Fortinet: l’importanza di una buona Cyber Hygiene, ora più che mai

Parlare di cyber hygiene con i CISO potrebbe sembrare banale, ma dopo anni di ricerca sulle minacce è innegabile che la mancanza di una corretta cyber hygiene sia la più grande e persistente minaccia per la maggior parte delle aziende. E il rischio continua a crescere man mano che le imprese espandono le proprie reti e di conseguenza aumentano le superfici di attacco prive di un’architettura di sicurezza completa o di un sistema di gestione.

Il concetto è apparentemente semplice: comporta una serie di pratiche e precauzioni che, se ripetute regolarmente, mantengono al sicuro e permettono ai dispositivi di funzionare come dovrebbero. Ma è più facile a dirsi che a farsi, con reti distribuite, IoT diffuso, l’adozione di infrastrutture multi-cloud e una crescente dipendenza dall’utilizzo di applicazioni SaaS. Inoltre, tenendo conto della convergenza tra IT e OT e del numero di dispositivi obsoleti che non possono essere scollegati dalla rete perché monitorano o gestiscono sistemi critici 24/7, i rischi aumentano e la posta in gioco è sempre più alta.

Bisogna mettere in sicurezza i lavoratori a distanza

Uno degli aspetti più critici su cui concentrare gli sforzi per mantenere una corretta cyber hygiene è quello del lavoro agile. La rapida crescita della forza lavoro mobile e la dipendenza dei lavoratori dai dispositivi personali e dalle reti domestiche è solo una delle sfide che i team IT devono affrontare. Sfortunatamente, la declinazione di una buona cyber hygiene per i lavoratori remoti sembra essere l’ultima delle preoccupazioni, per i team IT già sovraccarichi di lavoro, per mantenere l’azienda in funzione e garantire l’accesso alle applicazioni aziendali e alle risorse essenziali.

I dipendenti che lavorano da casa utilizzano dispositivi personali non protetti, dai laptop agli smartphone ai tablet, per rimanere connessi durante la giornata lavorativa. Questi device, collegati a reti domestiche più esposte e vulnerabili, hanno creato il terreno di caccia perfetto per i cybercriminali che prendono di mira i dati aziendali.

Negli ultimi mesi, gli hacker cybercriminali hanno utilizzato tattiche di social engineering facendo leva sui timori relativi alla pandemia di Covid-19 puntando alle vulnerabilità non identificate trovate nei dispositivi implementati all’interno delle reti domestiche. Hanno anche cambiato strategie, passando da attacchi tramite email, che molti utenti da remoto sono consapevoli di dover evitare, a nuovi tipi di attacchi basati su browser. E una volta che la rete aziendale è stata violata, i cybercriminali diffondono ransomware e altri malware.

(Come adattarsi al panorama delle minacce post pandemia

Nel 2020 il numero di vulnerabilità individuate e pubblicate in un solo anno è quasi da record. Queste vulnerabilità registrano anche il più basso tasso di sfruttamento mai osservato nella storia ventennale dalla CVE (Common Vulnerabilities and Exposures). Le vulnerabilità del 2018 hanno invece registrato il più alto tasso di sfruttamento (65%). E oltre il 25% delle imprese ha denunciato tentativi di exploit CVE a partire dal 2005. Allo stesso tempo, gli exploit mirati a router e dispositivi IoT a livello consumer-grade sono stati tra i maggiori rilevamenti IPS dei FortiGuard Labs. Mentre alcuni di questi mirano a vulnerabilità più recenti, un volume sconcertante ha preso di mira gli exploit scoperti per la prima volta nel 2014.

Non bisogna dare per scontato che le vulnerabilità più datate, comprese quelle di più di 15 anni fa, non possano causare problemi.

I trend dimostrano che i cybercriminali possono essere estremamente abili. A distanza di giorni dal passaggio della forza lavoro da remoto, il dark web si è popolato di attacchi di phishing che hanno preso di mira lavoratori inesperti. Nel giro di settimane, si è assistito a un drastico calo delle minacce contro le risorse aziendali e un relativo aumento di nuovi attacchi contro router a livello consumer, dispositivi personali, sistemi di gioco e altri dispositivi collegati alle reti domestiche. Gli hacker cercano vulnerabilità ancora esistenti all’interno delle reti domestiche che possano poi essere utilizzate per accedere alla rete aziendale.

Naturalmente, molti di questi attacchi si basano sugli stessi espedienti a cui questi cybercriminali si sono affidati per anni semplicemente perché funzionano. In questo senso, le aziende devono fare due cose: in primo luogo, agire rapidamente per informare i dipendenti sulle pratiche di cyber hygiene. E in secondo luogo, prepararli per respingere le minacce tradizionali come le truffe di phishing e gli attacchi ransomware, nonché i nuovi attacchi web browser-based, soprattutto perché continuano a lavorare da remoto. Organizzare videoconferenze per sensibilizzare sulla cybersecurity in tutti i rami dell’azienda, inviare aggiornamenti regolari via e-mail e sollecitare i dipendenti a controllare le e-mail e le pagine web insolite o sospette sono solo alcuni esempi della prassi da compiere.

I 10 consigli di Fortinet da tenere a mente per una buona Cyber Hygiene

Fortunatamente, nonostante la continua prevalenza del ransomware e il picco di attacchi HTML/phishing, esistono delle semplici misure che le aziende e i loro dipendenti possono adottare per creare una barriera più forte contro le minacce. Alcuni di questi passi sono semplici come la creazione di password più forti e l’esecuzione di aggiornamenti regolari del software e delle applicazioni. Altri possono richiedere l’aggiunta di software per la sicurezza degli endpoint più nuovi e avanzati.

