Le principali previsioni di cybersecurity per il 2021

Le principali previsioni di cybersecurity per il 2021

Quali tendenze caratterizzeranno il mondo della cybersecurity nel 2021? Quali gli aspetti che i responsabili della sicurezza IT dovranno tenere in maggiore considerazione?

Abbiamo raccolto le principali previsioni di cybersecurity per il 2021 da parte degli esperti.

Per immaginare i possibili scenari del 2021, dobbiamo sicuramente tenere in considerazione gli eventi eccezionali del 2020, che hanno plasmato in modo irreversibile i nostri comportamenti e abitudini.

Il mondo del lavoro è stato toccato profondamente da questi cambiamenti e i dipartimenti IT hanno svolto un ruolo strategico nella loro gestione. Gli elementi più impattanti di questa trasformazione, che continueranno ad essere fondamentali in azienda anche in futuro, sono sicuramente due:

  • l’aumento del lavoro da remoto: le aziende ora hanno ambienti IT più distribuiti, con un numero crescente di punti d’accesso. Le misure di sicurezza IT valide per il modello infrastrutturale in uso prima, basate su un perimetro da proteggere, sono state oggetto di revisione e adeguamento.
  • L’accelerazione nell’adozione del digitale: progetti che si sarebbero concretizzati solo tra qualche anno, sono diventati priorità, forzatamente, per permettere alle aziende di continuare a essere produttive anche da remoto. L’adozione del cloud, in particolare, è stato uno dei progetti implementati in tutta fretta negli scorsi mesi, e che quindi, spesso, non sono stati accompagnati dal necessario cambio dei processi, ma solo delle tecnologie.

Cyberthreats 2021: quali minacce per la sicurezza informatica?

In questo nuovo contesto quali minacce sfrutteranno i cybercriminali per compromettere la sicurezza informatica delle aziende?

Gli esperti delle più note aziende di cybersecurity prevedono che le minacce più significative per il prossimo anno saranno:

 

Attacchi mirati che sfruttano le nuove abitudini sociali (lavoro da casa)

 

  • Attacchi di phishing mirati: lo spear phishing, come emerso nel 2020, continuerà ad essere una delle armi preferite dai cybercriminali secondo Check Point Software e Panda Security. Ciò sarà favorito dal lavoro remoto, che può privare i lavoratori della protezione della rete aziendale o dal confronto tra colleghi, e dalla disponibilità di tecnologie di AI che automatizzano il phishing. Gli hacker continueranno a sfruttare temi di attualità come per esempio il Covid oppure l’attualissimo tema Brexit.
  • Attacchi alle reti di casa: il lavoro da casa ha creato un ambiente in cui si mescolano accessi sicuri ad altri meno protetti, ha permesso l’accesso alle risorse aziendali attraverso reti domestiche insicure e dispositivi personali. Secondo Panda Security questo mix di utenti, punti d’accesso e sistemi permetterà agli hacker di sfruttare i worm: il virus, una volta introdotto nel dispositivo meno sicuro, sarà in grado di infettare tutti gli endpoint presenti in casa. Secondo CyberArk, invece, i criminali informatici sfrutteranno queste vulnerabilità studiando e prendendo di mira direttamente utenti con elevati privilegi di accesso: in questo modo l’attacco sarà più dispendioso, ma al contempo più veloce e difficile da bloccare per l’azienda.
  • Trust attack e deepfake. Nel 2021 i cybercriminali punteranno anche a danneggiare la reputazione di istituzioni e aziende. Secondo Darktrace lo scopo principale non sarà di rubare i dati, quanto alterare le informazioni presenti nei sistemi, con i cosiddetti “trust attack”, per screditare le organizzazioni vittime dell’attacco. Per manipolare l’opinione delle persone, gli attaccanti saranno inoltre in grado di utilizzare i deepfake: oggi le tecniche per falsificare audio e video sono avanzate e facilmente impiegabili. Oltre alla possibilità di creare disinformazione e danneggiare la reputazione come sottolineano Avast e Check Point Software, secondo CyberArk i deepfake saranno uno strumento utilizzato per colpire le aziende: potranno essere utilizzati per rendere più efficaci e credibili gli attacchi di ingegneria sociale attraverso video o audio con i dirigenti aziendali.

Attacchi ransomware di nuova generazione

Gli attacchi ransomware sono una delle minacce più pericolose per le aziende e lucrative per i criminali informatici, tanto che negli ultimi due anni gli attacchi sono diventati sempre più mirati e specifici. Per il 2021 gli esperti prevedono il consolidarsi di due tendenze:

  • Ransomware con double extortion. La seconda metà del 2020 ha visto emergere una nuova modalità per gli attacchi ransomware, come segnala Check Point Software. Oltre a richiedere un riscatto per decriptare i dati bloccati da un malware, ora i criminal hacker minacciano di pubblicare le informazioni riservate di cui sono venuti a conoscenza, richiedendo un secondo riscatto per non mettere a rischio la reputazione aziendale.
  • Ransomware che colpisce ambienti Cloud e Linux. Il cloud sarà di particolare interesse per i criminali informatici perché offre la possibilità di colpire contemporaneamente più di un’organizzazione. Inoltre, come evidenzia Palo Alto Networks, il rapido passaggio al cloud avvenuto lo scorso anno non ha comportato per tutti il necessario adeguamento dei processi: questo implica dei rischi per la sicurezza degli ambienti cloud, che possono risultare momentaneamente più vulnerabili. Panda Security mette in guardia anche i fruitori di ambienti Linux, che non potranno più ritenersi al sicuro.

