Sei idee sbagliate comuni sulla sicurezza informatica in azienda

La sicurezza informatica costa. Finché i sistemi e le infrastrutture IT funzionano, spesso è difficile investire le risorse necessarie per ridurre i rischi e garantire un funzionamento regolare in futuro, ossia per stabilire la resilienza informatica. Se le aziende sottovalutano sistematicamente il loro rischio informatico, ciò è dovuto a diverse idee sbagliate. Di seguito analizziamo sei delle idee sbagliate più comuni.

Ipotesi 1: riguarda comunque solo gli altri

"La nostra azienda non è abbastanza interessante per un attacco informatico. Questa valutazione è tutt'altro che rara. Purtroppo la realtà è completamente diversa. Le statistiche mostrano che ben il 99% di tutti i casi di danni informatici sono dovuti ad attacchi che non erano affatto mirati. In altre parole, la stragrande maggioranza degli attacchi è di tipo spray-and-pray. I criminali informatici lanciano un tentativo di attacco generale senza un obiettivo specifico. Poi aspettano semplicemente di vedere quali aziende o organizzazioni, ad esempio, hanno successo con la mail contenente il link di phishing. Purtroppo, per molte aziende, l'ostacolo di una compromissione iniziale dell'IT non è abbastanza alto per resistere a questi attacchi nel lungo periodo. Questo fa il gioco degli attaccanti. Soprattutto se hanno interessi principalmente finanziari e vogliono ricattare l'azienda, ad esempio criptandola con un crypto-Trojan o un ransomware. In questo caso, l'approccio spray-and-pray è solitamente il più redditizio per i criminali informatici. Questo significa a sua volta che ogni azienda è una potenziale vittima. Gli attacchi a sfondo politico sono chiaramente distinti da questo: in questo caso, il successo è in ultima analisi solo una questione di uomini disponibili, perché in un attacco a sfondo ideologico, le considerazioni sui costi-benefici monetari giocano un ruolo del tutto subordinato. In questi casi, vengono utilizzati più frequentemente anche gli attacchi zero-day, che sfruttano le vulnerabilità di sicurezza del software non ancora note al pubblico. Con un exploit zero-day, l'attaccante gioca un jolly, per così dire. Perché quando il nuovo metodo di attacco diventa pubblico grazie al suo utilizzo, questo vettore di attacco viene in ultima analisi bruciato perché i produttori di software lanciano gli aggiornamenti di sicurezza corrispondenti.

Ipotesi 2: gli attacchi provenienti dalla catena di fornitura non giocano un ruolo importante

In effetti, gli attacchi alla catena di approvvigionamento sono in aumento. In questa classe di attacchi informatici, le soluzioni software, i dispositivi o le macchine fornite a un'azienda e utilizzate per le sue attività commerciali fungono da vettori di attacco. Ad esempio, la vulnerabilità Log4j, divulgata nel dicembre 2021, era una vulnerabilità zero-day in una libreria di registrazione Java. Log4j viene utilizzato per creare e memorizzare informazioni di log da software, applicazioni e dispositivi hardware. Tuttavia, poiché Log4j è talvolta profondamente incorporato in molte soluzioni diverse, in migliaia di istanze, una semplice scansione delle vulnerabilità non è sufficiente a identificare tutte le istanze vulnerabili. In generale, anche il software open source non è immune da vulnerabilità di sicurezza. Ad esempio, nell'ambito di uno studio, un professore dell'Università del Minnesota è riuscito a infiltrare delle vulnerabilità nel kernel di Linux. Per farlo, lui e uno dei suoi studenti hanno finto di fornire correzioni di bug alla comunità Linux. L'obiettivo dell'azione controversa era dimostrare quanto possano essere vulnerabili i progetti open source. Una vulnerabilità di sicurezza nel kernel Linux è potenzialmente così grave perché Linux è molto diffuso. Oggi è presente nei server e negli smartphone, ma anche in un'ampia gamma di dispositivi incorporati, dalle automobili alle case intelligenti, fino alle macchine. Con la crescente digitalizzazione della nostra economia e delle nostre vite, anche i dispositivi in rete possono diventare una porta d'accesso per i criminali informatici. Ad esempio, una catena di supermercati è stata violata quando gli aggressori hanno scelto come vettore di attacco gli scaffali refrigerati intelligenti dei negozi. Lo stesso rischio esiste per i dispositivi collegati in rete nel settore delle case intelligenti. Rappresentano inoltre potenziali punti di attacco, un serio rischio di reputazione per il produttore o il distributore del dispositivo. Sia nel settore privato che in quello commerciale, è quindi necessario un approccio molto più consapevole al software installato e ai dispositivi acquistati. Nell'industria manifatturiera, ad esempio, dove una macchina può avere un ciclo di vita di diversi decenni, prima o poi sono disponibili solo misure di mitigazione per ridurre i rischi di sicurezza. Questo perché i produttori non esistono più o non forniscono più patch di sicurezza dopo alcuni anni. Pertanto, a volte l'unica opzione rimasta è quella di isolare la macchina dal resto della rete e accettare il rischio residuo. In sostanza, sarebbe negligente per un'azienda scaricare la responsabilità della propria sicurezza informatica interamente sui fornitori. Le minacce provenienti dalla catena di approvvigionamento sono oggi reali e comuni. Le aziende hanno quindi bisogno non solo di un'adeguata consapevolezza dei rischi, ma anche di esperti che le supportino nella creazione di un'efficace resilienza informatica.

