Il ponte dell'immacolata, le festività natializie: siamo ufficialmente entrati nel periodo dell'anno che tutti amano per la possibilità di trascorrere più tempo in famiglia, prendendosi qualche giorno di ferire. Il guaio è che queste date sono segnate anche sul calendario dei cyber criminali, che non le aspettano per andare in vacanza, ma per colpire le proprie vittime. Notoriamente i fine settimana e le festività sono il momento migliore per attaccare una rete aziendale, perché le aziende spesso lavorano con un team ridotto, e c'è più tempo per diffondere l’attacco.

Non è un caso che l'attacco devastante a Kaseya si sia verificato il 4 luglio, quando negli USA i lavoratori celebravano l'Indipendence Day. E il caso è tutt'altro che isolato: Colonial Pipeline è stata attaccata nel fine settimana in cui si celebrava la festa della mamma, JBS nel Memorial Day. Lo stesso attacco alla Regione Lazio e a molti comuni italiani sono avvenuti nel fine settimana. È proprio alla luce di questa costante che FBI e CISA (Cybersecurity and Infrastructure Security Agency) hanno già avvertito di pericoli simili dopo gli attacchi su larga scala di quest’anno negli Stati Uniti.

Lavorare a ranghi ridotti è la norma, ma meno personale comporta una capacità inferiore di monitoraggio e un'opportunità maggiore di successo per gli attaccanti, che possono distribuire un ransomware prima che qualcuno se ne accorga, rendere più complessa la response e di conseguenza ostacolare la remediation. Tutto questo alza la probabilità che la vittima paghi il riscatto.

Marco Fanuli, Security Engineer Team Leader di Check Point Italia, rimarca che “i weekend lunghi creano le perfette condizioni per gli hacker. È necessario prendere in considerazione il fatto che, in quei momenti, tutto è ‘paralizzato’, così una volta che i criminali hanno accesso alla rete, c'è molto più tempo per estendere l'attacco e raggiungere un gran numero di computer e i loro dati. Questo è uno dei motivi per cui è essenziale avere una buona strategia di prevenzione”.

In che cosa consiste la strategia di prevenzione? Nell'adottare strumenti capaci di svolgere un'attività proattiva, monitorando gli indicatori di attacco (IoA) relativi a tutti i processi, tecnologie, sistemi e persone. Una declinazione pratica di questo concetto è l'adozione di una strategia Zero Trust, in cui nessun dispositivo, utente, workflow o sistema dovrebbe essere sicuro per default. Attivarlo signifca bloccare i sistemi e isolarli fino a quando non viene stabilito un livello di fiducia adeguato, che siano essi in funzione all'interno o all'esterno del primetro aziendale.

L'altro passo fondamentale è formare i dipendenti in modo che siano in grado di identificare ed evitare possibili attacchi. Un messaggio di social engineering che incoraggia l'utente a cliccare su un link pericoloso è sufficiente. La formazione è spesso considerata una delle difese più importanti che possono essere impiegate. Terzo e ultimo consiglio è proteggere i dispositivi mobile affinché ogni prodotto che si connette alla rete abbia le misure di sicurezza appropriate.