Attacchi DDoS abilitati da 5G, botnet e IoT

Nel 2021, il 5G consentirà un massiccio aumento della connettività, espandendo la superficie di attacco di pari passo con la crescita di dispositivi IoT interconnessi. Darktrace e CyberArk sottolineano come questo favorirà l’uso di attacchi DDoS per colpire i nuovi dispositivi connessi a Internet. Ciò sarà favorito anche dall’assenza di uno standard per la sicurezza dell’Internet of Things, che rende i dispositivi facili da compromettere e controllare tramite botnet.

Minacce mobile: adware, fleeceware, stalkerware

Secondo Avast, la principale minaccia mobile per il 2021 rimarranno gli adware, i malware che comportano la visualizzazione di messaggi pubblicitari indesiderati. Al secondo posto ci saranno i fleeceware, novità del 2020, che si presenta come una truffa in abbonamento innescata da adware e app false. Infine, bisognerà prestare attenzione agli stalkerware, installati da persone vicine alla vittima per spiarla a sua insaputa.

 

I trend per la cybersecurity nel 2021

Di fronte a queste minacce quali strategie di cybersecurity dovranno adottare le aziende? Quali approcci e tecnologie potranno supportarle?

Tra i Top Strategic Technology Trends per il 2021 presentati da Gartner, anche quest’anno troviamo un focus sulla cybersecurity. Gartner introduce il concetto di cybersecurity mesh: un approccio basato su un’architettura distribuita per gestire la sicurezza informatica in modo scalabile, flessibile e affidabile. Questo approccio permette di proteggere tutte le risorse e i dispositivi aziendali, anche quelli che si trovano all’esterno della rete aziendale: garantisce la flessibilità necessaria per proteggere l’azienda e modificare le policy, senza ostacolarne la crescita. La rete di sicurezza informatica ridefinisce il perimetro da proteggere, mettendo al centro le persone e i dispositivi: non esistono più muri da proteggere, bensì viene fornito il livello di sicurezza necessario affinché tutti, indipendentemente dalla propria posizione, possano accedere in modo sicuro a qualsiasi risorsa digitale.

Infine, un altro importante aspetto da considerare per il successo delle strategie di sicurezza informatica in futuro è la collaborazione tra tecnologie con AI e le persone.

Se da un lato, come abbiamo già appurato lo scorso anno, l’AI rende le minacce più pericolose, dall’altro permette alle soluzioni di cybersecurity di essere più efficaci. Secondo Citrix e Darktrace, machine learning e intelligenza artificiale saranno fondamentali nella prevenzione delle minacce informatiche: permetteranno di automatizzare i controlli di sicurezza più operativi e dispendiosi in termini di tempo, offrendo report su situazioni particolari in tempo reale. In questo modo i team di sicurezza saranno liberi di concentrarsi su analisi più approfondite e aspetti strategici.

 

Sei pronto ad affrontare le sfide di cybersecurity per il 2021?

Scopri i servizi Matika per la sicurezza informatica

8 sfide nella gestione della risposta agli incidenti di sicurezza

8 sfide nella gestione della risposta agli incidenti di sicurezza

Gestire un incidente di cybersicurezza con le sole risorse interne all’azienda spesso si rivela difficoltoso e inefficace, soprattutto in caso di attacchi sofisticati. Quali sono le cause?

Abbiamo individuato 8 sfide che CISO, responsabili della sicurezza IT e loro collaboratori devono affrontare per gestire un incidente di sicurezza con successo.

Prima di esaminarle nel dettaglio, ci soffermiamo su due elementi chiave che di frequente sono decisivi nel determinare la buona o cattiva riuscita della risposta all’incidente: fattore emotivo e budget.

Fattore emotivo

Nel momento in cui avviene un incidente di sicurezza, rimanere lucidi, razionali e agire con tempismo non è il primo istinto. Le nostre emozioni davanti al rischio di rovinare la propria buona reputazione, intaccare la fiducia dei clienti e perdere denaro potrebbero rallentare la risposta e renderla meno efficace. Per evitare che i nostri impulsi prendano il sopravvento, dotarsi di un piano di incident response è determinante.

Budget

In altri casi, capita invece che per il team sicurezza non sia possibile agire in modo adeguato a causa della mancanza di fondi. Così i programmi di incident management non si concretizzano o vengono implementati parzialmente, perdendo efficacia. In questi casi, è bene ricordare che giocare d’anticipo fa risparmiare. Se avvenisse un incidente e la sua gestione non fosse preventivamente coperta da adeguati investimenti in esperti e soluzioni di sicurezza, i costi sarebbero di gran lunga superiori.

E ora entriamo nel vivo del tema e scopriamo gli 8 elementi critici per il buon esito della risposta a un incidente di sicurezza.

8 sfide nella gestione della risposta agli incidenti di sicurezza

 1) Identificare l’incidente

Saper riconoscere un incidente è fondamentale per poterlo gestire e mitigare in modo tempestivo. Cosa ne rende difficile l’identificazione?

Un incidente di sicurezza può presentarsi con forme diverse: per riconoscerle sono necessarie competenze specifiche e aggiornate. Il comportamento insolito di un utente con privilegi, il tentativo di accesso non autorizzato a dati sensibili o ai server di un dipendente, una difformità nel traffico in uscita, l’alterazione di una configurazione: queste e molte altre sono le forme che può assumere un incidente, e che spesso passano inosservate.