Ipotesi 3: I nostri dipendenti hanno già una sufficiente consapevolezza della sicurezza.

Troppo spesso il comportamento negligente dei dipendenti è ancora una comoda porta d'accesso per i criminali informatici all'interno dell'azienda. Creare e mantenere un'adeguata consapevolezza dei rischi è un elemento fondamentale per la sicurezza informatica, la cui importanza non dovrebbe mai essere sottovalutata da un'azienda. Solo se sono consapevoli del pericolo, i dipendenti eviteranno sistematicamente, ad esempio, di passare le password al telefono o di cliccare incautamente su un link dubbio in un'e-mail. A volte il potenziale pericolo è anche una conseguenza diretta del lavoro quotidiano. I dipendenti del reparto risorse umane, ad esempio, aprono quasi ogni giorno le applicazioni senza sapere se il CV digitale contenga o meno codice nocivo. Lo stesso vale per i PDF delle fatture nella casella di posta del reparto contabilità. Per questo motivo le aziende hanno bisogno di misure tecniche contro questi attacchi. Ma è altrettanto importante ridurre la probabilità di successo dei tentativi di phishing creando consapevolezza dei pericoli degli attacchi di social engineering in generale. Per ingegneria sociale si intende che gli aggressori utilizzano l'inganno per ottenere dati o accessi non autorizzati. I metodi della psicologia umana vengono utilizzati in modo improprio per manipolare i dipendenti e convincerli a trasmettere informazioni o a compiere determinate azioni, come il fatidico clic sul link nell'e-mail di phishing o la menzione della password al presunto personale di supporto al telefono.

Ipotesi 4: la portata di questo controllo di sicurezza è già sufficiente.

Mettere alla prova la sicurezza informatica dell'azienda attraverso test di penetrazione è un elemento importante per lo sviluppo della resilienza informatica. Tuttavia, se l'ambito del pentest è troppo ristretto, si ottiene poco. Questo crea una presunta sensazione di sicurezza. Un esempio tipico è l'esclusione di alcuni sistemi, come quelli che sono alla fine del loro ciclo di vita, perché saranno comunque presto spenti o sostituiti. Tuttavia, se non sono stati spenti, sono proprio questi vecchi sistemi a offrire spesso il vettore di attacco più allettante. Un altro esempio: sul server che esegue un'applicazione Web da controllare, è in esecuzione anche un servizio FTP, che consente di compromettere completamente il server - ma tutti i servizi, tranne l'applicazione Web, sono esclusi dal controllo. Allo stesso modo, capita che un istituto finanziario, ad esempio, scelga l'ampiezza della propria revisione solo nella misura in cui è richiesta dalla normativa e ufficialmente. Anche in questo caso, il risultato sarebbe una finta sicurezza ingannevole. Per essere veramente significativi, i pentest non devono essere rivolti solo a una sezione dell'IT aziendale. Piuttosto, devono essere progettati in modo olistico. Dopo tutto, l'obiettivo di un test di penetrazione non è solo quello di dare al management una sensazione positiva sulla sicurezza informatica, ma è quello di identificare le reali lacune di sicurezza e i potenziali vettori di attacco, in modo da poterli correggere prima che vengano sfruttati dagli aggressori criminali.

