Comprendere il panorama della sicurezza informatica nel 2021

Potresti aver sentito il detto: "Non lasciare mai che una crisi vada sprecata". Sfortunatamente, gli hacker hanno preso a cuore questa nozione durante il COVID-19. Il numero di attacchi informatici è aumentato vertiginosamente poiché gli hacker hanno ripetutamente sfruttato le backdoor vulnerabili nei sistemi aziendali in mezzo alla distrazione causata dalla pandemia. Gli obiettivi includevano assistenza sanitaria, servizi finanziari e istituzioni del settore pubblico come l'Organizzazione mondiale della sanità. Gli attacchi contro il settore finanziario sono aumentati del 238% a livello globale tra febbraio e aprile 2020.

Secondo Alissa Abdullah, vice capo della sicurezza presso Mastercard ed ex vice CIO alla Casa Bianca sotto il presidente Barack Obama, il COVID-19 e il conseguente passaggio al lavoro virtuale “hanno cambiato le opportunità dell'avversario e spostato la loro attenzione su alcune delle altre strumenti che stiamo utilizzando”.

Gli hacker hanno anche attaccato le piattaforme di collaborazione. Nell'aprile 2020, gli hacker sono entrati in possesso di oltre 500.000 nomi utente e password di account Zoom e li hanno venduti nei forum del crimine del dark web per un minimo di un centesimo per account; alcune informazioni sono state semplicemente divulgate. Sono emersi anche attacchi informatici che coinvolgono il vaccino COVID-19; nel dicembre 2020, l'Agenzia europea per i medicinali ha riferito che alcuni dati sul vaccino Pfizer/BioNTech COVID-19 sono stati rubati durante un attacco informatico. Più o meno nello stesso periodo, IBM ha lanciato l'allarme per gli hacker che prendono di mira le aziende centrali per la distribuzione del vaccino COVID-19.

Aspettati che più attacchi informatici avvengano più rapidamente

Gli attacchi informatici e i relativi costi continueranno ad accelerare. Considera quanto segue: Cybersecurity Ventures prevede che gli attacchi informatici si verificheranno ogni 11 secondi nel 2021, quasi il doppio rispetto al tasso del 2019 (ogni 19 secondi) e quattro volte il tasso del 2016 (ogni 40 secondi). Si stima che la criminalità informatica ora costi al mondo 6 trilioni di dollari all'anno, il doppio del totale di 3 trilioni di dollari del 2015. Entro il 2025, la criminalità informatica dovrebbe costare al mondo 10,5 trilioni di dollari ogni anno.

Il prezzo dei crimini informatici include il furto di proprietà intellettuale e dati personali e finanziari, nonché denaro reale, oltre al costo delle interruzioni del business post-attacco, perdita di produttività e danni alla reputazione, tra le altre cose, spiega Steve Morgan, fondatore di iniziative di sicurezza informatica. Oltre a queste conseguenze dirette, i costi nascosti della criminalità informatica includono anche l'aumento dei premi assicurativi, rating del credito più bassi e spese legali dovute all'avvio di contenziosi da parte dei clienti.

Un report IBM Security del 2020 che ha esaminato 524 organizzazioni violate in 17 paesi in 17 settori ha indicato che il costo medio di una violazione dei dati è stato di ben 3,86 milioni di dollari e ha richiesto una media di 280 giorni per contenerlo. Le conseguenze potrebbero continuare per anni dopo l'incidente.

Sotto attacco: Spear Phishing, Social Engineering e Vishing

Nel Regno Unito nel 2019, il 90% delle violazioni dei dati era dovuto a un errore umano. Durante la pandemia, i dipendenti sono stati preoccupati per lo stress personale e finanziario amplificato, rendendoli più vulnerabili allo spear phishing, un tipo di phishing che prende di mira persone o gruppi specifici all'interno di un'organizzazione, e gli attacchi di "ingegneria sociale" progettati per manipolare psicologicamente le persone per rivelare informazione sensibile.

Più specificamente, gli attacchi di ingegneria sociale mirano a indurre i dipendenti a fare qualcosa che sembra legittimo ma non lo è. Sebbene le aziende in genere formino i dipendenti per identificare le richieste fraudolente, tra le circostanze anormali della pandemia è diventato più difficile per i dipendenti differenziare le truffe dalle richieste legittime.

