La continua evoluzione delle minacce cyber rappresenta una delle sfide più importanti per i responsabili della sicurezza e per la stessa resilienza delle organizzazioni; uno degli ambiti più esposti e vulnerabili è da sempre quello degli endpoint.
I vettori di attacco più comuni (e sottovalutati) agli endpoint
Facciamo subito un esempio pratico per capire di cosa parliamo: capita spesso, utilizzando le porte USB, di non prestare loro l’attenzione che meritano come vettore di attacco. Eppure agli hacker piace usare unità di dati fisici infetti per trasferire direttamente i loro virus. Spesso i dipendenti si sentono più a loro agio a lavorare sui propri dispositivi e scaricano applicazioni senza prima consultare il team di sicurezza IT. Anche se si tratta di un’applicazione approvata, sposta comunque i dati senza monitoraggio. Gli hacker potrebbero sfruttare proprio quelle applicazioni per spostarsi nella rete senza essere individuati.
Ci sono poi i dipendenti remoti, quei colleghi che accedono alla rete dall’esterno dei locali, che condividono i dati online attraverso i portali di autenticazione e che possono far penetrare malware nella rete. Infatti, trovando i dati personali tramite i social media, gli hacker possono indovinare le password o sovvertire le domande di autenticazione.
E ancora, sempre più aziende stanno abbracciando l’Internet delle cose come mezzo per facilitare le comunicazioni e i flussi di lavoro. Tuttavia, i dispositivi IoT raramente possiedono protezioni per la sicurezza informatica sul proprio firmware o software. Inoltre, raramente aggiornano qualsiasi protezione possiedano e ancor più raramente lo pubblicizzano. Quando i dispositivi IoT si connettono alle reti aziendali, potrebbero anche diventare punti ciechi attraverso i quali gli hacker potrebbero penetrare.
Attacchi cyber, trend in crescita
I rischi saranno sempre maggiori nei prossimi anni. I dati ci dicono, infatti, che il trend di incremento degli attacchi informatici non conosce crisi: anche il 2018 ha confermato e rafforzato la tendenza all’aumento incessante e progressivo del cybercrime. Secondo l’ultimo Rapporto CLUSIT[1] sulla sicurezza ICT in Italia, il 2018 è stato l’anno peggiore di sempre in termini di evoluzione delle minacce “cyber” e dei relativi impatti, non solo dal punto di vista quantitativo ma anche e soprattutto da quello qualitativo, evidenziando un trend di crescita degli attacchi, della loro gravità e dei danni conseguenti mai registrato in precedenza. Nell’ultimo biennio il tasso di crescita del numero di attacchi gravi è aumentato di 10 volte rispetto al precedente. Non solo, la severity media di questi attacchi è contestualmente peggiorata, agendo da moltiplicatore dei danni. Dal punto di vista numerico, nel 2018 sono stati raccolti e analizzati 1.552 attacchi gravi (+ 37,7% rispetto all’anno precedente), con una media di 129 attacchi gravi al mese (rispetto ad una media di 94 al mese nel 2017, e di 88 su 8 anni). Nel biennio 2017-18 il numero degli attacchi gravi è cresciuto di 10 volte rispetto al precedente biennio, con un danno economico complessivo stimato in circa 500 miliardi di dollari a causa degli extra costi per porre rimedio ai danni subiti dai cybercriminali e anche per i mancati ricavi a causa dei problemi riscontrati. Sempre secondo i dati CLUSIT, oltre il 50% delle organizzazioni nel mondo ha subito almeno un attacco grave nell’ultimo anno e qualsiasi azienda, indipendentemente dalla dimensione o dal settore in cui opera, è a rischio concreto di subire un attacco informatico di entità significativa entro i prossimi 12 mesi.
Tra i più significativi incidenti registrati di recente ha suscitato molto clamore l’annuncio di Uber, il cui CEO ha dichiarato che nel 2016, sotto la precedente gestione, l’azienda avrebbe subito un grave attacco informatico in cui furono violati i dati di 57 milioni di utenti, tra clienti e autisti. Tra le informazioni rubate figurano nomi, indirizzi email, numeri di telefono, conti bancari e dettagli delle patenti. Infine, sono state recentemente scoperte due importanti vulnerabilità, denominate Meltdown e Spectre, che sfruttano alcuni difetti di progettazione dei principali processori commercializzati nell’ultimo decennio, esponendo ad eventuali attacchi buona parte dei dati che passano dalle CPU per essere elaborati. Il fattore che rende straordinaria la rilevanza di questa scoperta è la portata di questa vulnerabilità, che interessa più del 90% dei dispositivi informatici di tutto il mondo. Le nuove minacce, quindi, non derivano solo dalle nuove tecnologie, ma spesso provengono da vulnerabilità presenti nelle tecnologie già esistenti, per cui è importante un approccio olistico al crimine informatico, comprendendo prevenzione, consapevolezza e aumento della cyber educazione[2].
