Continuiamo a usare il termine “people-centric” per descrivere il panorama delle minacce moderne e lo stile di difesa necessario per proteggersi da esse. In realtà, l'identità viene ora utilizzata dai cybercriminali per favorire i loro guadagni. Seguendo uno schema ben definito, o una "catena di attacco".

Gli attori delle minacce iniziano a prendere di mira le persone attraverso diversi attacchi, come le email di phishing delle credenziali e l’invio di malware. In questo modo, non hanno bisogno di impegnarsi per violare i numerosi livelli di difesa di un’organizzazione. Una volta compromesso un dipendente, un account, un’identità, hanno raggiunto il loro scopo: la utilizzano per muoversi lateralmente all'interno e raggiungere i loro obiettivi di distribuzione di ransomware o di esfiltrazione dei dati. In altre parole, l’identità rappresenta la nuova superficie di attacco e, in ultima analisi, il nuovo perimetro.

Come possono le aziende proteggere questo perimetro, evitare il furto di identità e interrompere la catena di attacco? Il modo più efficace è ovviamente quello di spezzarne il primo anello: la compromissione iniziale.

Luca Maiocchi, Country Manager di Proofpoint

Tutto inizia con una email

L’email rimane il vettore di minaccia numero uno per i criminali informatici, e non è una novità. Un tentativo di phishing riuscito offre loro accesso a sistemi e dati aziendali. Il phishing è in aumento anche nel nostro paese. Tra le aziende italiane che hanno subito tentativi di attacchi di questo tipo lo scorso anno, il 79% ne ha registrato almeno uno di successo, con il 7% che ha riportato perdite finanziarie dirette come danno.

Se si considerano le tipologie di phishing che possono potenzialmente garantire l’accesso iniziale ai criminali informatici, gli attacchi BEC (Business Email Compromise) sono una minaccia in rapida crescita. Il 51% delle organizzazioni italiane ha segnalato un tentativo di attacco BEC lo scorso anno e rappresenta una delle principali preoccupazioni per il 26% dei CISO italiani nei prossimi 12 mesi, subito dopo gli attacchi alla supply chain (30%).

Gli attacchi BEC sono anche uno dei vettori di attacco via email più dannosi dal punto di vista economico: l’FBI ha riferito che le perdite finanziarie sono aumentate di quasi il 50% negli ultimi due anni. In questi attacchi, gli attori delle minacce spesso fingono di essere entità esterne fidate e spesso utilizzano account compromessi di fornitori o partner fidati per infiltrarsi. In entrambi i casi, l’obiettivo finale è quello di indurre un dipendente a credere che l’email provenga da qualcuno che conosce o si aspetta di ricevere.

Un’altra minaccia molto diffusa che generalmente accede in azienda attraverso un’email inviata a un dipendente è il ransomware, una delle più temute, perché possono paralizzarne le operazioni. Quello che spesso inizia con un semplice clic su una email o un link all’apparenza innocuo può portare all’interruzione completa delle attività fino al pagamento del riscatto.

Anche il ransomware è molto diffuso anche in Italia. Il Report State of the Phish 2023 di Proofpoint ha rivelato che il 63% delle organizzazioni italiane ha subito un tentativo di attacco ransomware nell’ultimo anno, per il 44% purtroppo di successo e solo il 38% ha riacquisito l’accesso ai propri dati dopo aver effettuato il pagamento del riscatto iniziale.

Questo ci fa capire perché la sicurezza delle email sia fondamentale. Grazie a una combinazione tecnica di regole per i gateway di posta elettronica, analisi avanzata delle minacce, autenticazione delle email e visibilità sulle applicazioni cloud, le aziende possono bloccare la maggior parte degli attacchi mirati prima che raggiungano i dipendenti.

Interrompere la catena di attacco

Gli attaccanti continueranno ad affidarsi alla stessa tecnica: prendere di mira i dipendenti con una email, nel tentativo di penetrare all’interno di un’organizzazione e spostarsi poi lateralmente, arrecando il maggior danno possibile. È una tecnica consolidata perché, semplicemente, funziona e continuerà a farlo a meno che le aziende non decidano di attivarsi per spezzare il primo anello della catena di attacco e bloccare la compromissione iniziale.

È qui che una solida strategia di sicurezza delle email diventa fondamentale.

Il modo migliore per evitare che i dipendenti siano vittime di minacce provenienti dalla posta elettronica è di impedire loro di raggiungere le caselle di posta. Le aziende devono riconoscere la necessità di una forte sicurezza della posta elettronica, personalizzando la protezione dei propri dipendenti non solo prima di un attacco, ma anche durante e dopo. Nel caso in cui il livello iniziale di difesa venga compromesso, è necessario disporre degli strumenti efficaci per rispondere istantaneamente e rimediare in tempi brevi. La chiave è la resilienza. Non si sarà forse in grado di fermare ogni minaccia, ma si potrà ostacolare raggiungimento dell’obiettivo di un attacco.

In questo senso, le persone ricoprono un ruolo fondamentale e più saranno preparate sugli attacchi che potrebbero subire e come procedere in caso accadessero, più sarà probabile che siano in grado di bloccarli.

Luca Maiocchi è Country Manager di Proofpoint