Oltre alla varietà degli elementi da riconoscere come potenzialmente dannosi, a complicare ulteriormente la situazione collabora il numero crescente di minacce. Secondo il Rapporto Clusit, nel primo semestre 2020, a livello mondiale, si è registrato un aumento del 6,8% degli attacchi gravi rispetto allo stesso periodo dell’anno precedente. Se consideriamo il numero totale di minacce rilevate, comprese quelle che non sono andate a segno o hanno avuto risultati meno gravi, il trend continua ad essere in crescita.

La combinazione dei due fattori appena citati impedisce alle aziende di avere un numero sufficiente di persone per investigare sulle segnalazioni in tempi ragionevoli. Come riportato nel rapporto annuale sul costo dei Data Breach di IBM Security, prendendo come riferimento l’Italia, sono necessari in media 229 giorni per identificare un attacco informatico e 80 per contenerlo.

Strumenti di protezione avanzata come le soluzioni EDR, correttamente implementate, assicurano ai team security di rilevare le minacce e riconoscere eventuali incidenti in modo proattivo.

2) Determinare cosa è successo

Una volta identificato un evento o comportamento come sospetto, è necessario raccogliere il maggior numero di informazioni possibili relative al contesto dell’incidente e analizzare i dati raccolti per determinare cosa è accaduto. Solo così il team di risposta all’incidente potrà definire quali azioni intraprendere per risolvere la situazione.

Per ottenere questo risultato, i team di sicurezza devono essere in grado di:

  1. avere una visibilità completa sulle attività di ogni componente della rete aziendale;
  2. correlare tra loro tutti gli avvisi di sicurezza provenienti dalle diverse risorse protette.

Dotarsi di un SIEM è un ottimo punto di partenza. Affiancargli poi un SOC, permetterà di risalire più agevolmente alla catena degli eventi correlati all’incidente.

3) Individuare quali asset sono stati compromessi

Per le aziende che tengono traccia e categorizzano i propri sistemi, reti e informazioni, individuare un eventuale compromissione degli asset sarà semplice. Per le altre invece, il percorso sarà in salita.

Senza una lista degli asset aziendali, di quelli considerati critici, per i team di gestione degli incidenti non è possibile stabilire cosa difendere da potenziali cyber minacce e soprattutto con che livello di protezione farlo. In questi casi, capire quali risorse possono essere state compromesse è praticamente impossibile.

Gestire e catalogare correttamente le risorse aziendali è fondamentale.

4) Compliance con i regolamenti

Uno degli aspetti più spinosi per i team di risposta agli incidenti è assicurarsi che le proprie misure rispettino norme e regolamenti. È necessario rimanere al passo con i continui aggiornamenti, adeguando costantemente le misure adottate.

Alcuni regolamenti, come il GDPR, e standard internazionali, come ISO 27001 (sicurezza delle informazioni) e ISO 22301 (continuità aziendale), richiedono esplicitamente la creazione di un piano di risposta agli incidenti.

5) Determinare il potenziale impatto dell’incidente sull’azienda

Aspetto fondamentale nella gestione dell’incidente è assegnargli la corretta priorità.

Il livello di gravità dell’incidente è determinato da una combinazione di più fattori. Per essere in grado di associare correttamente tutte le informazioni raccolte, sono necessarie conoscenze costantemente aggiornate su autori di attacchi, motivazioni, metodi e strumenti utilizzati dai cybercriminali e al danno potenziale che possono infliggere. Difficilmente queste competenze possono essere mantenute all’interno di un’azienda che non affronta quotidianamente attacchi informatici di ogni tipo.

La difficoltà nello stabilire l’impatto delle conseguenze sul business può essere dovuta anche a una mancanza di competenze manageriali nel team di risposta all’incidente: senza un corretto bilanciamento tra competenze tecniche e manageriali, si corre il rischio che non sia data la giusta priorità all’evento.

Installare strumenti di gestione e monitoraggio delle minacce può essere di supporto per la corretta prioritizzazione degli avvisi, ma le giuste competenze fanno la differenza in questo caso.

6) Minacce interne

A volte nella creazione dei piani di gestione degli incidenti IT, le minacce provenienti dall’interno sono sottovalutate. Non dovrebbero esserlo: spesso si rivelano molto più pericolose di quelle esterne, perché rimangono nascoste più a lungo.

Tra i maggiori fattori di rischio identificati dagli esperti di sicurezza per questo tipo di minacce ci sono:

  • un elevato numero di utenti con privilegi di accesso eccessivi
  • un numero crescente di dispositivi con accesso a informazioni sensibili
  • la maggiore complessità del mondo IT.

I piani dovrebbero prevedere misure specifiche per la gestione della compromissione, del furto e del sabotaggio di dati sensibili e di valore da attaccanti interni.

7) Mancanza di test su strumenti e processi

Per le aziende è cruciale andare oltre alla creazione del piano o al primo setup degli strumenti di incident response. I piani spesso falliscono nel momento del bisogno perché non sono mai stati testati o non sono stati testati a sufficienza.

Per essere davvero preparati sono necessari decine di assessment di sicurezza, continue pratiche di monitoraggio e di incident response. Solo testando e ri-testando strumenti e processi, il team di risposta all’incidente potrà aggiustare eventuali passaggi bloccanti, ma soprattutto interiorizzare la procedura ed essere più efficiente nel momento del bisogno.

8) Piano non tarato sull’organizzazione

Un ultimo aspetto da non sottovalutare è quanto il piano rispecchia le caratteristiche dell’azienda.