I settori più a rischio nei prossimi cinque anni
Secondo uno studio pubblicato da Accenture[3], i settori più a rischio nei prossimi cinque anni di subire un attacco informatico sono quello dell’high-tech, il settore life science e l’automotive. In ogni caso, nessun settore produttivo si può ritenere immune dai cyber attacchi. Anche società molto piccole sono soggette al crimine informatico. I malware[4] restano la forma più comune di attacco. Gootkit, Zeus-Panda, Ursnif, SLoad e Ave_Maria sono i nomi di cinque pericolosi virus che secondo gli esperti di sicurezza di Yoroi stanno flagellando il nostro Paese. Natura e obiettivi sono differenti, ma la finalità criminosa è il comune denominatore, insieme al metodo di diffusione: tutte queste minacce arrivano sui PC via mail. Spesso gli antivirus non sono in grado di identificarli e bloccarli, quindi tutti consigliano di prestare la massima attenzione agli allegati che si ricevono e di non aprire file inaspettati, o provenienti da mittenti sconosciuti.
I pericoli dello smart working
Le minacce di possibili attacchi coinvolgono anche lo smart working. Per le sue caratteristiche, è vero che lo smart working consente potenzialità in termini di efficienza organizzativa e gestionale, però apre il fronte a nuovi scenari di attacco. Gerardo Costabile, CEO di DeepCyber, ha commentato: “Gli endpoint, tra cui tablet, notebook, cellulari, si connettono a cloud aziendali e non sempre hanno le dovute protezioni, specialmente quando ci si connette a wi-fi di aeroporti e luoghi pubblici. Analogamente, ancora pochi sono i sistemi con cifratura dei dati e questo, in caso di perdita o furto dei devices comporta spesso l’obbligo di notifica al garante privacy ai sensi del Gdpr entro le fatidiche settantadue ore”.
Il rischio di furti aziendali e personali, di perdere dunque dati sensibili, è quindi molto elevato. Si pensi, inoltre, che l’evoluzione tecnologica ha portato significativi cambiamenti nell’approccio quotidiano uomo-macchina, causando spiacevoli conseguenze. Ritmi frenetici e sempre più incalzanti fanno sì che 70 mila laptop vengano smarriti ogni anno nel mondo (Fonte: IlSole24Ore). Nelle sole lavanderia britanniche vengono trovate ogni anno 22mila chiavette USB, dispositivi sempre più piccoli ma sempre più capienti di dati (con una media di 8GB a chiavette, la mole di dati è enorme).
Incrociando questi dati con quelli del mondo del lavoro, emerge una sostanziale differenza tra tre tipi di generazioni di dipendenti, diversificati in base all’età digitale: i millennials, quelli di mezza età e quelli in prepensionamento. Ognuno di essi, in base ai propri requisiti, esprime un diverso approccio alle tecnologie digitali e per ciascuno di essi emergono richieste diverse che aziende e organizzazioni devono essere in grado di saper gestire. Per molti lavoratori, soprattutto tra i giovani, timbrare il cartellino non dà più la misura della prestazione lavorativa, soprattutto in un periodo di crescente utilizzo di lavoro agile o di qualsivoglia altra forma di lavoro flessibile.
