Sono in questo ambiente ormai da anni e sto vedendo sempre di più la situazione legata alla sicurezza informatica peggiorare. E’ vero che quotidianamente  si sviluppano attacchi sempre più sofisticati ma molto sovente le intrusioni e i breach sfruttano vulnerabilità già note da parecchio tempo. Inoltre sappiamo bene che gli attaccanti, prima di sferrare il colpo decisivo all’interno di un’infrastruttura, si fermano indisturbati per parecchi mesi.

Gli attacchi, che siano ransomware  o esfiltrazioni di informazioni sensibili sono all’ordine del giorno e sono cresciuti in maniera impressionante nell’ultimo anno, come ci rivela il nuovo rapporto Clusit 2021:

“Rispetto al secondo semestre 2020, in termini assoluti nel 1° semestre 2021 la crescita maggiore nel numero di attacchi gravi si osserva verso le categorie “Transportation / Storage” (+108,7%), “Professional, Scientific, Technical” (+85,2%) e “News & Multimedia” (+65,2%), seguite da “Wholesale / Retail” (+61,3%) e “Manufacturing” (+46,9%). Aumentano anche gli attacchi verso le categorie “Energy / Utilities” (+46,2%), “Government” (+39,2%), “Arts / Entertainment” (+36,8%) ed “Healthcare” (+18,8%).”

Ultimamente i ransomware utilizzano anche il metodo della doppia estorsione. In primis infettano e criptano i dati per chiedere il riscatto. Se poi l’azienda riesce in qualche modo (Backup offline o su cloud su storage immutabile) a restorare i dati, minacciano di rendere pubblici i documenti e/o mettere all’asta i dati per forzare le loro vittime a pagare.

I backup quindi rimangono necessari ma non possono da soli essere sufficienti ed è fondamentale intercettare la minaccia prima che si verifichi attraverso una protezione stratificata che blocchi e rilevi su più punti possibili la catena d’infezione, combinando tecnologia e attività specifiche di controllo.

Occorre mantenere sempre alta l’attenzione, monitorando il proprio ambiente di giorno ma anche fuori dagli orari di lavoro, nei week-end o durante le festività. Le aziende devono utilizzare strumenti (anche di Intelligenza artificiale) che li aiutino a capire cosa sta succedendo nella propria rete per individuare le eventuali anomalie o dei comportamenti diversi dal solito compiuti dagli utenti.

Esistono anche vari tools gratis (es.  Netwrix) per effettuare un controllo efficace della propria infrastruttura.

Riporto una serie di buone pratiche da seguire a per un’azienda che nel nostro presente, a mio avviso, DEVE mantenere adeguata la sicurezza informatica:

  • Formazione, formazione e ancora formazione;
  • proteggere le identità;
  • adottare una mentalità basata sulla prevenzione;
  • usare l’autenticazione multifattore (MFA) per tutti I servizi supportati o adottati;
  • utilizzare, quando possibile, metodi passwordless
  • effettuare scansioni della rete dall’esterno per identificare e chiudere le porte comunemente utilizzate come VNC, RDP o altri tool per l’accesso remoto;
  • segmentare la rete per separare i server critici dalle workstation e secondo modelli di rete zero trust;
  • mantenere i backup aggiornati, assicurandone il recupero e conservandone delle copie offline;
  • accertare per la sicurezza che tutti i prodotti siano configurati correttamente e inventariare asset e account;
  • eseguire audit regolari su tutti gli account presenti in Active Directory;
  • mantenere sempre aggiornati i sistemi operativi e i software con patch e update correttamente applicati;
  • valutare l’implementazione sugli apparati di sicurezza degli indicatori di compromissione (IoC) disponibili su GitHub
  • implementare le difese già integrate e native dei sistemi operativi (Windows 10/11)
  • Riflessione sulla cybersecurity
    Sharing post