La maggior parte delle aziende adotta piani di risposta agli incidenti generici: contengono tutte le possibili azioni che dovrebbero essere realizzate al verificarsi di un potenziale incidente di sicurezza. A prima vista, questa ampia disponibilità di informazioni potrebbe sembrare un vantaggio: in realtà, un piano così strutturato spesso complica e rallenta il processo di risposta.

Dunque, per una risposta efficace a un’eventuale incidente è necessario assicurarsi di creare un piano su misura per la propria azienda e personalizzarlo ulteriormente attraverso continui test.

 

Gestire un incidente di sicurezza con successo

Come essere sicuri che queste 8 sfide non siano più tali, bensì siano naturali passaggi di una procedura rodata?

Gestire questa procedura internamente comporta notevoli investimenti in tecnologie e competenze, che, con il continuo e rapido evolversi dello scenario delle minacce informatiche, si rivela di difficile manutenzione con le sole risorse aziendali.

Affidando la gestione della risposta degli incidenti di sicurezza a un fornitore di servizi esterno invece, l’azienda può disporre di tecnologie e competenze sempre aggiornate, a un costo contenuto. Matika, in qualità di Managed Security Service Provider certificata ISO/IEC 27035 per la risposta agli incidenti di sicurezza delle informazioni, può affiancare la tua azienda nello strutturare la strategia di prevenzione e gestione degli incidenti più adeguata.

 

Costruisci ora il tuo piano di risposta agli incidenti di sicurezza

Scopri come possiamo aiutarti

Attacco di phishing: cosa fare dopo?

Attacco di phishing: cosa fare dopo?

Non è questione di se, ma di quando. Il phishing è una tecnica così comune, ma tuttavia efficace per i criminali informatici, che nessuna azienda può ritenersi fuori pericolo.

Non potendo eliminare del tutto il rischio di essere vittime di un attacco di phishing, è necessario essere pronti ad agire nel momento in cui l’incidente avverrà. Come fare?

In questi casi tutto si basa sulla velocità di reazione. Un piano di incident response può guidare l’azienda nella situazione critica, permettendole di rispondere in modo tempestivo ed efficace.

Facciamo chiarezza sullo scopo di un incident response plan per un attacco di phishing e cosa dovrebbe prevedere.

 

Phishing response plan: a cosa serve?

Il principale scopo di un piano di incident response non è quello di impedire un attacco di phishing, bensì quello di mitigare i danni che deriverebbero da un eventuale attacco.

Predisporre un piano di incident response per il phishing comporta la combinazione di policy, procedure e competenze del personale, declinate sulle infrastrutture e architettura dell’azienda, per fornire un playbook. Il playbook delle risposte è una specie di protocollo con delle istruzioni, ovvero una lista di azioni già predisposte, da seguire passo passo nel caso si verifichi un incidente.

 

Incident response playbook in caso di phishing: un esempio

Com’è strutturato un playbook di risposta a un attacco di phishing?

Senza dubbio, affinché sia davvero efficace, ogni azienda dovrà sviluppare e adottare un piano di risposta all’incidente su misura, basato sulle sue reali esigenze.

Vogliamo però fornirti un esempio delle fasi che dovrebbe contenere un playbook per rispondere in modo proficuo a un attacco di phishing. Ravi Das e Preston de Guise nel libro “Protecting Information Assets and IT Infrastructure in the Cloud” propongono una procedura suddivisa in 5 fasi. Esaminiamole nel dettaglio.

1. Identificazione

Questa prima fase inizia nel momento in cui un dipendente segnala una possibile e-mail di phishing.

Dopo la segnalazione si dovrà recuperare il messaggio originale con eventuali allegati. Per capire se si tratta effettivamente di phishing è necessario esaminare l’intestazione completa in cui sono presenti le informazioni di routing e IP, oltre a mittente, testo del messaggio, link e allegati sospetti.

Per effettuare queste operazioni può essere utile avere a disposizione una workstation isolata, dedicata a esaminare le e-mail dubbie.

È importante sottolineare che senza la collaborazione delle persone che lavorano in azienda, senza un alto livello di attenzione verso i dettagli che identificano messaggi potenzialmente dannosi, il phishing response plan manca di un elemento fondamentale. Ciò impatterà significativamente sulla sua efficacia. Solo affiancando al piano di risposta un’adeguata formazione e cultura di security awareness, l’azienda potrà prevenire, ma anche reagire prontamente a un attacco di phishing.

 

I tuoi dipendenti sanno riconoscere un e-mail di phishing?

2. Prioritizzazione

Dopo aver definito che si tratta di phishing, è necessario capire la tipologia di attacco per assegnargli una priorità e agire di conseguenza.

Potrebbe trattarsi ad esempio di:

  • BEC, Business Email Compromise, o truffa del CEO: i malviventi si fingono dirigenti di alto livello come CEO, CFO o COO dell’azienda per far compiere all’impiegato un’azione con scopo illegittimo, come un trasferimento di denaro.
  • Spear phishing: utilizzando tecniche di social engineering, colpiscono persone specifiche al fine di carpire segreti aziendali.
  • Clone Phishing: un’e-mail autentica viene trasformata in un messaggio malevolo.
  • Whaling: simile al BEC, prende di mira in particolare figure con ruoli di alto livello, come i manager.
  • Link Manipulation: viene inviato un link, in apparenza autentico, che rimanda a un sito web falsificato.
  • Website Forgery: viene utilizzato il codice JavaScript per modificare la barra degli indirizzi (inserendo un’immagine con l’URL corretto nella barra o chiudendo la barra originale e aprendone un’altra con l’URL legittimo. Può anche sfruttare eventuali falle nel sito originale.
  • Covert Redirect: sfrutta una vulnerabilità per reindirizzare la vittima a un sito web falsificato.