È inoltre importante notare che, nello scenario attuale, determinati tipi di risorse commerciali sono particolarmente a rischio. Tra queste: i sistemi finanziari, i sistemi di supporto alla clientela e le risorse per la ricerca e lo sviluppo. Tuttavia, potrebbe essere necessario adottare misure e precauzioni supplementari, oltre a quelle descritte di seguito, per proteggere questi beni sensibili e ad alta priorità.

1. Assicurarsi che tutti i dipendenti ricevano una formazione adeguata, sia al momento dell’assunzione che periodicamente durante il tempo del loro impiego, su come individuare e segnalare attività informatiche sospette, mantenere una corretta cyber hygiene e, ora, su come mettere in sicurezza i propri dispositivi personali e le reti domestiche. Istruendo i dipendenti, in particolare i lavoratori a distanza, su come mantenere la ‘cyber distance’, diffidare delle richieste sospette e implementare strumenti e protocolli di sicurezza di base, i CISO possono creare una linea di difesa di base ai margini più vulnerabili della loro rete che può aiutare a mantenere sicure le risorse digitali critiche. Ciò comporta l’online learning e workshop con esperti.
2. Eseguire controlli in background prima di designare i power user o di concedere l’accesso privilegiato alle risorse digitali sensibili. Facendo questo passo in più, le aziende possono prendere decisioni che mitigheranno intrinsecamente i rischi associati alle minacce da parte di insider.
3. Mantenere aggiornati tutti i server, le postazioni di lavoro, gli smartphone e gli altri dispositivi utilizzati dai dipendenti applicando frequenti aggiornamenti di sicurezza. Idealmente, questo processo dovrebbe essere automatizzato e dovrebbe essere concesso un tempo sufficiente per consentire agli aggiornamenti di essere controllati in un ambiente di test. I controlli di prossimità, come i controlli di accesso cloud-based e i gateway web sicuri, possono aiutare a proteggere i dispositivi in remoto che non possono essere aggiornati o sottoposti a patch.
4. Installare software anti-malware per bloccare la maggior parte degli attacchi, comprese le truffe di phishing e i tentativi di sfruttamento delle vulnerabilità note. Investire in strumenti che offrano funzionalità sandboxing (sia come parte di un pacchetto di sicurezza installato che come servizio basato su cloud) per rilevare Zero-Day e altre minacce sconosciute. I nuovi strumenti Endpoint Detection and Response (EDR) dovrebbero essere in cima alle priorità dei CISO, poiché non solo sono molto efficaci nel respingere il malware, ma possono anche identificare e disattivare il malware che riesce a bypassare i controlli perimetrali prima di poter eseguire i propri payload.
5. Assicurarsi che sia in atto un piano di risposta/recupero degli incidenti, compresa una hotline attraverso la quale i dipendenti possano segnalare prontamente una sospetta violazione, anche quando lavorano da casa. In questo modo, in caso di attacco, i tempi di inattività saranno ridotti al minimo e i dipendenti avranno già familiarità con i passi successivi critici.
6. Utilizzare punti di accesso sicuri, sia fisici che cloud-based, e creare una rete protetta e segmentata da utilizzare per i dipendenti quando si collegano in remoto. Le VPN consentono alle aziende di estendere la rete privata attraverso il Wi-Fi pubblico utilizzando una connessione virtuale point-to-point crittografata; ciò consente di mantenere un accesso remoto sicuro alle risorse aziendali. Inoltre, dovrebbe essere messa in atto una strategia di accesso alla rete zero trust che includa la NAC e la segmentazione della rete.
7. Implementare una efficiente policy di gestione degli accessi, che richieda l’autenticazione multi-factor quando possibile e che richieda standard rigorosi per la creazione di password. I dipendenti non dovrebbero essere autorizzati a riutilizzare le password attraverso reti o applicazioni, sia aziendali che personali, e dovrebbero essere incoraggiati a impostare password complesse con vari numeri e caratteri speciali. Considerare la possibilità di fornire un software di gestione delle password in modo che possano tenere traccia delle password.
8. Crittografare i dati in movimento, in uso o in standby. Le aziende devono investire in tecnologie in grado di ispezionare i dati crittografati a velocità aziendale, nonché di monitorare l’accesso ai dati, il trasferimento dei file e altre attività significative.

9.Tenere il passo con la velocità e il volume degli attacchi può andare ben oltre i limiti degli analisti della human security. Di conseguenza, l’apprendimento automatico e le operazioni di sicurezza guidate dall’intelligenza artificiale non sono più opzionali. Consentono alle aziende di visualizzare e proteggere dati e applicazioni su migliaia o milioni di utenti, sistemi, dispositivi e applicazioni critiche, anche in ambienti di rete diversi, come il multi-cloud, e l’intera gamma di network edge, compresi LAN, WAN, data center, cloud e edge di lavoratori da remoto.

10. Affinché le soluzioni di sicurezza siano adeguare per le reti che devono proteggere, è necessario che siano aggiornate in modo da tenere il passo con il panorama delle minacce in continua evoluzione. Ciò significa che anche le soluzioni di sicurezza più veloci e adattabili sono efficaci almeno quanto l’infrastruttura di intelligence delle minacce e i ricercatori che le supportano.