Le nuove richieste dei dipendenti
DA | A | |
Il lavoro è un posto fisico | Il lavoro è qualcosa che devo fare | |
Orario d’ufficio | Flessibilità oraria | |
Contratti di lavoro fissi | GIG Economy | |
Relazione 1:1 (Uomo – dispositivo) | Relazione 1:N (Uomo – dispositivo) | |
Organizzazione gerarchica (silos) | Organizzazione agile a rete | |
Gestione IT centralizzata | Self-service dei dipendenti | |
Utilizzo via mouse e tastiera | Utilizzo via touch e voce | |
Focus sull’efficienza | Focus sull’innovazione | |
Spazio di lavoro digitale = tecnologia | Spazio di lavoro digitale = servizio | |
Controllo dei dipendenti | Esperienza per i dipendenti |
Di fronte a queste modifiche organizzative e al crescente numero di violazioni informatiche di questi ultimi anni, la sicurezza informatica è diventata troppo importante per essere ignorata[5]. Mentre nel settore pubblico sembra delinearsi sempre più la strategia del Governo sul perimetro cibernetico, facendo emergere nuove esigenze di mercato che si traducono nella necessità di identificare competenze specifiche, nel settore privato una delle sfide più grande è quella di integrare sempre più le tecnologie. Ogni azienda è tenuta perciò a monitorare l’elenco delle potenziali vulnerabilità e a stabilire il panorama delle minacce, chiedendosi se stia facendo abbastanza per tenere al sicuro gli endpoint aziendali dalle minacce, sia quelle esterne (più controllate), che quelle interne (dove si interviene meno).
I problemi di sicurezza degli endpoint che le aziende dovranno affrontare
Secondo il recente Rapporto sulle tendenze di sicurezza degli endpoint 2019, le aziende devono affrontare importanti problemi di sicurezza degli endpoint dall’interno:
- Il 100% degli strumenti di sicurezza degli endpoint alla fine fallisce.
- Il 70% delle violazioni inizia dall’endpoint.
- Il 35% delle violazioni deriva da vulnerabilità esistenti.
- Il 28% degli endpoint diventa non protetto in qualsiasi momento durante l’anno.
- Il 28% degli endpoint si basa ancora su antimalware obsoleti.
Nel frattempo, il Rapporto sui rischi per la sicurezza dello stato degli endpoint 2018, curato da Ponemon Institute, fornisce alcune informazioni sul panorama delle minacce esterne:
- Il 63% dei professionisti della sicurezza IT rileva un aumento della frequenza degli attacchi.
- Il 52% degli intervistati non crede nella prevenzione di tutti gli attacchi.
- Le soluzioni antivirus bloccano solo il 43% degli attacchi.
Naturalmente, entrambi i tipi di problemi di sicurezza degli endpoint presentano serie sfide agli sforzi di sicurezza informatica delle imprese.
Ma la situazione è davvero così terribile? Vediamo quali sono i problemi di sicurezza dell’endpoint che è necessario affrontare.
Per adottare adeguate contromisure, basterà svolgere un’analisi e porsi alcune domande:
- Sto usando criteri di sicurezza universali predefiniti che includono procedure di violazione, password minime e controlli di sicurezza gestiti in modo centralizzato? Purtroppo i manuali, i controlli e le regole ad hoc spesso non sono sufficienti a garantire la massima sicurezza aziendale.
- Ho il controllo di tutti i dispositivi che accedono alle rete? Occorre essere in grado di accedervi e aggiornare tutto l’hardware con cadenza regolare. Occorre disporre, senza dubbio, di una soluzione di sicurezza endpoint con antivirus di nuova generazione ed EDR[11] distribuiti nell’azienda. I dipendenti che desiderano connettere i propri dispositivi personali alla rete devono quindi scaricare la soluzione scelta prima di ricevere l’accesso alle risorse.
- Tutte le applicazioni sono aggiornate ed è possibile aggiornare i programmi e il software in tutti i dispositivi connessi alla rete? Le versioni precedenti del software possono presentare falle nella sicurezza, vulnerabilità e bug utilizzabili dagli hacker. Questi problemi vengono spesso corretti con le patch, motivo per cui bisogna sempre aggiornare tutti i software aziendali.
- I dispositivi aziendali eseguono tutti Windows XP o versione successiva e la versione dei server è 2003 o successiva? Le versioni precedenti potrebbero non aver ricevuto le patch o gli aggiornamenti per la protezione dalle più recenti vulnerabilità della sicurezza, esponendo maggiormente i dispositivi al rischio di attacchi malware.
- Sono aggiornato sugli ultimi sviluppi nella sicurezza informatica? Non è necessario essere degli esperti: la sicurezza informatica è in continua evoluzione e richiede di rimanere sempre aggiornati sugli sviluppi, che si tratti di capire meglio il concetto di crimine informativo o di tenersi al passo con le misure di sicurezza ottimizzate.