 

3. Indagine

A questo punto è necessaria un’analisi approfondita del messaggio di phishing e la verifica di eventuali conseguenze già in atto.

  • È importante parlare con chi ha ricevuto e/o segnalato il messaggio, per capire cosa è successo esattamente.
  • L’analisi approfondita dell’e-mail esaminerà l’header, compreso l’indirizzo TCP/IP del mittente, il testo del messaggio e il dominio del collegamento a cui rimanda l’eventuale link presente.
  • Bisognerà verificare i log del server mail per accertare quanti dipendenti sono stati colpiti.
  • Per capire se e quali sistemi sono stati coinvolti, si procederà a un controllo dei sistemi interni alla ricerca di eventuali anomalie.

 

4. Riparazione

Con il quadro completo della situazione a disposizione, si potrà procedere a minimizzare l’impatto, attuale e futuro, dell’evento e contenere i danni per l’azienda.

Esempi di azioni concrete in questo senso sono:

  • Aggiornarne i filtri di blocco e-mail per messaggi simili a quello incriminato
  • Modificare password e accessi degli utenti, ma anche dei sistemi, coinvolti
  • Assicurarsi di salvare i log, nel caso questi dovessero servire in futuro per indagini forensi
  • Continuare a monitorare i sistemi per eventuali usi impropri, come sessioni attive inusuali degli utenti interessati.

 

5. Prevenzione dei rischi

Dopo aver contenuto e risolto l’attacco di phishing, si dovranno rivedere le misure e il piano in uso con lo scopo di prevenire che attacchi simili si ripetano in futuro.

 

Chi si occupa di mettere in pratica il playbook in azienda?

Nel momento in cui viene strutturato il piano, l’azienda dovrà valutare se gestire il processo con risorse interne o invece affidare le attività in outsourcing.

Se per alcune di queste fasi il personale IT interno non avrà problemi a gestire l’attività, per altre potrebbero esserci delle complicazioni, perché l’esperienza e l’aggiornamento costante sulle più attuali tecniche di phishing, fondamentali per rispondere adeguatamente, di norma sono difficili da mantenere in azienda. Se pensiamo ad esempio all’ultima fase, quella di prevenzione dei rischi, un assessment da parte di esperti in cybersecurity esterni può fare la differenza.

 

Rispondere al phishing in modo efficace

La migliore strategia di prevenzione e risposta agli attacchi di phishing?

Quella nata dalla combinazione tra:

  • Adozione di tecnologie aggiornate, come sistemi di e-mail security in grado di rilevare e bloccare e-mail di phishing e soluzioni antivirus e di endpoint protection avanzate in grado di bloccare i malware prima che entrino nei sistemi IT aziendali
  • Formazione del personale continua con security awareness training su misura
  • Sviluppo e test di processi di incident response e prevenzione del rischio, ad esempio seguendo le linee guida proposte dalla ISO/IEC 27035 – che anche Matika ha adottato, che permettono di reagire prontamente. 

 

Hai già strutturato il tuo incident response plan per il phishing?

Incidente di sicurezza e data breach: qual è la differenza?

Incidente di sicurezza e data breach: qual è la differenza?

Quando un’azienda viene colpita da un attacco informatico, l’evento viene spesso descritto come incidente di sicurezza delle informazioni o data breach. Ma sono la stessa cosa?

Anche se i due termini possono sembrare simili, e qualcuno tende a usarli come sinonimi, è importante invece imparare a distinguerli. Solo conoscendoli e classificandoli correttamente, saremo in grado di rispondere in modo appropriato ed evitare gravi conseguenze per l’azienda.

Capiamo allora come distinguere incidenti di sicurezza e data breach e come affrontare questi due eventi.

 

Cos’è un incidente di sicurezza delle informazioni?

Si parla di incidente di sicurezza delle informazioni quando si verifica un evento che ha una significativa probabilità o sta già avendo un impatto negativo sul business del cliente.

Tale evento comporta la violazione delle policy di sicurezza di un’organizzazione: c’è il rischio concreto di compromettere le operazioni commerciali dell’azienda e minacciare la sicurezza delle informazioni.

 

Quali tipologie di eventi sono considerati incidenti di sicurezza?

Un incidente di sicurezza delle informazioni può essere causato da un evento naturale, da guasti, attacchi e violazioni che vanno ad intaccare integrità, disponibilità o riservatezza delle informazioni sensibili dell’azienda.

In particolare, in riferimento ad attacchi e violazioni, gli incidenti di sicurezza possono includere eventi come:

  • Attacchi malware e DDoS
  • Accessi non autorizzati
  • Violazioni interne
  • Ottenimento di privilegi non autorizzati
  • Furto o perdita di dispositivi

Per esempio, se un dipendente riceve un’e-mail di phishing e il tentativo viene bloccato, senza che l’attaccante ottenga l’accesso ad alcun dato, l’evento viene classificato come incidente di sicurezza.

 

Cos’è un data breach?

Il data breach è una particolare tipologia di incidente di sicurezza delle informazioni, che coinvolge i dati personali.

Secondo il GDPR, un data breach è una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

A differenza di un incidente di sicurezza, un data breach va notificato per legge alle autorità competenti.

