Mentre a seguito dell'ingresso nella fase 2 molti di noi si stanno adattando a lavorare in smart working, i team di sicurezza di tutto il mondo sono alle prese con una sfida molto seria. Da un giorno all'altro le nostre aziende hanno subito un cambiamento radicale e forzato. Procedure ben consolidate vengono riscritte, le migliori prassi vengono rapidamente ripensate e le politiche aziendali vengono stravolte totalmente.
La trasformazione aziendale è sempre un rischio per la sicurezza e al contempo le nuove tecnologie e le nuove pratiche di lavoro richiedono nuove misure di controllo. Normalmente questo rischio viene gestito con attenzione, e nel tempo ma la rapida e inaspettata diffusione della pandemia da Covid-19 non ci ha permesso questo lusso. Per alcune aziende la portata e la velocità di questo cambiamento sarà senza precedenti. Questo discorso vale anche per molti privati dato che i criminali informatici sono consapevoli della situazione e la stanno già sfruttando a proprio vantaggio. Di seguito sono riportate alcune delle minacce più gravi che gli esperti di sicurezza affronteranno nelle prossime settimane.
- Come rimanere produttivi anche in smart working
- Smart working: è questo il futuro del lavoro?
- VPN, abbonamenti in aumento a livello mondiale grazie al lavoro da remoto
Rischi legati agli attacchi di ingegneria sociale
Il cambiamento porta novità, e le novità spesso si tramutano in opportunità per i truffatori. Nelle ultime 48 ore, i team di sicurezza interna si sono dati da fare per distribuire gli strumenti essenziali atti a garantire il lavoro da remoto: link per scaricare nuovi software e modifiche alle modalità di autenticazione dei servizi in primis. Quando non si sa cosa aspettarsi diventa necessaria una la formazione dei dipendenti sull'individuazione di attacchi informatici basati su tecniche di ingegneria sociale sempre più diffuse ed accurate. Sia i dipendenti che i reparti IT dovrebbero diffidare di chiamate e richieste inattese:
“Salve, la contatto dal reparto sicurezza, può leggermi il suo codice 2FA per confermare la transizione al nuovo sistema Duo?”
“Salve, avrei smarrito la mia password di O365 (Office 365 ndr.), mi potrebbe inviare tramite email un codice di reset alla mia personale Gmail?”
Tali richieste potrebbero sembrare legittime e dovrebbero essere risolte al di fuori dei normali canali. Sta ai singoli individui essere prudenti, applicare il buon senso e giudicare adeguatamente la veridicità delle suddette richieste.
Ci saranno anche moltissime occasioni per i cybercriminali di impersonare clienti e terzi:
“Salve Alessandro, devo riprogrammare il nostro incontro previsto per la prossima settimana in modo da effettuarlo da remoto. Per favore fai click sul link qui in basso per accettare l’invito ad una chiamata su Zoom.”
Questi pericoli rischiano di essere esacerbati dal contemporaneo allentamento dei controlli di sicurezza per facilitare l'uso di software di web conferencing non standard e la condivisione di file via email. I criminali informatici, dunque, in questo momento hanno sia l'opportunità che i mezzi per agire.
Nuove reti, nuove minacce
L'indebolimento dei controlli di sicurezza va ben oltre l'allentamento delle regole del firewall e della politica di posta elettronica. Molti livelli di sicurezza esistenti all’interno di una rete aziendale vengono meno nel caso in cui si lavori da remoto usando una rete domestica. I dipendenti che si portano improvvisamente a casa il computer di lavoro, si ritrovano spesso privi di protezione nel momento in cui utilizzano il Wi-Fi di casa al posto della rete dell'ufficio. Senza Internet proxy, NAC, IDS e NGFW, i dispositivi saranno collegati a reti potenzialmente non protette. La sicurezza degli endpoint dovrà quindi sopportare tutto il peso della protezione.
Anche la sicurezza della rete interna può essere compromessa: i dipendenti potrebbero avere bisogno di accedere a risorse precedentemente accessibili solo su una rete cablata in un unico luogo. Per renderla raggiungibile tramite VPN, potrebbe essere necessario ridurre la segmentazione interna del firewall (o internal segmentation firewall, ISFW). Questo aprirà le porte alla diffusione di malware e al lateral movement. Con lateral movement, ci si riferisce alle tecniche che i cyber criminali usano per spostarsi progressivamente attraverso una rete mentre cercano i dati e le risorse chiave che sono il bersaglio delle loro campagne di attacco. Ad esempio, potrebbe essere necessario disattivare l'autenticazione dei certificati dei client che proteggono i servizi web per consentire l'attività di smart working ai dipendenti che non hanno un computer portatile aziendale.
Questi cambiamenti devono essere scrupolosamente registrati e le dipendenze devono essere comprese. Per evitare di sovraccaricare il sistema bisognerà ricorrere ad altre soluzioni: le politiche dell'host AV potrebbero essere rafforzate per compensare la mancanza di protezione della rete, i dispositivi dei dipendenti potrebbero essere riconfigurati per utilizzare un provider DNS esterno sicuro al posto del server DNS on-premises.