"Tutti sanno che non puoi prendere una USB in un parcheggio [e inserirla nel tuo computer], ma formare dipendenti sofisticati sulle email false dei capi è ancora un vero problema", afferma Thomas Ruland, esperto di finanza del Toptal network e Head of Finance and Operations presso Decentriq, un'azienda specializzata nella condivisione e collaborazione sicura dei dati. “Quando non sei nello stesso ufficio, la condivisione accidentale dei dati può verificarsi più spesso. Quando le persone lavorano nello stesso ufficio fisico, puoi semplicemente chiedere: "Ehi, l'hai davvero inviato?" ma è più difficile da analizzare quando si lavora da casa.

Anche il problema del "vishing", il phishing vocale, è stato esacerbato dalla pandemia, con gli aggressori che utilizzano le chiamate per ottenere credenziali VPN o altre informazioni sensibili dai dipendenti. Le truffe Vishing spesso tentano di sembrare legittime fornendo alle potenziali vittime informazioni personali accurate, come il numero di previdenza sociale o il numero di conto bancario di un individuo. Una quantità sorprendente di altre informazioni personali è pubblicamente disponibile per gli aggressori, che devono solo setacciare le piattaforme dei social media o altri siti Web associati per accedere a tali dettagli.

Sfruttare i punti deboli nella sicurezza del cloud

Il COVID-19 ha stimolato l'adozione frettolosa di nuove tecnologie poiché le organizzazioni hanno istituito nuovi processi digitali in mezzo all'interruzione del lavoro in ufficio. Nelle prime fasi della pandemia, molte aziende non avevano altra scelta che accettare nuovi rischi, inclusi standard di controllo ridotti, per mantenere le operazioni.

Uno dei principali risultati di cambiamenti così rapidi e drammatici è stata l'adozione diffusa del cloud. Nel suo rapporto sullo stato del cloud del 2021, Flexera ha rilevato che le richieste di lavoro da remoto hanno spinto più della metà del gruppo intervistato ad aumentare l'utilizzo del cloud oltre quanto previsto. Altri intervistati hanno indicato che le loro organizzazioni potrebbero accelerare la migrazione date le difficoltà di accesso ai data center tradizionali e i ritardi nelle loro catene di approvvigionamento. Mentre il 20% per cento delle aziende ha dichiarato che la propria spesa annuale per il cloud ha superato i 12 milioni di dollari, con un aumento del 7% rispetto all'anno precedente, il 74% ha riferito che i costi hanno superato gli 1,2 milioni di dollari, rispetto al 50% dell'anno precedente.

Sfortunatamente, le azioni intraprese in tempi estremi e le pressioni operative hanno inevitabilmente portato a lacune nella sicurezza informatica. E il 75% degli intervistati nel Cloud Security Report 2020 di Cybersecurity Insiders ha indicato di essere "molto preoccupato" o "estremamente preoccupato" per la sicurezza del cloud pubblico. I problemi di sicurezza del cloud sono ulteriormente esacerbati quando le organizzazioni utilizzano due o più provider di cloud pubblico, come fa il 68% degli intervistati.

Gli esperti di sicurezza e i datori di lavoro sono principalmente preoccupati per tre sfide alla sicurezza del cloud. In primo luogo, la configurazione errata di cloud e container, quando un amministratore distribuisce inavvertitamente impostazioni per un sistema cloud che sono in conflitto con le politiche di sicurezza dell'organizzazione. Un altro è la visibilità della rete limitata, in cui un'organizzazione non è sicura di quale hardware e software sia connesso alla rete e quali eventi di rete stiano traspirando. E la terza preoccupazione principale sono gli ambienti di runtime cloud non protetti, che offrono opportunità agli aggressori di depredare un'organizzazione.