 

Esempi di data breach

Un data breach può verificarsi quando, per esempio:

  • Qualcuno ottiene accesso, senza autorizzazione, a un sistema dove sono conservati dei dati personali
  • Un dispositivo contenente dati personali viene perso o rubato
  • I dati personali non sono più accessibili in seguito a un attacco ransomware.

Riprendendo l’esempio dell’e-mail di phishing usato sopra, nel caso gli attaccanti riescano ad ottenere l’accesso a dati personali, l’evento dovrà essere invece classificato come data breach.

Secondo il report 2020 “Cost of a Data Breach” di IBM, in Italia la principale causa di data breach sono gli attacchi informatici (52%), a cui seguono errori umani (29%) e falle nei sistemi (19%).

Perché rischiare?

 Scopri come rispondere in modo efficace a un incidente di sicurezza o data breach.

Come determinare se un evento è un incidente o un data breach

Dunque, quando si verifica un evento, come capire se si tratta di un incidente di sicurezza o di un data breach? È necessario analizzare l’evento e capire:

  • chi ha compiuto la violazione e se c’è stato acceso ai dati
  • a quali e quanti apparati, e di conseguenza informazioni, hanno avuto accesso
  • se c’è stata una risposta che ha mitigato il rischio della perdita e/o diffusione dei dati.

La discriminante è la tipologia di dati coinvolti: se sono interessati dei dati personali, l’evento sarà classificato come data breach. Negli altri casi, rimarrà un incidente di sicurezza.

Spesso un data breach inizia come incidente di sicurezza: saper reagire prontamente è fondamentale, per evitare che l’incidente passi al livello successivo.

Per fare ciò è necessario avere un piano.

Incidente di sicurezza vs data breach

 

 

Incidenti di sicurezza: come prevenirli e rispondere in modo efficace?

Prevenzione

Quanto accade prima del possibile verificarsi di un evento di sicurezza è una fase basilare del processo.

Se un’azienda non ha una fotografia completa, precisa e aggiornata della propria infrastruttura, difficilmente sarà a conoscenza di debolezze, vulnerabilità e possibili fonti di rischio.

Per dotarsi di un piano di incident response è necessario partire da un security assessment: in questo modo si verifica quali sono le esigenze di sicurezza dell’azienda e il grado di esposizione a possibili eventi. Non si tratta di un processo meramente tecnico di ricerca delle vulnerabilità, come avviene con un vulnerability assessment, bensì di un’attività strategica che produce un report indirizzato alla direzione.

Da qui, in un primo momento, si potranno stabilire eventuali azioni di mitigazione necessarie. In seguito, si definirà un piano d’azione, con procedure e ruoli, da mettere in atto nel caso in cui si verifichi un evento di sicurezza.

Per essere certi che un evento sia segnalato e/o rilevato, è necessario dotarsi o migliorare le tecnologie necessarie alla protezione dell’azienda (per es. firewall, email security, EDR, SOC, SIEM, …), come rilevato dall’assessment, ma soprattutto ampliare la cultura di security awareness aziendale.

 

Rilevamento e valutazione

Nel momento in cui viene rilevato un evento anomalo, dopo essere stato segnalato al personale designato, si valuterà se si tratta di un incidente o meno. In questa fase è importante che ci sia qualcuno in grado di capire se si tratta di un evento rilevante o meno. È possibile ricevere innumerevoli segnalazioni dai sistemi e dal personale: senza le specifiche competenze, valutare e classificare gli eventi può risultare molto difficile.

 

Come affrontare un incidente di sicurezza

Risposta

Se si tratta di un incidente è necessario mettere in atto le procedure per

  • contenere l’incidente in modo che non si diffonda e provochi problemi ben più gravi
  • sradicarlo, ovvero eliminare ciò che ha causato l’incidente di sicurezza o data breach
  • e infine ripristinare e riattivare tutti i sistemi coinvolti in modo che siano di nuovo operativi al 100%

 

Apprendimento e miglioramento

Una volta eliminata la minaccia e ripristinati i sistemi è tutto concluso? Manca un’ultima fase.

Affinché la risposta all’incidente sia davvero efficace è necessario analizzare quanto accaduto e predisporre le opportune modifiche a procedure e tecnologie aziendali, per migliorarle e mitigare ulteriormente i rischi.

 

Quindi, per prevenire e gestire un incidente al meglio, un’azienda deve saper integrare competenze specifiche, tecnologie evolute e procedure certificate in un processo testato.

 

La tua azienda è pronta a prevenire e rispondere agli incidenti in sicurezza e data breach?

EDR: perché la tecnologia da sola non è sufficiente

EDR: perché la tecnologia da sola non è sufficiente

Anche le aziende con maggiori risorse da investire in cybersecurity sono vittime di attacchi mirati: tutti ne siamo diventati ancor più consapevoli con le vicende degli ultimi giorni. Investire in soluzioni più avanzate diventa realmente efficace, solo quando queste sono affiancate da un team di esperti in cybersicurezza. Scopriamo perché.

I reparti di sicurezza IT aziendale, ad oggi, possono prevenire gli attacchi da minacce note con piattaforme tradizionali come endpoint protection e firewall. Quando si tratta invece di attacchi avanzati, per rilevarli in modo automatico, i CISO e il loro team si avvalgono spesso di sistemi di Endpoint Detection and Response.

Con il passare del tempo e l’incremento degli attacchi mirati, è diventato chiaro che l’intelligenza artificiale presente nelle soluzioni avanzate, con i suoi algoritmi e meccanismi di rilevamento e analisi automatici, per quanto evoluti possano essere, non è ancora sufficiente a far fronte alle azioni del nemico.

