Il panorama delle minacce è da sempre in costante evoluzione, ma nell’ultimo decennio ciò è avvenuto a un ritmo diverso rispetto al passato. Le minacce odierne si concentrano molto meno sulle infrastrutture e molto più sulle persone.
Ma non è tutto. Mentre prima non era insolito che gli attacchi informatici fossero eventi a sé stanti, oggi presentano quasi sempre più fasi. Più in particolare, la maggior parte delle minacce moderne segue lo stesso schema: compromissione iniziale, movimento laterale e impatto.
Se da un lato questo è potenzialmente più dannoso, dall’altro offre ai team addetti alla sicurezza maggiori opportunità di individuare e bloccare gli attacchi informatici. Utilizzando misure di protezione nei punti chiave della catena d’attacco, possiamo ostacolare i criminali informatici e impedire loro di ottenere il ritorno economico che desiderano.
Come in una partita a scacchi, occorre innanzitutto comprendere la prima mossa: in che modo gli autori delle minacce cercano di dare scacco al re, ossia di accedere alle reti e ai dati delle aziende che prendono di mira? E in che modo è possibile tenerli alla larga?
Comprendere il piano degli hacker
Il parallelismo con gli scacchi può essere utilizzato anche per l’analisi delle recenti evoluzioni del panorama delle minacce, in cui i metodi di attacco si adattano alle nostre tattiche difensive. Un esempio è quello dell’autenticazione a più fattori (MFA).
Negli ultimi anni, i professionisti della sicurezza hanno puntato sull’MFA per proteggere gli account e salvaguardare le credenziali. In risposta a ciò, gli autori delle minacce hanno sviluppato metodi di spoofing per aggirare queste misure di protezione e sfruttarle a proprio vantaggio, tanto che oggi il bypass dell’autenticazione a più fattori è estremamente comune nell’ambito degli attacchi di phishing diretti alle aziende. Sempre più spesso, i criminali informatici acquistano kit pronti all’uso che consentono loro di utilizzare tattiche adversary-in-the-middle (AiTM) per intercettare informazioni e sottrarre credenziali.
Abbiamo inoltre assistito a un aumento nell’utilizzo di altri metodi attivati dalla persone, come l’esecuzione di attacchi tramite telefonate (TOAD). Questo strategia combina tecniche di phishing vocale e tramite email per indurre le vittime a rivelare informazioni sensibili, come le credenziali di accesso o i dati finanziari.
Indipendentemente dal metodo utilizzato, il risultato desiderato in questa fase è lo stesso: i criminali informatici cercano di penetrare le difese aziendali per poter eseguire la fase successiva del loro attacco. È per questo motivo che la prima mossa è un elemento critico nel ciclo di vita di una minaccia informatica.
Gli autori delle minacce sanno bene come evitare di essere intercettati una volta ottenuto l’accesso alle reti. Sanno come nascondersi in piena vista spostandosi lateralmente e aumentando i privilegi. Quindi, se questa fase dell’attacco ha successo, le aziende si trovano di fronte a un problema enorme. La buona notizia, però, è che più comprendiamo le tattiche utilizzate dai criminali informatici di oggi, più possiamo adattare le nostre difese per bloccare un attacco potenzialmente molto dannoso prima che sia troppo tardi.
Contrastare la prima mossa
La migliore opportunità che abbiamo per fermare i criminali informatici è prima e durante la violazione iniziale. Imparando a contrastare la prima mossa, possiamo tenere gli hacker al loro posto, ovvero fuori dal nostro perimetro.
Non sorprende che, nella fase iniziale, la maggior parte delle violazioni prenda di mira le caselle di posta elettronica. Quindi, più riusciamo a bloccare le email dannose prima che raggiungano il nostro personale, meglio è.
Non esiste una soluzione a prova di bomba, ma la sicurezza delle email basata sull’intelligenza artificiale (AI) è quanto vi si avvicina di più. Proofpoint Email Protection è l’unica soluzione di protezione dalle minacce basata sull’AI e sul machine learning in grado di neutralizzare gli attacchi avanzati di oggi.
Proofpoint Email Protection utilizza miliardi di dati per rilevare e bloccare le violazioni delle e-mail aziendali (BEC), il phishing, il ransomware, gli attacchi alla supply chain e molte altre minacce. Inoltre, correla le informazioni di threat intelligence ai dati di email, cloud e reti per consentire alle aziende di essere sempre un passo avanti rispetto alle minacce nuove e in evoluzione che prendono di mira il personale.
La realtà, tuttavia, è che nessuna difesa è del tutto impenetrabile. I team addetti alla sicurezza devono partire dal presupposto che alcune minacce raggiungeranno la casella di posta elettronica aziendale. E quando ciò avverrà, il personale deve essere preparato.
Per adottare questa linea di difesa fondamentale è necessaria una visibilità completa su chi viene preso di mira all’interno dell’organizzazione, oltre che quando, dove e come avviene l’attacco. Una volta identificate le persone più attaccate (ovvero le Very Attacked People™, o VAP), è necessario valutare chi è più vulnerabile. Potrebbe trattarsi di utenti con privilegi maggiori oppure di altri che hanno difficoltà a completare la formazione sulla sicurezza o che non superano le simulazioni di phishing.
Tutte queste informazioni possono aiutare ad adattare le misure di difesa e a concentrarle dove sono più necessarie. Proteggere i dipendenti e le relative caselle di posta elettronica e offrire loro una formazione specifica sulla sicurezza, che permetta di modificare i comportamenti a rischio, significa essere in una buona posizione per difendere la pedina più importante: il re.
Tuttavia, la sicurezza informatica, proprio come gli scacchi, è un gioco di mosse e contromosse, e possono essere necessari più tentativi prima di arrivare allo scacco matto. Ecco perché è fondamentale proteggere le reti e i dati aziendali sin dalla prima mossa e fino al termine della partita.
Ti è piaciuto questo blog?
Per saperne di più su come interrompere la catena d’attacco e proteggere i dipendenti con una sicurezza incentrata sulle persone, guarda il webinar completo: “Interrompere la catena d’attacco parte 1: la prima mossa”.
Scopri di più su Proofpoint Email Protection e non perdere l’appuntamento della settimana prossima relativo all’interruzione della seconda fase della catena d’attacco: il movimento laterale e l’escalation dei privilegi.