Ipotesi 5: i test di penetrazione possono essere eseguiti dal reparto IT in modo indipendente.

Nella maggior parte delle aziende, i pentest non possono essere un compito interno. Dopo tutto, gli amministratori IT hanno soprattutto una cosa da fare: devono garantire che i sistemi dell'azienda funzionino in modo affidabile. Di norma, il team amministrativo lavora già al 100, se non al 120% delle sue capacità con i suoi compiti operativi. Inoltre, i test di penetrazione richiedono competenze altamente specializzate e all'avanguardia.Si tratta di qualcosa che il reparto IT di solito non ha a disposizione. È importante che il management capisca che un pentest non è qualcosa che può essere fatto semplicemente a margine. Allo stesso tempo, il personale IT interno deve rendersi conto che un audit di sicurezza non serve a screditare il proprio lavoro di cybersecurity, ma a rafforzarlo. Un test di penetrazione significativo non sarebbe nemmeno fattibile con risorse interne, perché mancano il know-how e il tempo. La situazione è diversa solo se l'azienda è abbastanza grande da potersi permettere un Red Team dedicato - gli attaccanti - per pentest più o meno continui. A questa squadra rossa si contrappone una squadra blu dedicata ai difensori. Ma anche un team Red dedicato può talvolta trarre grande beneficio dal supporto esterno di hacker etici.

Ipotesi 6: i nostri backup ci salvano in caso di emergenza

Poco più di cinque anni fa, questa affermazione poteva essere vera. Oggi non lo è più, non in tutti i casi. Bisogna tenere presente che la qualità del malware è aumentata in modo significativo. I Crypto-Trojan che criptano i dati aziendali a scopo di ricatto non lo fanno più immediatamente. Ora esiste un ransomware che si annida nei backup di un'azienda e li distrugge gradualmente. Solo mesi dopo, quando il backup è diventato inutilizzabile, il crypto-Trojan si mette a criptare i dati dell'azienda e inizia il vero e proprio ricatto. Ecco perché oggi è importante, Backup in primo luogo, proteggerli dal malware con concetti di protezione adeguati e, in secondo luogo, controllarli regolarmente. In caso di emergenza, si può fare affidamento solo su un backup che può essere effettivamente creato. Le aziende devono quindi testare, praticare e provare regolarmente il loro disaster recovery. E se un'azienda cripta il proprio backup per motivi di sicurezza: La stessa chiave di backup è un possibile punto di attacco, perché i criminali informatici possono ovviamente criptare anche la chiave di backup dell'azienda. Il backup sarebbe di nuovo inutilizzabile e il tentativo di ricatto attraverso la crittografia dei dati dell'azienda potrebbe iniziare. Per questo motivo è importante che le aziende conservino offline le chiavi crittografiche di backup e documentino offline anche la formazione per il ripristino di emergenza.

Conclusione: dalla cybersicurezza alla resilienza informatica

Il pericolo di attacchi informatici non è diminuito, anzi. Se un'azienda volesse dedurre da un passato che è andato liscio che sarà al sicuro dalla criminalità informatica anche in futuro, questa sarebbe forse l'idea sbagliata più grave di tutte. L'affidabilità operativa dell'IT può essere stabilita solo se un'azienda stabilisce, mantiene e sviluppa ulteriormente la propria resilienza informatica con concetti e misure adeguati e olistici. In ogni caso, vale la pena di affrontare questo problema, perché il danno economico in caso di emergenza pesa molte volte di più dell'investimento previdente nella sicurezza informatica. Come in medicina, anche in materia di sicurezza informatica prevenire è meglio che curare. Autori: Michael Niewöhner e Daniel Querzola sono entrambi manager e penetration tester di Consulenza Ventum, Monaco  

Questo articolo è apparso originariamente su m-q.ch - https://www.m-q.ch/de/sechs-gaengige-fehlannahmen-zur-cybersecurity-im-unternehmen/