Le credenziali rubate sono diventate il volano per la maggior parte dei cyber attacchi. Un account violato costituisce la chiave d'accesso per un endpoint, da cui avviare movimenti laterali nelle reti aziendali. Come proteggerle in maniera efficace?

Secondo il nuovo Rapporto sulle Minacce rilasciato da ESET nelle scorse settimane, si evince che nel secondo quadrimestre del 2021 si è verificato un aumento di oltre il 104% rispetto al primo quadrimestre dell’anno degli attacchi brute force contro i servizi RDP – Remote Desktop Protocol. Questo dato è allarmante se si pensa che i servizi RDP vengono ormai ritenuti fondamentali per lo svolgimento della normale routine lavorativa della maggior parte delle organizzazioni.

I servizi RDP, infatti, consentendo la connessione alle reti aziendali da computer remoti, hanno assunto da marzo del 2020 un’importanza sempre maggiore: hanno permesso, infatti, alle aziende di poter continuare a svolgere la loro attività produttiva nonostante il lockdown imponesse loro una riorganizzazione dei sistemi e dei processi aziendali.

Passato il lockdown, le aziende stanno tornando piano piano ad una situazione di apparente normalità, in cui però lo smart working, vissuto nella sua totalità per molti mesi, viene ora considerato parte integrante nello svolgimento del business. Se l’azienda si è dovuta riorganizzare per assicurare la continuità del business, il lavoratore dal canto suo a volte si è dovuto “arrangiare” mettendo a disposizione il proprio computer per poter essere realmente operativo.

Dal punto di vista della sicurezza questo ha determinato un aumento esponenziale dei possibili attacchi ai sistemi di sicurezza delle aziende: una rete VPN non adeguatamente protetta, la mancanza di un sistema di autenticazione a due fattori in fase di accesso al sistema aziendale o l’utilizzo di password “deboli” sono tutti elementi che possono determinare la buona riuscita di un attacco informatico.

In questo scenario, quindi, ancora una volta diventa fondamentale adottare un sistema di protezione a più livelli che non si fermi solo ad una soluzione di Endpoint Protection ma che associ a questa ulteriori livelli di sicurezza che includano la scelta di credenziali sempre diverse, gestibili attraverso un adeguato password manager e sistemi di autenticazione a più fattori.

L'eliminazione delle password può essere una soluzione percorribile, alla luce del fatto che Microsoft permette l'accesso ai servizi Microsoft Edge e Microsoft 365 senza più chiedere le password, e che altri big hanno proposto tecnologie passwordless?

Il futuro sembra proprio portare alla diffusione di un sistema passwordless, ovvero l’impiego di tecnologie alternative come la biometria o l’utilizzo di dispositivi hardware per l’autenticazione. Sicuramente un sistema di autenticazione biometrico può essere considerato più “sicuro” rispetto a una password complessa ma, cosa succederebbe se venisse rubato un database biometrico?

Quando i giornali riportano la notizia del furto di credenziali di migliaia di utenti, solitamente l’azienda colpita chiede ai propri utenti di cambiare la password d’accesso così da ripristinare lo stato di sicurezza pre-attacco. Ma se le credenziali utilizzate dagli utenti sono le proprie impronte digitali, allora ecco che “cambiare” la propria chiave d’accesso diventa difficile se non impossibile.

Per questo, il passaggio a un sistema passwordless sembra essere più sicuro ma, affinché questo possa essere un sistema realmente efficace, deve essere affiancato ancora una volta da un sistema di doppia autenticazione che permetta di utilizzare tecnologie a più livelli per mantenere al sicuro i propri dati.

Quasi sempre il problema delle credenziali "bucate" è riconducibile a una cattiva gestione delle password da parte degli utenti, fra il riciclo di chiavi di sicurezza e la mancanza di aggiornamenti anche a seguito di data breach. Che ruolo gioca la formazione al riguardo?

La formazione degli utenti in tema di sicurezza deve essere uno degli aspetti chiave presi in considerazione da ogni Responsabile IT. Una mail di phishing non riconosciuta, l’utilizzo della stessa password per accedere a diversi siti o un aggiornamento di sistema effettuato in ritardo sono tutte azioni che possono essere svolte da qualsiasi utente, anche in modo inconsapevole, ma che possono causare danni economici anche gravi all’azienda.

Un programma periodico di formazione dedicato ai dipendenti di un’azienda diventa fondamentale tanto quanto fornire agli utenti tutti quegli strumenti che consentano loro di adottare le misure di sicurezza necessarie all’azienda per proteggere la loro risorsa più importante: i dati aziendali.

Tra questi strumenti possiamo citare l’adozione di un password manager efficace che, semplificando la vita agli utenti, consente nel contempo di utilizzare password “forti” e diverse per ogni accesso richiesto, riducendo il rischio di un attacco brute force.

Quali prodotti/servizi consigliate ai vostri clienti per una gestione ottimale delle password?

ESET, azienda leader nel mercato della cybersecurity da oltre 30 anni, già da tempo si impegna ad offrire alle aziende, così come agli utenti privati, le giuste soluzioni di sicurezza per far fronte al problema di gestione delle password.

All’interno del nostro prodotto ESET Smart Security Premium mettiamo a disposizione un password manager in grado di supportare gli utenti nel condividere in modo sicuro le password utilizzate sui diversi dispositivi.

Inoltre, nel nostro portfolio prodotti è presente ESET Secure Authentication, la soluzione di Identity and Data Protection che permette alle aziende di qualsiasi dimensione di implementare in modo semplice ed efficace l’autenticazione a più fattori.

Attraverso ESET Secure Authentication, è possibile prevenire i Data Breach, soddisfacendo nel contempo i requisiti di conformità richiesti. È una soluzione facilmente gestibile attraverso una console di gestione cloud-based, a cui è possibile accedere attraverso il proprio browser preferito. Inoltre, effettua l’autenticazione a più fattori attraverso l’utilizzo di applicazioni mobili, notifiche push o token hardware.