Più possibilità di attacco per gli hacker
Al di là dell'indebolimento dei controlli esistenti, la creazione di nuove infrastrutture comporterà nuovi rischi. A gennaio abbiamo assistito a una serie di attacchi all'infrastruttura Citrix aperta al Web. Le aziende implementeranno rapidamente i gateway VPN, passando a Sharepoint e ampliando il loro perimetro accessibile tramite Internet. Questa superficie di attacco aumentata dovrà essere monitorata e protetta. I team di sicurezza dovrebbero rimanere in massima allerta per scongiurare gli attacchi brute force e gli attacchi lato server. Anche la protezione da attacchi DDoS diventerà più importante che mai; molte aziende subiranno i primi attacchi DDoS, in grado di paralizzare la loro attività impedendo ai lavoratori da remoto di accedere ai servizi via Internet. A breve dovremmo aspettarci di assistere a una forte diffusione di entrambe queste forme di attacco.
Le scelte dei singoli possono fare la differenza
“Mettilo in un bucket S3”, “Proviamo ad usare join.me”, “Te lo invio tramite WeTransfer”.
Sia i reparti IT che i singoli dipendenti dovranno affrontare delle difficoltà. Non ci sarà una soluzione univoca per le loro esigenze, che potrebbero essere assai urgenti. In un momento in cui le aziende sono estremamente preoccupate per la loro posizione finanziaria e la loro capacità di operare, ci saranno forti pressioni dall’alto rivolte a proteggere l’ordinaria amministrazione. I vari team di sicurezza dovranno fare del loro meglio sia per scongiurare decisioni avventate che per fornire soluzioni creative.
I dipendenti ben intenzionati diventeranno creativi e la responsabilità sarà delegata ai team leader per guidare i dipendenti a "fare ciò che serve" utilizzando i mezzi adeguati. Per le aziende che si occupano di sicurezza informatica potrebbe essere impossibile sorvegliare questo aspetto a livello centrale e sarà necessario monitorare le azioni dei singoli dipendenti per individuare i comportamenti a rischio e le inadempienze. Questo è più facile a dirsi che a farsi; al SOC (Security operation center) sarà chiesto di monitorare gli eventi nel bel mezzo di una tempesta imprevista. I casi d'uso e le regole esistenti non si applicheranno e le aziende avranno bisogno di un approccio più proattivo e dinamico al rilevamento e alla risposta.
La vostra casa è un ambiente di lavoro esposto a rischi
Purtroppo, ci sarà qualcuno all'interno delle nostre aziende pronto a lasciarci a casa in un momento di crisi. In aggiunta l'improvvisa diffusione dello smart working rappresenta una manna dal cielo per i malintenzionati. I dati possono ora essere facilmente prelevati da un dispositivo aziendale via USB e portati a casa. In una situazione del genere, il monitoraggio della sicurezza potrebbe ritrovarsi ad essere paralizzato o completamente disabilitato, rendendo di fatto più difficile affrontare i rischi connessi ad eventuali attacchi. Se a causa di questi cambiamenti repentini risulta impossibile azzerare il rischio,è però possibile trovare una via di mezzo tra la necessità di produttività da un lato e la necessità di accesso ai dati dall’altro.
Dovremmo anche diffidare di coloro che ci circondano anche se ovviamente speriamo di poterci fidare delle persone con cui viviamo. Dal punto di vista dell'azienda, le case dei dipendenti sono ambienti a zero fiducia. Le conversazioni confidenziali saranno ora condotte nel raggio d'azione di potenziali “spie”. La proprietà intellettuale sarà visibile su schermi e monitor nei salotti di tutto il Paese. Questo rischio è maggiore per i giovani, che probabilmente condividono la casa con i propri familiari, ma è presente per tutti i lavoratori; i fattorini, i visitatori...tutti potrebbero potenzialmente rubare un portatile aziendale dal tavolo della cucina. La formazione dei dipendenti, in particolare dei gruppi a rischio, sarà fondamentale per scongiurare determinati rischi.
Adattarsi alla nuova normalità
I sistemi di intelligenza artificiale in grado di evolvere e adattarsi continuamente ai cambiamenti offrono le migliori possibilità di rilevare errori di configurazione, attacchi e comportamenti a rischio: quando non si sa cosa cercare, è necessaria una tecnologia in grado di identificare i modelli e quantificare i rischi. La tecnologia Autonomous Response può anche intervenire chirurgicamente per arrestare le attività dannose quando i team di sicurezza non possono essere presenti per fermarle, proteggendo i dispositivi e i sistemi e permettendo al tempo stesso alle operazioni essenziali di continuare a non subire danni.
Tutti i cambiamenti e i rischi di cui sopra creano non poche difficoltà di monitoraggio per i SOC. Stiamo entrando in un periodo di incognite digitali, dove il cambiamento sarà la nuova normalità. Cambieranno i flussi di dati e la topologia. Saranno impiegate nuove tecnologie e servizi, i formati di registrazione saranno diversi, i casi d'uso del SIEM, che hanno richiesto 12 mesi di sviluppo, dovranno essere eliminati da un giorno all'altro. Per le prossime settimane, la pratica commerciale cambierà radicalmente.
Le difese statiche e le regole non riusciranno a tenere il passo, per quanto diligentemente e rapidamente le riscriviamo. Come riconoscere un tentativo di accesso malevolo ad O365 nei vostri registri di audit ora che le connessioni provengono da migliaia di località diverse in tutto il mondo? Le aziende devono sfruttare una tecnologia che consenta loro di continuare a operare in un momento di incertezza senza soffocare la produttività. Risulterà di fondamentale importanza, inoltre, il contenimento di queste minacce: non sarà possibile mettere completamente in quarantena una macchina infetta se non può essere ripristinata o sostituita per giorni.
Andrew Tsonchev è Director of Technology in Darktrace.