Utilizzo da parte dei dipendenti di dispositivi e reti personali non autorizzati

Il COVID-19 e il passaggio al lavoro virtuale hanno spinto l'adozione diffusa di programmi porta i tuoi dispositivi. Soprattutto nelle prime fasi della pandemia, molti lavoratori non hanno avuto altra scelta che utilizzare dispositivi personali, Wi-Fi pubblico o reti domestiche per lavorare da remoto. Tali circostanze forniscono un'apertura per gli hacker per accedere alle risorse organizzative; quando i dispositivi personali sono compromessi, possono fungere da trampolino di lancio nella rete aziendale.

"Uno dei maggiori rischi per la sicurezza informatica è il dispositivo personale", ha detto alla Society for Human Resource Management Trina Glass, un avvocato di Stark & ​​Stark. "Sia smartphone o laptop, ci sono seri problemi posti dall'utilizzo della tecnologia personale in un ambiente di lavoro che coinvolge informazioni sensibili. I dipendenti possono salvare i documenti sui propri desktop o inviare bozze di documenti alla propria posta elettronica personale. Potrebbero non disporre di un software antivirus aggiornato o utilizzare una protezione con password personale obsoleta".

Attacchi alla catena di approvvigionamento e rischi di terze parti

Nel dicembre 2020 è stata diffusa la notizia che SolarWinds, un'importante società di gestione IT, ha subito un attacco informatico che è passato inosservato per mesi. All'inizio di quell'anno, hacker stranieri si erano introdotti nei sistemi di SolarWinds e avevano inserito codice dannoso. Successivamente, quando SolarWinds ha inviato aggiornamenti software ai suoi 33.000 clienti, il codice degli aggressori è andato con esso e ha creato una backdoor per i sistemi IT dei clienti. Gli hacker hanno utilizzato queste backdoor per installare malware spia aggiuntivo. Alla fine, circa 18.000 clienti di SolarWinds hanno installato questi aggiornamenti, comprese le agenzie statunitensi come i Departments of Homeland Security e il Treasury, e società private come Intel, Microsoft e Cisco.

Gli hacker spesso prendono di mira e attaccano elementi non sicuri della catena di fornitura di software o hardware. Accenture ha rilevato che il 40% degli attacchi alla sicurezza informatica proviene dalla catena di approvvigionamento estesa. Gli aggressori in genere cercano i collegamenti più deboli come piccoli fornitori con pochi controlli di sicurezza informatica o componenti open source. Il più delle volte, dopo aver identificato il loro obiettivo, gli hacker aggiungono backdoor a software legittimo e certificato o compromettono sistemi utilizzati da fornitori di terze parti. Pertanto, gli attacchi alla catena di approvvigionamento svelano la verità che i controlli di sicurezza informatica di un'organizzazione sono forti quanto l'anello più debole della catena.

Cosa puoi fare per migliorare la sicurezza informatica della tua azienda?

Ora che il mondo è più di un anno nell'inizio della pandemia, le aziende devono andare oltre la semplice istituzione di misure provvisorie e invece anticipare la "prossima normalità". I responsabili della sicurezza delle informazioni, i CFO e i team di sicurezza informatica devono capire come la loro forza lavoro, i clienti, le catene di approvvigionamento e i colleghi del settore lavoreranno insieme per fornire un'adeguata sicurezza informatica. Ecco cinque modi per iniziare:

Migliora la vigilanza sull'accesso: Zero Trust e autenticazione a più fattori

La sicurezza della rete IT tradizionale si basa sul concetto del castello e del fossato: tutti all'interno della rete sono considerati affidabili per impostazione predefinita ed è difficile per coloro che sono al di fuori della rete ottenere l'accesso. Gli attacchi informatici che hanno avuto luogo durante la pandemia di COVID-19 hanno messo in luce i limiti di questa strategia. Le aziende dovrebbero prendere in considerazione l'adozione di una strategia zero-trust che mantenga rigorosi controlli di accesso e non si fida di nessun individuo, dispositivo o applicazione per impostazione predefinita, anche quelli già all'interno del perimetro della rete. Un modello zero-trust richiede la verifica dell'identità e l'autorizzazione per ogni persona e dispositivo che tenta di accedere alle risorse su una rete privata. Nel 2019 Gartner prevedeva che entro il 2023 il 60% delle imprese sarebbe passato dalle VPN a iniziative zero trust.

