Quando parliamo di cybersecurity, non c’è evoluzione tecnologica che tenga: il primo e più importante veicolo di infezione rimane sempre il fattore umano. A ragione, l’ultimo rapporto pubblicato da IBM X-FORCE ha identificato un significativo aumento nell’incidenza di malware info-stealer nel contesto degli attacchi rivolti alle aziende, ossia di malware che mirano a estrapolare dati personali degli utenti, come credenziali di accesso, per entrare più facilmente nei sistemi aziendali e colpirli. Questo fenomeno rappresenta un’opportunità per riflettere su come proteggere in modo più efficace il vettore di accesso iniziale.
I malware info-stealer vengono diffusi attraverso una varietà di canali di comunicazione, quali YouTube, Telegram o Discord. La modalità di distribuzione consente di instaurare fiducia con l’interlocutore al fine di veicolare il malware tramite software legittimi, link da aprire o chat. Questi malware vengono distribuiti come servizio per sottrarre credenziali presenti nei browser, nei file di testo o nei PDF sui computer, al fine di estrarre chiavi di autenticazione per utilizzi successivi.
Di conseguenza, diventa sempre più cruciale proteggere le attività svolte tramite browser, focalizzandosi sulla prevenzione. A tale scopo, sono necessari strumenti di protezione che possano difendere la sessione dall’accesso a siti di phishing, dall’inserimento di credenziali aziendali in moduli non ufficiali e dall’utilizzo di estensioni del browser potenzialmente dannose. Ma rimane fondamentale anche la formazione del personale, con l’obiettivo di una maggiore consapevolezza nell’utilizzo delle tecnologie digitali e una più rapida identificazione delle situazioni di rischio.
Naturalmente non possiamo basarci solo sulla prevenzione: la velocità di evoluzione delle strategie di attacco e l’aumento degli attacchi stessi ci impongono di mettere in conto che alcuni di essi andranno a segno. Di conseguenza, un altro sforzo importante va fatto nella direzione del contenimento.
Presumiamo che un’impresa abbia attivati criteri di logging e protezione degli accessi per individuare accessi provenienti da paesi insoliti per l’utente, impossible traveler o accessi in orari inusuali, tramite un sistema SIEM o una piattaforma XDR con regole di monitoraggio delle identità.
Anche con questo livello di protezione, in termini di rilevamento si riscontra un tempo maggiore nell’identificazione di incidenti dovuti alla sottrazione di credenziali, come indicato nel rapporto di IBM X-FORCE, proprio per la vastità della superficie attaccabile e per la difficoltà di distinguere i comportamenti legittimi da quelli insoliti. È importante notare che una credenziale rubata da un account Office 365 viene utilizzata in media per accedere ai sistemi entro 72 ore, un intervallo di tempo molto breve soprattutto per le realtà che non dispongono di una struttura dedicata alla gestione degli eventi di sicurezza.
In questo contesto, l’automazione dei processi di risposta, e prima ancora la definizione precisa di tali processi, diventano essenziali. Intelligenza artificiale e machine learning possono essere dei validi alleati per gestire questi fenomeni, ad esempio per la capacità del ML di rilevare anomalie rispetto al comportamento “caratteristico” di ciascun utente o del traffico di rete, facendosi carico dell’onere di capire cosa è caratteristico utente per utente.
Quando si parla di cybersecurity, adottare un approccio olistico che prevede una formazione continua per i dipendenti e l’integrazione di soluzioni mirate, è senza dubbio il modo più efficace per le imprese per poter affrontare le minacce informatiche e contenere i danni ai propri sistemi e alla propria reputazione.
Cesare Di Lucchio, SOC Manager, Axitea
