Mentre ci adattiamo al lavoro da remoto, i team di sicurezza si trovano ad affrontare una sfida molto seria: da un giorno all'altro le aziende sono cambiate e hanno dovuto riesaminare e riscrivere procedure da tempo consolidate, ripensare rapidamente le pratiche ed estendere le policy fino a un punto prossimo alla rottura.

Per la sicurezza, qualunque trasformazione aziendale rappresenta un rischio, perché l’introduzione di nuove tecnologie e modalità di lavoro comportano per natura l’attuazione di nuove misure di protezione; un rischio, però, che in situazioni normali può essere gestito con cura, prendendosi il tempo necessario per farlo. Il Covid-19 non ci ha concesso questo lusso e, per molte aziende, la velocità e la portata e del cambiamento sono state incredibili e senza precedenti. Tutto questo è avvenuto alla luce del giorno, il che per i potenziali aggressori ha significato avere la piena consapevolezza della situazione in atto e di come poterla sfruttare fin dall’inizio.

Di seguito ho voluto citare alcune delle minacce più gravi che a mio avviso i team di sicurezza devono affrontare in queste complicate settimane.

L’email scam

Il cambiamento ha portato novità e le novità offrono opportunità ai truffatori. All’inizio della pandemia, i team di sicurezza si sono adoperati per lanciare nei tempi più brevi possibili strumenti di lavoro a distanza essenziali, collegamenti per scaricare il software, modifiche al modo in cui ci si autenticava ai servizi. In quel momento, davanti a una situazione del tutto inaspettata, la formazione dei dipendenti sull'individuazione dei pericoli legati al social engineering sicuramente è stata dimenticata in un cassetto.

Fioccavano chiamate e richieste impreviste che avrebbero potuto innescare la bomba: "Ciao, sto chiamando dall'IT, puoi per favore leggermi il tuo codice di autenticazione per confermare che sei stato trasferito al nuovo sistema Duo?". "Ciao, ho dimenticato la mia password Office 365, puoi per favore inviare un codice di reimpostazione al mio Gmail personale?". A volte queste richieste sono legittime e l’IT si trova a dover risolvere il problema al di fuori dei normali canali, ma l’invito è sempre quello a essere cauti davanti a queste richieste precipitose e applicare il buon senso, in modo da confermare solo quelle valide e definire il supporto adeguato.

Nell’ambito delle truffe via email, sono molte anche le opportunità per gli attacchi di spear phishing dove i malintenzionati si fingono clienti o partner: “Ciao John, dato che lavoriamo da casa devo riprogrammare la nostra call. Ti giro un nuovo invito….Join Zoom Meeting. " Si tratta di rischi che saranno ulteriormente aggravati da una simultanea riduzione dei controlli di sicurezza, proprio con l’obiettivo di facilitare l'utilizzo di software non standard per le conferenze Web e la condivisione di file via email. In questo modo chi vorrà sferrare attacchi avrà sia l'opportunità che i mezzi per farlo.

La riduzione dei controlli

L’attenuarsi dei controlli di sicurezza va ben oltre l’allentamento delle regole del firewall e delle policy email. Molte regole di sicurezza esistenti, infatti, non si applicano a chi lavora da remoto. Da questo punto di vista, i dipendenti che hanno portano improvvisamente a casa il proprio pc e hanno sostituito la rete dell'ufficio con il Wi-Fi di casa si troveranno privati di molte protezioni. Senza proxy Internet, NAC, IDS e NGFW, i dispositivi client saranno ora esposti su reti potenzialmente non sicure, insieme a molti altri dispositivi potenzialmente compromessi. In futuro, quindi, sarà la sicurezza degli endpoint a dover sopportare la massima protezione.

Anche la sicurezza della rete interna potrebbe venire compromessa con maggiore facilità quando i dipendenti hanno bisogno di accedere a risorse precedentemente accessibili solo su una rete cablata in un luogo specifico. Per rendere accessibili tali risorse tramite VPN, potrebbe essere necessario livellare la segmentazione interna e, in questo modo rischiare di aprire una porta alla diffusione del malware e al movimento laterale.

Potrebbe anche essere necessario disattivare l'autenticazione del certificato del client per la protezione dei servizi Web in modo da consentire ai dipendenti che non dispongono di un laptop aziendale l’utilizzo del proprio dispositivo personale. Un’altra procedura pericolosa, che dimostra come queste modifiche debbano essere scrupolosamente valutate, registrate e comprese, considerando le reciproche dipendenze.

Il peso extra dovrà essere spostato altrove: ad esempio, pensando di rafforzare le policy antivirus dell'host per compensare la mancanza di protezione della rete, oppure riconfigurare i dispositivi dei dipendenti per utilizzare un provider DNS esterno sicuro anziché un server DNS on-premise.

Gli attacchi all’infrastruttura

Oltre all'indebolimento dei controlli esistenti, la realizzazione di nuove infrastrutture comporta anche nuovi rischi, come dimostrato dalla serie di attacchi subiti dall'infrastruttura Citrix sul web a gennaio. Le aziende, infatti, implementano rapidamente gateway VPN, passando a Sharepoint e ampliando il proprio perimetro su Internet. Questa superficie in rapida espansione rappresenta un potenziale obiettivo che deve essere monitorato e protetto.