Inoltre, le aziende dovrebbero imporre l'autenticazione a due fattori per i dipendenti. L'autenticazione a due fattori richiede che un utente fornisca due diversi tipi di informazioni per accedere a un account online oa un sistema IT; in genere, ciò include una coppia nome utente/password (autenticazione a fattore singolo) e un'altra prova di identità, ad esempio un codice inviato al telefono o all'indirizzo e-mail di un dipendente.

Il World Economic Forum raccomanda alle aziende anche di iniziare la transizione verso l'autenticazione biometrica multifattoriale utilizzando impronte digitali, volti, comportamenti di digitazione o altri fattori per verificare l'identità degli utenti. A differenza delle aziende che memorizzano le password dei propri clienti sui propri server, i dati biometrici degli utenti vengono archiviati sul dispositivo dell'utente e, pertanto, non esiste un unico punto di raccolta dati a cui i criminali informatici possano accedere e il rischio di frode online e furto di identità è notevolmente ridotto . Si prevede che le dimensioni del mercato globale dei sistemi biometrici aumenteranno da 36,6 miliardi di dollari nel 2020 a 68,6 miliardi di dollari entro il 2025.

Ripensare la catena di fornitura e il rischio di terze parti

Per rafforzare la sicurezza informatica, le organizzazioni devono esaminare i propri strumenti di sicurezza e i requisiti per la condivisione e il mantenimento delle informazioni private con i fornitori. Le organizzazioni dovrebbero iniziare esaminando tutti i fornitori e i potenziali servizi di terze parti ombra; assegnare livelli di rischio ai fornitori, delineando quelli più critici per le operazioni e avendo il massimo accesso alle informazioni vitali; e quindi calibrare l'ambito di valutazione di conseguenza.

Le aziende dovrebbero quindi aggiornare i controlli e le restrizioni di accesso per terze parti e sviluppare controlli più solidi sulla perdita di dati. Le organizzazioni devono inoltre garantire che i fornitori che non sono attualmente preparati per l'accresciuto rischio informatico si impegnino a sviluppare piani di preparazione informatica per gestire in sicurezza le informazioni e interagire con le reti aziendali delle organizzazioni. Inoltre, ove possibile, le aziende dovrebbero integrare i registri critici di terze parti nel monitoraggio della sicurezza aziendale e creare sistemi di allerta per il monitoraggio e la risposta coordinati. L'adozione di tutti questi passaggi aiuterà a costruire la resilienza informatica attraverso le catene di approvvigionamento.

Sviluppa e migliora un set di competenze per la sicurezza del cloud

Man mano che le organizzazioni si allontanano dalle tradizionali soluzioni di sicurezza informatica on-premise e si spostano verso architetture incentrate sul cloud, devono imparare a difendere il cloud.

L'errata configurazione di cloud e container può essere un problema perché, a differenza di una rete locale in cui solo i professionisti IT possono configurare e distribuire l'infrastruttura di rete, in un ambiente cloud molte più persone possono farlo. Gli aggressori spesso sfruttano le configurazioni errate per accedere a una rete perché sono facili da individuare. Le organizzazioni possono aiutare a gestire le configurazioni errate seguendo la Market Guide di Gartner per le piattaforme di protezione del carico di lavoro nel cloud per stabilire una linea di base per le risorse connesse alla rete. (Il rapporto completo è disponibile per l'acquisto qui.) Da lì, le organizzazioni dovrebbero monitorare tali risorse per rilevare eventuali deviazioni e potenzialmente impiegare misure di difesa automatizzate per proteggere i propri sistemi dagli attacchi.

Per quanto riguarda la visibilità della rete, gli strumenti di rilevamento delle risorse forniscono il rilevamento dei dispositivi e la consapevolezza non solo di ciò che è nella rete, ma anche di quali risorse non sono protette. Questi strumenti forniscono trasparenza sulle relazioni tra le risorse, il loro utilizzo, la rete e altri dispositivi, inclusi i moduli software installati sulla rete.

Infine, le organizzazioni possono difendersi da ambienti di runtime cloud non protetti per carichi di lavoro containerizzati. Quando un dispositivo tenta di eseguire un'applicazione, gli ambienti di runtime fungono da intermediari tra l'applicazione e il sistema operativo.

