Check Point Software Technologies Ltd. ha annunciato i risultati di un nuovo report secondo cui il 48% delle aziende intervistate sono state vittima di social engineering, avendo subito almeno 25 attacchi negli ultimi due anni, costati a ciascuna di esse tra i 25.000 e 100.000 dollari per singolo incidente. Il report, “The Risk of Social Engineering on Information Security”, mostra come il phishing e gli strumenti di social networking rappresentino la fonte più comune di minacce a livello social – e incoraggia le aziende a implementare una potente combinazione di tecnologia e user awareness per ridurre al minimo la frequenza ed il costo degli attacchi. Gli attacchi perpetrati tramite il social engineering hanno come bersaglio preferito soggetti con una conoscenza o un accesso implicito a informazioni confidenziali. Oggi gli hacker sfruttano una varietà di tecniche e di applicazioni di social networking per raccogliere informazioni personali e professionali di individui per trovare l’anello più debole di un’organizzazione. Secondo l’indagine condotta a livello globale su oltre 850 professionisti dell’IT e della sicurezza, l’86% delle aziende riconosce il social engineering come una preoccupazione crescente, con la maggioranza degli intervistati (51%) che cita il ritorno economico come motivazione primaria degli attacchi, seguito da vantaggio concorrenziale e vendetta. “I risultati dell’indagine mostrano che quasi la metà delle aziende interpellate sa di essere stata oggetto di attacchi di social engineering. La consapevolezza che molti di questi attacchi passano inosservati rende l’idea di quanto sia esteso e pericoloso questo vettore d’attacco che non deve essere ignorato”, afferma Oded Gonda, vice president dei prodotti di sicurezza di Check Point Software Technologies. Mentre le tecniche di ingegneria sociale si basano sullo sfruttamento delle vulnerabilità di una persona, la prevalenza del computing Web 2.0 e mobile ha persino reso più semplice ottenere informazioni sugli individui e ha creato nuove vie di accesso per dare vita ad attacchi di social-engineering. Nuovi dipendenti (60%) e fornitori (44%) che hanno meno familiarità con le policy di sicurezza aziendale sono considerati i più esposti alle tecniche di ingegneria sociale, in aggiunta agli assistenti, alle risorse umane ed al personale IT. “E’ l’essere umano il punto critico dei processi di sicurezza, in quanto può essere raggirato dai criminali e commettere errori che possono causare infezioni malware e perdite di dati involontarie. Molte aziende non prestano particolare attenzione al coinvolgimento degli utenti, quando, nei fatti, dovrebbero essere i dipendenti la prima linea difensiva”, aggiunge Gonda. “Un buon modo per aumentare la consapevolezza tra gli utenti è quello di coinvolgerli nel processo di security e metterli nelle condizioni di prevenire e porre rimedio ad incidenti di sicurezza in tempo reale”. Per ottenere il livello di protezione necessario negli ambienti IT odierni, la sicurezza deve passare dall’attuale raccolta di tecnologie differenti tra loro ad un processo di business efficace. Check Point 3D Security aiuta le aziende a implementare un progetto di security che va oltre la tecnologia e può educare i dipendenti coinvolgendoli nel processo. “Proprio come i dipendenti possono commettere errori e causare violazioni o minacce all’interno dell’azienda, essi possono anche giocare un ruolo fondamentale nel mitigare i rischi”, continua Gonda. Con la tecnologia esclusiva UserCheck™ di Check Point, le aziende possono allertare e istruire i dipendenti sulle policy relative all’accesso a reti, dati e applicazioni aziendali – riducendo, così, al minimo la frequenza, il rischio e i costi associati alle tecniche di social engineering. Conclusioni rilevanti:- La minaccia del Social Engineering è reale – l’86% dei professionisti dell’IT e della sicurezza sono consci o estremamente consci dei rischi associati all’ingegneria sociale. Circa il 48% delle aziende intervistate ha ammesso di essere stata vittima di social engineering più di 25 volte negli ultimi due anni.- Gli attacchi di Social Engineering sono costosi – Gli intervistati hanno stimato che ogni incidente è costato da 25.000 a 100.000 dollari, compresi i costi associati all’interruzione di business, agli esborsi dei clienti, alle perdite di profitto e al danno d’immagine.- Fonti più comuni di Social Engineering – Le e-mail di phishing sono state classificate come le fonti più comuni di tecniche di ingegneria sociale (47%), seguite dai siti di social networking che possono diffondere informazioni private o professionali (39%) e dispositivi mobile non sufficientemente protetti (12%).- Il ritorno economico è la motivazione primaria dietro al Social Engineering – Il guadagno è stato citato come la ragione più frequente dietro agli attacchi di social engineering (46%), seguito dall’accesso a informazioni proprietarie (46%), vantaggio concorrenziale (40%) e vendetta (14%).- I nuovi dipendenti sono i più esposti alle tecniche di Social Engineering – Gli intervistati hanno dichiarato che i nuovi dipendenti sono estremamente esposti al rischio di social engineering, seguiti dai fornitori (44%), dagli executive assistant (38%), dalle risorse umane (33%), dai leader aziendali (32%) e dal personale IT (23%). Indipendentemente dal ruolo di un dipendente all’interno di un’azienda, porre in essere attività di training appropriate e aumentare la consapevolezza in termini di security è di vitale importanza per ogni policy di sicurezza che si rispetti. – Mancanza di training proattivo per la prevenzione di attacchi di Social Engineering – Il 34% delle aziende non ha attivato alcuna policy di sicurezza o di training dei dipendenti per prevenire tecniche di ingegneria sociale, sebbene il 19% lo abbia in programma. L’indagine “The Risk of Social Engineering on Information Security” è stata condotta tra luglio e agosto 2011, intervistando oltre 850 professionisti dell’IT e della sicurezza provenienti da U.S.A., Canada, Regno Unito, Germania, Australia e Nuova Zelanda. L’indagine prende in considerazione aziende di tutte le dimensioni operanti in molteplici settori, quali finanziario, industriale, difesa, retail, sanità e istruzione.
“La sicurezza non è solo un problema per gli amministratori IT; deve essere parte del ruolo di ogni professionista. Poiché l’industria si trova a fronteggiare la crescita di minacce sofisticate e mirate, il coinvolgimento dell’utente rende le tecnologia di security più intelligente ed efficace”, ha concluso Gonda.
