- Tags:
- it security,
- malware,
- hacking
Hacker criminali: accedere è più facile che hackerare il sistema
A causa dell’attuale situazione, vorremmo sottolineare ancora una volta che la sicurezza digitale non è un’opzione per le aziende, ma un must assoluto! Perché ora, con il MediaMarktSaturn Retail Group, è stata colpita anche un’icona del commercio al dettaglio tedesco: i sistemi POS crittografati con ransomware. Secondo lo Spiegel, i ricattatori chiedono 50 milioni di dollari (situazione al 9 novembre 2021).
Non sappiamo esattamente come sia avvenuto l’attacco. Tuttavia, come spesso accade, è stato probabilmente un errore umano ad aprire le porte ai criminali, perché quasi tutti i cyberattacchi ora richiedono l’interazione umana. Ciò significa che gli aggressori inviano alle loro potenziali vittime un file Word, Excel o PDF o un’immagine. Il malware viene quindi incorporato in questo file, che di solito viene attivato dalla vittima stessa. A questo scopo vengono frequentemente utilizzate le macro, che aprono le porte al PC della vittima. Questo è normalmente il primo passo. Il malware vero e proprio, sempre più spesso ransomware, viene caricato in una seconda fase.
Il motivo?
È molto semplice: gli hacker scoprono innanzitutto tramite una backdoor segreta, quali diritti ha l’utente. È possibile, infatti, che si tratti di qualcuno che, dal punto di vista aziendale, non ha quasi nessuna competenza o diritto. Dal punto di vista dell’aggressore, giocarsi il ransomware su questo PC è semplicemente una perdita di tempo.
Ma rimaniamo nella mente dei criminali: forse questo account compromesso (a cui possono poi accedere anche gli hacker) può essere utilizzato per collegarsi alla comunicazione e-mail con altri. Quindi, forse leggendo le e-mail si potrebbe identificare un destinatario con maggiori diritti nell’azienda, che potrebbe essere sfruttato meglio come moltiplicatore involontario per le attività criminali?
In questo modo, nel tempo, gli aggressori possono tracciare un quadro sempre più preciso delle persone e delle competenze presenti in azienda e “ottimizzare” i loro attacchi in modo molto mirato. Nel corso di alcune settimane o addirittura mesi, questa persona potrebbe essere manipolata in modo tale che, ad esempio, riceva un’e-mail falsa con il ransomware, la apra senza alcun sospetto e quindi lo attivi nell’intera azienda.
Lacune e vulnerabilità della sicurezza tecnica
Tuttavia - e questo non va dimenticato - gli hacker sono sempre interessati alle lacune di sicurezza tecnica e alle vulnerabilità del software e delle configurazioni. A tale proposito, gli hacker cercano sempre più di sfruttare la finestra temporale che si crea tra la pubblicazione della vulnerabilità di sicurezza e la chiusura della stessa. È quindi importante disporre di un sistema di gestione delle patch rapido e ben funzionante, che tenga conto anche di questa sfida. Ma ho già espresso la mia opinione a riguardo qui nel blog.
Cosa significa questo per i team IT e le SecOps?
Ebbene, nessuno è immune dall’errore umano, ma anche il semplice arrendersi al destino, non è una soluzione. Piuttosto, è importante disporre di una strategia di sicurezza completa all’interno dell’azienda, che:
- Tenga conto del fattore "umano" e sottolinei costantemente la sfida della “sicurezza digitale” agli utenti nei loro rispettivi ruoli, ad esempio con corsi di formazione periodici o anche con e-mail di prova per sensibilizzare i collaboratori
- Consideri i fattori tecnici in modo completo, tra l’altro con
- Installazione di moderne soluzioni di cybersecurity come firewall, scanner antivirus, ecc.
- Monitoraggio attivo di tutti i fornitori di software per lacune di sicurezza e i loro (hot) fix, associato a una gestione completa degli asset
- Una buona e sofisticata gestione degli aggiornamenti per tutte le applicazioni e i sistemi dell’azienda
- Gestione dei diritti che conceda ai collaboratori solo i diritti necessari
- Gestione efficiente e sicura degli endpoint su tutte le piattaforme
- Configurazione accurata di tutte le applicazioni e piattaforme (un aspetto sottovalutato, ad esempio, nell’area dei negozi web, vedi)
- Utilizzo restrittivo dei servizi cloud (keyword shadow IT)
- Tracciamento degli accessi dei collaboratori ai servizi cloud autorizzati come Microsoft 365 (orario e area geografica, poiché disconnettersi alle ore 18:00 con un indirizzo IP dalla Germania e accedere nuovamente dall’America o dall’Asia solo una o due ore dopo, è probabilmente impossibile per lo stesso utente)
- Considerazione delle misure di sicurezza di partner, clienti e fornitori (keyword sicurezza nella catena di fornitura)
- Non dimenticare la sicurezza fisica e i backup isolati
Due aspetti sono di fondamentale importanza
Nessun punto deve essere tralasciato. Perché, anche in questo caso, vale quanto segue: la catena è forte solo tanto quanto il suo anello più debole. Ad esempio, anche se quasi tutte le misure citate possono essere implementate con cura, se c’è anche una sola configurazione difettosa o se anche un solo dispositivo IoT non è sicuro, l’intero sistema è ad alto rischio.
Il secondo punto riguarda i collaboratori e la comunicazione sui temi della cybersecurity. Da un lato, i dipendenti devono capire che tutte le misure servono a proteggere l’azienda e quindi anche la sicurezza del proprio posto di lavoro.
E dall’altra parte, occorre spiegare chiaramente che anche i dipendenti sono un fattore importante per la sicurezza digitale dell’azienda e che i criminali non attaccano solo attraverso la tecnologia, ma vogliono convincere il presunto anello debole (vedi sopra) con trucchi di ogni tipo a collaborare involontariamente, spesso per curiosità o disattenzione.
In conclusione...
Solo se la strategia di sicurezza aziendale comprende entrambi i pilastri - persone e tecnologia - come componente elementare della cybersecurity e fornisce a entrambi vita, qualità e cura, le aziende saranno in grado di aumentare la propria sicurezza a lungo termine.
- Tags:
- it security,
- malware,
- hacking