Limitare il rischio informatico: interrompere immediatamente la catena di attacchi

Pubblicato il 19 settembre 2023
Proofpoint

Luca Maiocchi, Country Manager, Proofpoint

Continuiamo a usare il termine “people-centric” per descrivere il panorama delle minacce moderne e lo stile di difesa necessario per proteggersi da esse. In realtà, l’identità viene ora utilizzata dai cybercriminali per favorire i loro guadagni. Seguendo uno schema ben definito, o una “catena di attacco”.

Gli attori delle minacce iniziano a prendere di mira le persone attraverso diversi attacchi, come le email di phishing delle credenziali e l’invio di malware. In questo modo, non hanno bisogno di impegnarsi per violare i numerosi livelli di difesa di un’organizzazione. Una volta compromesso un dipendente, un account, un’identità, hanno raggiunto il loro scopo: la utilizzano per muoversi lateralmente all’interno e raggiungere i loro obiettivi di distribuzione di ransomware o di esfiltrazione dei dati. In altre parole, l’identità rappresenta la nuova superficie di attacco e, in ultima analisi, il nuovo perimetro.

Come possono le aziende proteggere questo perimetro, evitare il furto di identità e interrompere la catena di attacco? Il modo più efficace è ovviamente quello di spezzarne il primo anello: la compromissione iniziale.

Tutto inizia con un’e-mail

L’email rimane il vettore di minaccia numero uno per i criminali informatici, e non è una novità. Un tentativo di phishing riuscito offre loro accesso a sistemi e dati aziendali.

Il phishing è in aumento anche nel nostro paese. Tra le aziende italiane che hanno subito tentativi di attacchi di questo tipo lo scorso anno, il 79% ne ha registrato almeno uno di successo, con il 7% che ha riportato perdite finanziarie dirette come danno.

Se si considerano le tipologie di phishing che possono potenzialmente garantire l’accesso iniziale ai criminali informatici, gli attacchi BEC (Business Email Compromise) sono una minaccia in rapida crescita. Il 51% delle organizzazioni italiane ha segnalato un tentativo di attacco BEC lo scorso anno e rappresenta una delle principali preoccupazioni per il 26% dei CISO italiani nei prossimi 12 mesi, subito dopo gli attacchi alla supply chain (30%).

Gli attacchi BEC sono anche uno dei vettori di attacco via email più dannosi dal punto di vista economico: l’FBI ha riferito che le perdite finanziarie sono aumentate di quasi il 50% negli ultimi due anni. In questi attacchi, gli attori delle minacce spesso fingono di essere entità esterne fidate e spesso utilizzano account compromessi di fornitori o partner fidati per infiltrarsi. In entrambi i casi, l’obiettivo finale è quello di indurre un dipendente a credere che l’email provenga da qualcuno che conosce o si aspetta di ricevere.

Un’altra minaccia molto diffusa che generalmente accede in azienda attraverso un’email inviata a un dipendente è il ransomware, una delle più temute, perché possono paralizzarne le operazioni. Quello che spesso inizia con un semplice clic su un’email o un link all’apparenza innocuo può portare all’interruzione completa delle attività fino al pagamento del riscatto.

Anche il ransomware è molto diffuso anche in Italia. Il Report State of the Phish 2023 di Proofpoint ha rivelato che il 63% delle organizzazioni italiane ha subito un tentativo di attacco ransomware nell’ultimo anno, per il 44% purtroppo di successo e solo il 38% ha riacquisito l’accesso ai propri dati dopo aver effettuato il pagamento del riscatto iniziale.

Questo ci fa capire perché la sicurezza delle email sia fondamentale. Grazie a una combinazione tecnica di regole per i gateway di posta elettronica, analisi avanzata delle minacce, autenticazione delle email e visibilità sulle applicazioni cloud, le aziende possono bloccare la maggior parte degli attacchi mirati prima che raggiungano i dipendenti.

Interrompere la catena di attacco

Gli attaccanti continueranno ad affidarsi alla stessa tecnica: prendere di mira i dipendenti con un’email, nel tentativo di penetrare all’interno di un’organizzazione e spostarsi poi lateralmente, arrecando il maggior danno possibile. È una tecnica consolidata perché, semplicemente, funziona e continuerà a farlo a meno che le aziende non decidano di attivarsi per spezzare il primo anello della catena di attacco e bloccare la compromissione iniziale.

È qui che una solida strategia di sicurezza delle email diventa fondamentale.