Usa l'intelligenza artificiale e l'apprendimento automatico

Sebbene gli analisti della sicurezza umana utilizzino già strumenti di automazione per estrarre gli avvisi più urgenti da enormi set di dati e indurre gli esseri umani ad agire, gli strumenti di intelligenza artificiale (AI) e machine learning (ML) stanno diventando sempre più sofisticati.

"Ci stiamo muovendo oltre gli algoritmi che si limitano a guardare le tue metriche e dicono a un essere umano di fare qualcosa per un certo valore anomalo", afferma Ram Sriharsha, vicepresidente dell'ingegneria e responsabile dell'apprendimento automatico di Splunk, nel rapporto sulla sicurezza dei dati 2021 dell'azienda. “Per una questione di scala, abbiamo bisogno di algoritmi e automazione che agiscano. Nel dominio della sicurezza, non addestreremo solo modelli sui comportamenti e gli attori cattivi del passato per identificare comportamenti nuovi e simili. Vedremo algoritmi che si limitano a guardare ciò che sta accadendo, guardare il traffico, guardare i dati, per identificare schemi errati e intraprendere azioni evasive".

Le organizzazioni dovrebbero prendere in considerazione l'uso di sistemi di gestione della sicurezza informatica basati sull'autoapprendimento e sull'intelligenza artificiale. Tuttavia, con lo sviluppo delle soluzioni di sicurezza informatica AI/ML, crescono anche gli aggressori. Utilizzando l'apprendimento contraddittorio, i cattivi attori raccolgono abbastanza su un modello AI/ML per progettare modi per avvelenare il sistema e renderlo inefficace per la difesa. L'apprendimento contraddittorio è simile, ad esempio, a ingannare un veicolo autonomo facendogli fraintendere un segnale di stop. E secondo la ricerca di Gartner, il 30% di tutti gli attacchi informatici all'IA sfrutterà l'avvelenamento dei dati di addestramento, il furto di modelli di intelligenza artificiale o campioni contraddittori per attaccare i sistemi basati sull'intelligenza artificiale fino al 2022. Eppure, nonostante queste minacce ai sistemi di intelligenza artificiale/ML, un recente sondaggio Microsoft ha rivelato che 25 aziende su 28 hanno dichiarato di non disporre degli strumenti giusti per proteggere i propri sistemi AI/ML. Non essere uno di loro.

Avvia la formazione interattiva sulla sicurezza informatica dei dipendenti

Sebbene apparentemente semplice, è fondamentale per le organizzazioni migliorare la formazione dei dipendenti sulle misure di sicurezza informatica. Le organizzazioni dovrebbero progettare programmi ed esercizi di formazione basati sui ruoli per aumentare la consapevolezza sui nuovi rischi informatici in un ambiente remoto, comprese le nuove minacce, le regole per l'utilizzo approvato dei dispositivi e i processi per segnalare gli incidenti informatici.

I team di gestione dovrebbero anche fornire simulazioni e procedure dettagliate per scenari di attacchi informatici per coinvolgere attivamente i dipendenti. La direzione dovrebbe anche fornire linee guida chiare sulle azioni richieste e quando le decisioni dovrebbero essere intensificate.

Infine, si ricorda ai dipendenti di non utilizzare reti Wi-Fi pubbliche o stampanti e di non archiviare documenti sui computer di casa.

Rimanere vigili contro i rischi per la sicurezza informatica

Per rispondere all'escalation degli attacchi informatici sotto forma di ingegneria sociale e attacchi alla catena di approvvigionamento e aumentare l'IT ombra e le misure provvisorie vulnerabili, le aziende dovrebbero concentrarsi sull'adeguamento alla "prossima normalità". Cioè, la direzione deve collaborare con i team di sicurezza informatica per aumentare la vigilanza sull'accesso, ripensare la catena di approvvigionamento e i rischi di terze parti, sviluppare set di competenze sulla sicurezza del cloud, sfruttare gli strumenti di intelligenza artificiale e ML e migliorare la formazione interattiva dei dipendenti. La creazione di ambienti sicuri per i clienti offre alle aziende un vantaggio competitivo e crea fiducia e lealtà con i clienti attuali e futuri.