- So esattamente cosa sta accadendo ai miei dati e la mia strategia di protezione dei dati sta funzionando? Uno dei requisiti del Gdpr è quello di monitorare regolarmente lo stato della sicurezza, infatti, è necessario analizzare ogni giorno statistiche che riguardano i dati.
I vantaggi dell’automated endpoint security
Fatta questa diagnosi, siccome i dispositivi stanno cambiando, ma i problemi di business rimangono, è possibile che alla fine la soluzione migliore da adottare, per integrare managerialità e sicurezza, sia quella di automatizzare la sicurezza degli endpoint.
Molte aziende e organizzazioni stanno investendo nella cosiddetta Unified Endpoint Management (UEM) e i dati dicono che, tra quelle che hanno già implementato UEM software, siano stati registrati incrementi di fatturato. L’automatizzazione garantisce di fatto una protezione in tempo reale, eliminando i tempi di latenza e i falsi positivi. Peraltro risponde ai nuovi paradigmi: solo un endpoint gestito è un endpoint sicuro; attacchi automatici necessitano di difese automatiche; produttività e sicurezza non dovrebbero stare in conflitto tra di loro; IT operations management e Cybersecurity devono andare di pari passo.
I vantaggi dell’automated endpoint security
Incrementa la sicurezza degli endpoint | Protezione della produttività aziendale | Automazione e trasparenza | ||
Protezione da malware non rilevati dai comuni antivirus (~70%) | L’aumento della sicurezza non impatta la user experience | IT operations + IT security = Digital workspace security | ||
Detection rate degli attacchi di tipo zero-day 17 volte più alta rispetto ad altri prodotti | L’utente non viene impattato durante un attacco | Creazione automatica dell’incident | ||
Previene il furto di dati mediante malware | Remediation automatica | |||
Centralizzazione degli eventi e reportistica |
I consigli degli esperti per la gestione degli endpoint
A prescindere dall’adozione o meno di una soluzione automatizzata per la gestione degli endpoint, i consigli degli esperti sono di ragionare su tre diverse direttrici:
- in primis far evolvere la sicurezza degli endpoint con tecnologie di nuova generazione, che possano lavorare sia in modalità signature based che con machine learning/IA.
- In seguito, prevedere una maggiore segmentazione di rete per i devices che sono stati per troppo tempo “in giro”, per effettuare alcuni controlli su porzioni di rete controllate. Infine, prevedere un’analisi periodica e continuativa dei log di questi sistemi, all’interno del proprio SOC o in connessione con le informazioni sulle minacce informatiche (c.d. cyber threat intelligence), con un approccio che può essere anche affidato completamente all’esterno, soprattutto per quelle aziende con un numero limitato di risorse da investire nella cyber sicurezza.
- Da ultimo, poiché sono i dipendenti il vettore di attacco più comune, ogni dipendente potrebbe potenzialmente compromettere l’intera sicurezza degli endpoint. Che si tratti di intenzioni dannose o negligenza, i comportamenti dell’utente determineranno il successo o il fallimento della sicurezza dell’endpoint. Diventa fondamentale, pertanto, assicurarsi che i dipendenti partecipino alla sicurezza dell’endpoint. In tal senso, occorre premunirsi di offrire ai propri dipendenti l’educazione alla sicurezza informatica, fornendo loro informazioni essenziali in modo coinvolgente e regolare (almeno bimestrale). Naturalmente, la formazione può aiutare a impressionare su di loro l’importanza di aggiornamenti regolari per i loro endpoint; poiché trascurare gli aggiornamenti può mitigare futuri attacchi penetrativi, l’educazione si rivela cruciale.
- Rapporto Clusit ↑
- Cfr. Internet Organised Crime Threat Assessment (IOCTA) 2019 a cura di EUROPOL ↑
- Cfr. Report “Securing the Digital Economy” ↑
- Abbreviazione per malicious software, che significa letteralmente software malintenzionato, ma di solito tradotto come software dannoso ↑
- Secondo SC Magazine, il 70% delle infezioni malware non sono rilevate dagli antivirus. Secondo IDC, il 70% di successo nelle infezioni è originato negli endpoint. ↑
- Il rilevamento e la risposta degli endpoint (EDR) è forse una delle funzionalità di sicurezza informatica più avvincenti e fondamentali nella moderna sicurezza degli endpoint. ↑