Il modo migliore per evitare che i dipendenti siano vittime di minacce provenienti dalla posta elettronica è di impedire loro di raggiungere le caselle di posta. Le aziende devono riconoscere la necessità di una forte sicurezza della posta elettronica, personalizzando la protezione dei propri dipendenti non solo prima di un attacco, ma anche durante e dopo. Nel caso in cui il livello iniziale di difesa venga compromesso, è necessario disporre degli strumenti efficaci per rispondere istantaneamente e rimediare in tempi brevi. La chiave è la resilienza. Non si sarà forse in grado di fermare ogni minaccia, ma si potrà ostacolare raggiungimento dell’obiettivo di un attacco.

In questo senso, le persone ricoprono un ruolo fondamentale e più saranno preparate sugli attacchi che potrebbero subire e come procedere in caso accadessero, più sarà probabile che siano in grado di bloccarli.

 



Contenuti correlati

  • proofpoint
    Proofpoint: aumenta la preoccupazione dei CISO italiani nel 2024

    Chief Information Security Officer (CISO) più preoccupati: questo è uno dei trend che emerge dall’edizione 2024 del report annuale Voice of the CISO di Proofpoint. Il report analizza sfide, aspettative e priorità principali riportate dai CISO a...

  • Proofpoint
    Il panorama delle minacce è in continua evoluzione: cosa dobbiamo aspettarci nel 2024

    Selena Larson, Senior Threat Intelligence Analyst di Proofpoint, illustra i principali trend che prenderanno piede nei prossimi mesi in tema di cybersecurity Nessuno sa quale sarà la prossima Big Thing nel panorama delle minacce. Ma possiamo certo...

  • proofpoint
    Proofpoint segnala il ritorno del Gruppo TA866 con un’estesa campagna email

    I ricercatori di Proofpoint hanno identificato il ritorno di TA866 nei dati delle campagne di minacce via email, dopo nove mesi di assenza. L’11 gennaio 2024, l’azienda ha bloccato una campagna massiccia, composta da diverse migliaia di...

  • Proofpoint
    Proofpoint: il ritorno del malware Qbot

    Il malware QakBot, noto anche come Qbot, è stato nuovamente identificato in campagne di phishing, dopo essere stato bloccato dalle forze dell’ordine durante l’estate. Lo scorso agosto, un’operazione multinazionale delle forze dell’ordine chiamata Operation Duck Hunt ha...

  • Proofpoint
    Nuovo CEO a Proofpoint

    Proofpoint ha nominato Sumit Dhawan Chief Executive Officer, con effetto immediato. Rémi Thomas, chief financial officer di Proofpoint, che ha svolto il ruolo di CEO ad interim dal 25 ottobre, continuerà a ricoprire il ruolo di CFO...

  • Proofpoint
    Autenticazione delle email, sta per arrivare la nuova rivoluzione della cybersecurity

    Google e Yahoo stanno per cambiare i requisiti di autenticazione delle email, rendendoli più stringenti. Che cosa cambia per le aziende che usano questo canale per comunicare con clienti e prospect? Chi ha un account di posta...

  • ProofPoint
    Quando la minaccia arriva dall’interno. I trend attuali in tema di insider risk

    Di Luca Maiocchi, Country Manager, Proofpoint Italia “Gli attaccanti esterni sono l’unica minaccia per le risorse aziendali”: già nel 2017 McKinsey aveva giustamente definito questa affermazione un mito. Oggi sembra che un numero maggiore di aziende stia...

  • Proofpoint
    Falsi aggiornamenti del browser per distribuire malware

    Proofpoint  sta controllando almeno quattro cluster di minacce distinte che si basano su falsi aggiornamenti del browser per distribuire malware. Questi falsi update si riferiscono a siti web compromessi che mostrano quella che sembra essere una notifica...

  • Proofpoint
    Cybersecurity in sanità: aumenta il costo medio totale di un attacco IT

    Proofpoint e Ponemon Institute hanno pubblicato i risultati della loro seconda ricerca annuale sugli effetti della cybersecurity nel settore sanitario. Il report “Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care 2023” ha...

  • Proofpoint
    Proofpoint: nuova campagna di TA544

    I ricercatori di Proofpoint  segnalano una nuova campagna di TA544 rivolta agli utenti italiani, che distribuisce il malware Ursnif. Questo gruppo ha già distribuito il malware bancario in campagne ad alto volume per diversi anni. Proofpoint ha...

Scopri le novità scelte per te x