Secondo l’indagine “IT Security Risks” di Kaspersky il 28% delle aziende che ha implementato una soluzione Endpoint Detection and Response è stata in grado di rilevare gli attacchi informatici in poche ore o, in alcuni casi, subito dopo l’incidente. Il rilevamento tempestivo è fondamentale per ridurre il tempo di permanenza dei criminali informatici nei sistemi aziendali e, di conseguenza, mitigare danni e perdite derivanti da un attacco informatico.

Per alcuni intervistati, tuttavia, la soluzione EDR non sembra essere di aiuto per ridurre il “tempo di permanenza” di un attacco. Quali sono le cause?

 

Perché una soluzione EDR non è sempre efficace

Come riportato nell’indagine di Kaspersky, una soluzione EDR:

  • consente maggiori probabilità di scoperta, maggiore visibilità dell’infrastruttura endpoint, un’analisi semplificata delle cause alla base dell’attacco, la threat hunting e la risposta rapida agli incidenti.
  • Allo stesso tempo, automatizza i compiti di routine degli analisti.

Perché allora per alcune aziende l’EDR non risulta efficace nella rilevazione e risposta agli attacchi informatici?

Secondo lo studio State of Endpoint Security Risk del Ponemon Institute, il 61% delle aziende soffre la mancanza di personale competente all’interno dell’azienda che supporti e gestisca uno strumento di protezione avanzato come l’EDR. 

Ottieni il massimo dalla soluzione EDR

Scopri come fare nel nostro webinar

Le competenze mancanti vanno ad influire in particolare su due tipi di attività:

1)      Gestire gli alert: l’analisi dei dati

Una soluzione di Endpoint Detection invia numerose notifiche su possibili attività sospette. Senza un analista di sicurezza in grado di indagare e prendere decisioni in merito alla pericolosità delle azioni, l’azienda rischia di rimanere bloccata dal numero degli alert, che possono rivelarsi falsi positivi, oppure di lasciarsi sfuggire degli avvisi importanti.

2)      Rispondere agli incidenti: mettere in pratica le raccomandazioni

Quando si verifica un incidente di sicurezza, gli esperti che offrono la soluzione EDR inviano un report sull’incidente e una lista di raccomandazioni con le attività di risposta.

Il contenuto di queste raccomandazioni può essere altamente tecnico, non sempre chiaro e praticabile, e così per l’azienda risulta spesso impossibile organizzare e fornire una risposta tempestiva ed efficace all’incidente.

Ecco perché la tecnologia EDR può risultare inefficace. Le risorse presenti in azienda spesso non sono sufficienti o specializzate e in grado di eseguire l’indagine, le attività di forensic analysis e le azioni che richiedono l’intervento umano in maniera coordinata e contestualizzata alla realtà del cliente. Senza le giuste competenze interne per gestire incidenti complessi, non si sarà in grado di ottenere i risultati desiderati.

 

EDR: il fattore umano

Una soluzione EDR sarà efficace ed acquisirà tanto più valore quante sono le competenze in sicurezza IT di chi la gestisce. Senza un valido SOC a sostegno, l’EDR rischia di essere un fallimento.

Oggi per le aziende è sempre più difficile dotarsi di un team di esperti di sicurezza IT interno e garantirgli adeguata formazione. Nello specifico, perché risulta particolarmente problematico reperire professionisti qualificati: secondo Kaspersky il numero di posizioni aperte nel settore della cybersecurity è aumentato del 38,9% rispetto allo scorso anno.

L’alternativa è affidarsi a dei professionisti di sicurezza IT esterni, che affianchino l’azienda nell’attuare la strategia di security. In questo modo l’azienda ottiene i vantaggi di un SOC, senza doverne creare uno.

Matika, in qualità di Managed Service Provider, offre un Security Operation Center che gestisce in outsourcing soluzioni per la sicurezza informatica aziendale.

Scegliendo il SOC Matika per gestire una soluzione EDR:

 

  1. Si disporrà di esperti in grado di analizzare e indagare tattiche, tecniche e procedure utilizzate dagli attaccanti di tutto il mondo (basato sulla Knowledge Base Mitre Att&ck) e automatizzare il processo di threat hunting impostando indicatori di attacco IoA per controllare le attività post-compromissione.
  2. Si sarà in grado di rispondere prontamente agli incidenti di sicurezza in modo centralizzato tramite le funzionalità dell’agente EDR oppure lanciare l’incident response in modo automatico da remoto.

Scopri i vantaggi dell’EDR gestito

Matika per la sicurezza sceglie Kasperky
Attacchi informatici mirati: come proteggere la tua azienda

Attacchi informatici mirati: come proteggere la tua azienda

I cybercriminali adottano sempre più spesso tecniche di attacco avanzate, che i tradizionali antivirus non sono in grado di rilevare. Impariamo a conoscere queste minacce e scopriamo come un approccio sistemico di advanced detection sia la strategia di difesa più efficace.

 

Negli ultimi anni l’incremento di investimenti per la cybersicurezza in azienda, unito a tecnologie di protezione sempre più avanzate, ha costretto i cybercriminali a cercare nuovi metodi di attacco per violare i sistemi di sicurezza interni: tecniche che fossero allo stesso tempo più efficaci e meno dispendiose.

Oggi i tradizionali prodotti di sicurezza IT, come antimalware e firewall, sono in grado di neutralizzare gli attacchi basati su signature: questo tipo di attacco è infatti una minaccia nota, che può essere rilevata e bloccata in modo automatico. Ben consapevoli di ciò, i criminali informatici decidono di sviluppare attacchi mirati in grado di bypassare i sistemi tradizionali.

