatto che la sicurezza è considerata ancora soprattutto come un “problema IT”. Secondo lo Studio comparativo di Cisco sulla sicurezza, alcune aziende non sono del tutto convinte che i responsabili delle line-of-business debbano essere coinvolti nella questione della sicurezza. L'atteggiamento è troppo spesso: “La sicurezza è un problema dell’IT”. Si tratta di un problema reale, perché significa che la sicurezza spesso viene “aggiunta” anziché essere integrata nell'ecosistema di un'azienda. Smussare gli angoli crea più lavoro.
Se implementata nel modo giusto, la sicurezza può essere uno strumento di business. Una piattaforma di crescita.
Lavoriamo ovunque: a casa, in ufficio, negli aeroporti, nelle caffetterie. Eppure le soluzioni di sicurezza tradizionali si focalizzano ancora sulla protezione dei dipendenti solo quando si trovano nella rete aziendale.
Lo scenario è questo:
- Gli utenti accedono alla rete dai propri dispositivi intelligenti, ovunque si trovino
- Le app, i server e i dati aziendali sono nel cloud
- Dispositivi che non sembrano nemmeno computer si connettono alle tue reti (pensa ai contatori, ai termostati, alle stampanti, alle telecamere intelligenti...)
- E, per complicare ulteriormente la situazione, devi pensare a come garantire la sicurezza ovunque in modo da proteggere questa infrastruttura complessa
L’IT fantasma è la pratica per cui i dipendenti utilizzano tutte le applicazioni che vogliono senza l'approvazione del reparto IT. Questa pratica può esplicarsi in una miriade di modalità, dall'installazione di un servizio di messaggistica istantanea su un dispositivo aziendale, al download di un software di condivisione di file personale e al suo utilizzo per il trasferimento di dati sensibili. Nel report “2017 State of Cybersecurity in Small and Medium-Sized Businesses (SMB)” del Ponemon Institute, il 54% degli intervistati afferma che i dipendenti negligenti sono stati la causa profonda della violazione dei dati subita dall’azienda, in aumento rispetto al 48% riportato nello studio dell'anno precedente.
L’IT fantasma può creare enormi vulnerabilità di sicurezza, soprattutto se ignora quanto sia esteso il problema. Questo tipo di attività è come fare una nuotata in acque infestate da squali indossando un costume fatto di carne. Eppure è incredibilmente diffuso nelle aziende. Quindi perché esiste? Per la verità, il personale agisce con le migliori intenzioni. I lavoratori vogliono migliorare i propri livelli di produttività e utilizzare gli strumenti digitali più recenti. Di solito non pensano alle implicazioni per la sicurezza quando accedono a queste applicazioni. In alcuni casi i dipendenti utilizzano gli strumenti di IT fantasma perché erano abituati a usare determinati sistemi nell’azienda in cui lavoravano precedentemente. Dopotutto, è più facile che imparare qualcosa di nuovo.
È possibile trasformare l’IT fantasma in un contributo positivo per la tua azienda:
Le password solide continuano a svolgere un ruolo essenziale per la cybersecurity delle PMI. Eppure il 59% degli intervistati dell’attuale report di Ponemon (la stessa percentuale di quello precedente) afferma di non avere visibilità sulle procedure di creazione delle password dei dipendenti, incluso l'utilizzo di password univoche o complesse. Gli intervistati affermano anche che le policy delle password non vengono applicate rigorosamente. Nel caso di aziende che dispongono di una policy delle password (si tratta del 43% degli intervistati), il 68% afferma che questa non viene applicata con rigore o di non sapere con certezza se sia amministrata efficacemente.
