Nessuno avrebbe mai potuto prevedere il grado e l'entità del cambiamento che avremmo sperimentato, sia all'interno che all'esterno del settore della sicurezza informatica.
La pandemia ha messo in luce l'urgente necessità di avere a disposizione infrastrutture resilienti. Letteralmente milioni di lavoratori in remoto hanno ampliato, inconsapevolmente, la superficie di attacco digitale quasi dall'oggi al domani.
Lavorare da remoto ha esposto notevolmente le reti e i dispositivi domestici all’azione dei criminali informatici, i quali hanno potuto approfittare di ambienti non protetti, dispositivi non “pathchati”, comportamenti a rischio. L’evoluzione degli ambienti di lavoro e la maggiore dipendenza dall'uso dei dispositivi personali hanno aperto la porta a una molteplicità di attacchi informatici.
Gli elementi indispensabili per una cyber difesa efficace
L’anno pandemico ha dimostrato come i criminali informatici siano in grado di sfruttare l’emergenza sanitaria globale come un'
opportunità per lanciare attacchi informatici mirati in tutto il mondo; hanno sfruttato la paura degli individui e le incertezze della pandemia come strategia di attacco. Allo stesso tempo, altri attacchi si sono manifestati a ritmo sostenuto.
Per esempio, i cybercriminali hanno continuato a utilizzare il ransomware, affidandosi più che mai a
Ransomware-as-a-Service, ma questa volta con una differenza: non solo i dati preziosi vengono crittografati e conservati per il riscatto, ma, in più, una versione decrittografata di tali dati viene pubblicata online in assenza di un pagamento.
Il malware basato sul web è diventato il veicolo più comune per la distribuzione di malware stessi, comunemente utilizzato come parte di campagne di phishing e truffe. Questo vettore d’attacco ha superato la posta elettronica come modalità di recapito principale sfruttata dai criminali informatici per la prima volta da un po’ di tempo. In ogni caso i messaggi e gli allegati a tema COVID-19 sono stati frequentemente usati come esche in una serie di campagne di phishing diverse.
Anche se il 2020 sembra essere al passo con i tempi per distruggere il record di vulnerabilità pubblicate in un solo anno, esse hanno registrato anche il tasso di sfruttamento più basso mai registrato nei 20 anni di storia dell'elenco CVE.
I
tentativi di exploit contro diversi router di livello consumer e dispositivi IoT sono in cima all'elenco per i rilevamenti IPS. Mentre alcuni di questi exploit prendono di mira le vulnerabilità più recenti, un numero sorprendente di exploit mirati è stato scoperto per la prima volta nel 2014, un'indicazione di quanto i criminali informatici siano alla ricerca di exploit ancora esistenti nelle reti domestiche da utilizzare come trampolino di lancio verso le reti aziendali. Inoltre,
Mirai (2016) e
Gh0st (2009) hanno dominato i rilevamenti di botnet più diffusi, spinti da un crescente interesse da parte degli hacker che prendono di mira le vulnerabilità più vecchie nei prodotti IoT di consumo.
Il decimo anniversario di Stuxnet è arrivato e si è concluso a giugno, riportando la nostra attenzione sulle minacce alla sicurezza della tecnologia operativa (OT), come il più recente framework di spionaggio Ramsay, orientato verso ambienti industriali compromettenti. Un altro sviluppo è stato l'uso del ransomware in un ambiente di tecnologia operativa (OT).
Le soluzioni di Fortinet
L’intenzione di Fortinet è creare consapevolezza e permettere ai CISO di valutare e aggiornare le attuali misure di sicurezza per garantire che i vettori siano adeguatamente protetti. Sono cinque i punti fondamentali su cui agisce l’azienda. Il primo è
proteggere gli endpoint dei lavoratori in remoto: il primo passo è garantire che siano in atto misure di sicurezza appropriate per proteggere i dati, le applicazioni e le risorse in uso in posizioni remote.
La seconda area d’azione è
assicurare che tutto il traffico VPN venga ispezionato: con l'aumento degli attacchi mirati ai router domestici e ai dispositivi collegati, come i DVR, è fondamentale che le connessioni VPN includano un'ispezione completa alla ricerca di malware proveniente dalle reti domestiche dei lavoratori a distanza. Ciò richiede la presenza di firewall in grado non solo di gestire un volume notevolmente aumentato di traffico VPN, ma anche il pesante carico di elaborazione richiesto per ispezionare il traffico crittografato.
Terzo, i dispositivi endpoint dovrebbero essere protetti con qualcosa di più del tradizionale antivirus (AV) e della protezione degli endpoint. Le
nuove soluzioni di rilevamento e ripristino degli endpoint (EDR e XDR) come FortiEDR non solo sono in grado di identificare attacchi sofisticati, ma anche di impedire l'esecuzione di qualsiasi applicazione sconosciuta, come il malware, fino a quando non venga analizzata.
Antonio Madoglio, Director Systems Engineering - Italy & Malta di Fortinet Quarto,
rivedere le misure di sicurezza contro il ransomware. Le reti devono essere segmentate come parte di una strategia ZTNA per limitare le risorse che possono essere influenzate. I backup completi dei dati devono essere archiviati offline e fuori rete per garantire un rapido ripristino. E i dati all'interno della rete devono essere crittografati in modo che non possano essere utilizzati o esposti dai criminali informatici.
Ultimo ma non meno importante è
rafforzare la sicurezza negli ambienti OT: i maggiori attacchi agli ambienti OT richiedono la presenza di una sicurezza che limiti le risorse a cui possono accedere utenti, dispositivi, applicazioni e flussi di lavoro. La soluzione ZTNA (Full Zero-Trust Network Access) di Fortinet combina il controllo degli accessi e le soluzioni di sicurezza della rete progettate per proteggere gli ambienti e i sistemi OT, come i sistemi SCADA e ICS, con funzioni di rete come i punti di accesso e la segmentazione della rete. Ciò garantisce che, anche se il malware riesce a aggirare le strategie di sicurezza all’edge, sarà comunque limitato a un piccolo segmento della rete OT.