I team di sicurezza dovrebbero mantenere alto il livello di allerta, considerando in particolare gli attacchi brute force e lato server. Anche la protezione dai DDoS diventerà più importante che mai; per alcune aziende, per la prima volta, sarà proprio un attacco DDoS a paralizzare la loro attività impedendo ai lavoratori in remoto di accedere ai servizi su Internet. Assisteremo sicuramente a una brusca crescita di entrambe queste forme di minaccia.

Errori e soluzioni creative

"Inseriscilo in un bucket S3", "Utilizziamo invece join.me", "Ti invierò tutto tramite WeTransfer". Sia l'IT, sia i singoli dipendenti si trovano spesso a escogitare scorciatoie per aggirare i blocchi. In questo momento non troveranno una soluzione autorizzata per tutte le proprie necessità, e tali esigenze potrebbero essere estremamente urgenti.

In un momento in cui le aziende guardano con ansia alla propria posizione finanziaria e alla capacità di operare, crescono le richieste di mantenere elevata l’attenzione rispetto al mutare delle condizioni e proteggere il proprio business perché possa operare “as usual”. Si tratta di richieste che spesso vengono anche dall’alto e i responsabili della sicurezza si trovano a dover fare il possibile per respingere le decisioni avventate e fornire soluzioni creative.

I dipendenti, mossi da buone intenzioni, adotteranno misure creative e la responsabilità sarà delegata ai team leader che dovranno “chiudere un occhio” e lasciar fare quello che serve. Alla fine, per chi si occupa della security potrebbe risultare impossibile sorvegliare tutto questo centralmente, ma sarà comunque necessario monitorare e individuare comportamenti rischiosi e non autorizzati. Una analisi più facile a dirsi che a farsi, perché ai SOC verrà chiesto di monitorare gli incidenti in un mare di cambiamenti. I casi d'uso e le regole esistenti non verranno applicati e le aziende avranno bisogno di un approccio maggiormente proattivo e dinamico sia al rilevamento sia alla risposta.

Minacce dall’interno e coinquilini dannosi

Sfortunatamente, ci saranno anche alcuni in azienda che metteranno il coltello nella piaga perché l'improvviso lavoro a distanza rappresenta una manna per eventuali malintenzionati che operano in azienda e che ora possono prelevare i dati facilmente da un dispositivo aziendale salvandoli su una chiavetta USB nella privacy della propria casa. Allo stesso modo, il monitoraggio della sicurezza può essere interrotto o disabilitato; un rischio che potrebbe non essere eliminabile, ma può essere bilanciato dalla necessità di garantire la produttività e avere accesso ai dati.

Dovremmo anche fare attenzione a coloro che ci circondano perché, dal punto di vista dell'azienda, le case dei dipendenti sono ambienti “zero-trust”. Le conversazioni private possono ora essere ascoltate anche da altri, la proprietà intellettuale è visibile sullo schermo del salotto; questo rischio è ancora maggiore per i lavoratori più giovani, che magari condividono la casa con altri inquilini, ma rimane un aspetto da valutare un po’ per tutti, considerando la delivery a casa, eventuali visitatori o anche la possibilità che il laptop venga rubato dal tavolo della cucina. L'istruzione dei dipendenti considerando particolari gruppi a rischio sarà fondamentale.

Trovare la rotta giusta in un mare di cambiamenti digitali

Stiamo entrando in un periodo di incertezza per il mondo digitale, in cui il cambiamento sarà la nuova normalità e rischi come quelli che ho elencato contribuiranno a creare un incubo per chi si occupa del monitoraggio della sicurezza nei SOC. I flussi di dati e la loro distribuzione cambieranno, verranno implementate nuove tecnologie e servizi. I formati di logging saranno diversi e casi d'uso SIEM, che in passato richiedevano 12 mesi per essere svilupparti, dovranno essere risolti in una sola notte. Nelle prossime settimane i modelli di business cambieranno ancora più rapidamente.

Le difese e le regole statiche non saranno in grado di tenere il passo con tutto questo, indipendentemente da quanto diligentemente e rapidamente le riscriveremo. In che modo sarà possibile individuare un tentativo di accesso dannoso a Office 365 nei log di controllo ora che le connessioni provengono da migliaia di località diverse in tutto il mondo? Le aziende dovranno fare affidamento ancor più sulla tecnologia per continuare a operare in condizioni di incertezza, senza soffocare la produttività in questo momento critico. Ancora più cruciale si dimostrerà contenere tali minacce perché non sarà possibile mettere in quarantena completamente un computer quando non può essere rigenerato o sostituito per giorni.

I sistemi di intelligenza artificiale sono in grado di evolversi continuamente e adattarsi ai cambiamenti e forniranno così le migliori possibilità di rilevare errori nelle configurazioni, attacchi e comportamenti rischiosi, perché quando non si sa cosa cercare, si ha bisogno di una tecnologia in grado di identificare modelli e quantificare i rischi al proprio posto. La tecnologia di risposta autonoma, inoltre, può intervenire chirurgicamente per arrestare l'attività dannosa quando i team non possono essere presenti fisicamente per farlo, proteggendo dispositivi e sistemi e consentendo al contempo che le operazioni essenziali continuino a essere condotte come sempre.

Mariana Pereira è Director of Email Security Products di Darktrace