Questi attacchi vengono spesso condotti senza l’utilizzo di alcun software malevolo, per questo sono conosciuti come attacchi fileless. Utilizzano tecniche chiamate LotL – Living Off The Land: con questo approccio gli attaccanti possono sfruttare qualsiasi strumento già installato e in uso nel sistema della vittima, considerato dunque legittimo e affidabile.

Il vantaggio per i criminali è doppio:

  1. tali azioni sono faticosamente distinguibili da quelle eseguite dal reparto IT aziendale: essendo difficilmente identificabili, possono agire indisturbati a lungo senza timore di essere individuati;
  2. nel caso venissero scoperti, l’approccio LotL rende difficile attribuire l’attacco a uno specifico gruppo, perché le tecniche e gli strumenti utilizzati sono tutti molto simili. 

Scopri come difenderti dagli attacchi mirati

I tuoi endpoint sono protetti in modo adeguato?

Attacchi mirati avanzati: come riconoscerli

Gli attacchi informatici mirati, in cui i cybercriminali violano gli strumenti dei sistemi operativi esistenti, sono sempre più comuni. Secondo la ricerca 2020 State of Endpoint Security del Ponemon Institute, nei prossimi 12 mesi ci si aspetta che gli attacchi fileless rappresentino il 41% degli attacchi informatici.

I criminali informatici preferiscono questa modalità di attacco perché, oltre a essere discreta e quasi invisibile, è più economica. Infatti i sistemi operativi contengono al loro interno tutto quanto necessario per essere attaccati, senza ricorrere a malware.

Tra le tecniche più comuni negli attacchi informatici di questo tipo troviamo:

  • Attacchi che agiscono sulla memoria (Memory only attacks): viene colpita direttamente la memoria del computer e vengono eliminati in modo sicuro gli elementi presenti sul disco rigido (anche per attacchi multilivello), così da ostacolare le attività di digital forensics
  • Attacchi persistenti (Fileless persistence): è possibile nascondere uno script malevolo nel registro che rende persistente la minaccia anche dopo il riavvio
  • Attacchi che sfruttano strumenti legittimi (Dual-use tools): gli strumenti utilizzati abitualmente dal dipartimento IT e dagli esperti di sicurezza informatica sono adoperati con scopi malevoli, per esempio eseguendo attività interattive simili a quelle compiute durante un penetration testing, anche in combinazione con script (PowerShell)
Tipi di attacchi mirati fileless

Le fasi di un attacco mirato

Come agiscono gli hacker per mettere a segno un attacco mirato? Il loro obiettivo è quello di rubare informazioni e lucrare su queste in un secondo momento. Per fare ciò pianificano una strategia a lungo termine, che di solito comprende le seguenti fasi:

  • Raccolta informazioni: Gli attaccanti scelgono un obiettivo preciso, di solito all’interno di un settore specifico, studiandolo nei minimi dettagli
  • Punto di ingresso: Identificano la tecnica migliore per entrare nel sistema tra social engineering, spear phishing, vulnerabilità zero-day, etc.
  • Command-and-control: Si assicurano un canale di comunicazione per eseguire le attività malevole all’interno del sistema
  • Lateral movement e scoperta dei dati: Esplorano la rete cercando le informazioni di maggior valore. Continuano a spostarsi per permanere all’interno del sistema in incognito.
  • Esfiltrazione di dati: Trasferimento delle informazioni di valore in un luogo che gestiscono gli attaccanti.

Se dal lato criminale le attività elencate richiedono l’impegno attivo di professionisti con un elevato livello di esperienza, non può essere diverso per la strategia di difesa in azienda. È necessario il supporto di adeguate tecnologie, ma soprattutto di competenze, per proteggere i sistemi aziendali e rispondere in modo puntuale e coordinato a questo tipo di attacchi. Come fare?

 

Contrastare gli attacchi avanzati: un approccio sistemico alla protezione

Le minacce derivanti da attacchi mirati, richiedono un ulteriore livello di rilevamento basato su una protezione avanzata degli endpoint EDR e threat hunting manuale, eseguito da professionisti.

Non è più sufficiente la sola protezione preventiva degli endpoint, con antivirus o più in generale piattaforme di endpoint protection (EPP). A queste è necessario affiancare soluzioni di endpoint detection and response (EDR), in grado di ampliare la visibilità sul perimetro da proteggere, e quindi rilevare e rispondere proattivamente alle minacce che sono sfuggite ai controlli tradizionali.

 

Approccio sistemico alla protezione avanzata degli endpoint

Adottare un approccio sistemico alla protezione degli endpoint è l’unica soluzione.

  1. I tradizionali strumenti di rilevamento e prevenzione, attivati prima della compromissione, vanno mantenuti
  2. E combinati con un processo interattivo post-compromissione di endpoint detection, mirato alla ricerca proattiva di nuove minacce, non rilevate dai tool automatizzati. La ricerca è basata su indicatori di attacco e compromissione.
  3. Infine, per rispondere in modo rapido alle minacce, occorre adottare efficaci pratiche di incident response coordinate da un team di esperti, assegnando i processi di investigation e triage degli incidenti a un SOC come quello di Matika. 

Vuoi capire come implementare un approccio sistemico alla protezione nella tua azienda?

Scopri la protezione avanzata degli endpoint nel nostro webinar

Matika per la sicurezza sceglie Kasperky