In una società oggi sempre più digitale e interconnessa, 9 aziende su 10 non solo consentono ai loro dipendenti di accedere ad applicazioni business critical mediante i propri device personali, ma ne incentivano proprio l’utilizzo.
Secondo un recente Threat Landscape Report di Fortinet, il malware basato su Android rappresenta il 14% di tutte le cyber minacce.
In aggiunta agli attacchi diretti, il numero di siti web compromessi, di campagne di phishing via email e di access point malevoli continua a crescere esponenzialmente, infettando degli utenti ignari – indipendentemente dai loro dispositivi – con spyware, malware, applicazioni compromesse e persino ransomware.
Ogni volta che un device personale viene compromesso, questo può rappresentare di riflesso un rischio anche per l’organizzazione in cui la persona lavora.
Oltre a sviluppare software per il management dei dispositivi mobili e client per la sicurezza ai propri dipendenti, è fondamentale stabilire un programma di cybersecurity awareness che offra utili spunti su come si possano evitare questi rischi.
Qualche consiglio
Ecco i consigli di Fortinet per le organizzazioni e i loro dipendenti, per proteggersi in modo semplice ed efficace dalle minacce informatiche.
Attenzione ai Wi-Fi pubblici
La maggior parte degli access point Wi-Fi gratuiti sono assolutamente sicuri, ma questa purtroppo non è sempre la norma. Spesso infatti i cybercriminali rendono disponibili i propri dispositivi come access point pubblici, specialmente nei luoghi aperti al pubblico oppure in occasione dei grandi eventi.
Non appena un utente si connette a internet, sfruttando questi device, il malintenzionato è in grado di intercettare tutti i dati che vengono trasmessi dalla vittima al sito web su cui sta navigando: che si tratti di un negozio online, di una banca o di qualsiasi altra realtà.
Molti dispositivi smart ricercano in automatico le connessioni conosciute, come per esempio quella del Wi-Fi di casa. Gli attacchi di nuova generazione studiano questi comportamenti e richiedono al dispositivo quale SSID stia cercando.
Quando, ad esempio, lo smartphone comunica che sta cercando proprio quella rete, riceve una risposta positiva e quindi vi si connette. La stessa cosa accade per quanto riguarda le connessioni Bluetooth, che si collegano automaticamente agli access point disponibili.
Per evitare questo tipo di problema, è bene che gli utenti tengano spente le connessioni Wi-Fi e Bluetooth dei loro dispositivi quando non ne hanno bisogno. In caso di accessi wireless, dovrebbero verificare la SSID di un determinate luogo; spesso è sufficiente chiedere all’amministratore di rete il nome dell’access point Wi-Fi prima di connettersi.
Gli utenti dovrebbero inoltre considerare di installare un software VPN sui propri dispositivi, in modo da assicurarsi che le proprie connessioni siano sicure e crittografate.
Una migliore difesa grazie a una buona password
Un errore che la maggior parte degli utenti fa di frequente è utilizzare la stessa password per tutti i propri account, solitamente per evitare di dover ricordare molte combinazioni diverse.
Ma se un criminale informatico dovesse riuscire a entrare in possesso della password scelta, avrebbe accesso a tutti gli account, compresi i siti utilizzati per le operazioni bancarie o per fare shopping.
L’opzione migliore è senza dubbio quella di utilizzare un password manager, in grado di archiviare l’username e la password di ciascun account creato, in questo modo l’unica informazione da memorizzare sarà la chiave di accesso al servizio. Ovviamente sarà necessario prestare particolare attenzione alla combinazione scelta.
Un suggerimento per creare password particolarmente sicure è preferire una sequenza di lettere maiuscole, numeri e caratteri speciali. Per essere ancora più sicuri, si può aggiungere un’autenticazione a due fattori per accedere allo spazio in cui la password viene custodita. È uno step ulteriore per effettuare il login, ma migliorerà sensibilmente la sicurezza dei dati e degli account degli utenti.
Riconoscere il phishing
Quante volte sarà capitato di dover ricordare ai propri dipendenti di non cliccare sui link inseriti nei messaggi pubblicitari ricevuti via mail senza prima aver controllato di cosa si tratta? Per identificare un contenuto potenzialmente pericoloso, è sufficiente fare attenzione a piccoli dettagli, come ad esempio una grammatica scorretta, URL molto complessi o che contengono errori e un layout molto semplice.
Tuttavia quasi sempre succede che qualcuno non resista alla tentazione di aprire una mail e un eventuale file allegato, oppure di cliccare un link inserito all’interno di un sito web, soprattutto quando viene presentato in maniera allettante.
Per questo motivo, ogni sforzo di educare i propri dipendenti deve essere supportato da un gateway per la sicurezza delle email e un web application firewall che possa identificare lo spam e il phishing, validare i link e eseguire i file in una sandbox – anche per le email personali – per assicurare che l’utente finale non cada in trappole potenzialmente pericolose.
Aggiornare i dispositivi e utilizzare dei software che ne garantiscano la sicurezza
Gli utenti dovrebbero avere un security agent o una soluzione MDM approvati dall’azienda installati su qualsiasi dispositivo che abbia accesso alle risorse aziendali. Anche questo software deve essere aggiornato e le scansioni dei dispositivi devono essere eseguite regolarmente.
Allo stesso modo, i dispositivi endpoint vanno regolarmente aggiornati, così come le patch installate. Gli Access Control dovrebbero essere in grado di rilevare se la sicurezza e il software del sistema operativo sono aggiornati e, in caso non lo siano, gli utenti dovrebbero essere reindirizzati a un Remediation Server per eseguire gli aggiornamenti necessari o avvisati rispetto allo stato potenzialmente pericoloso del loro dispositivo.
Monitorare i social media
Gli hacker spesso creano attacchi personalizzati per aumentare la probabilità che una vittima faccia clic su un link; i social media rappresentano sicuramente un luogo adatto a questo tipo di strategia, in cui è più facile ottenere informazioni personali. Il modo più semplice per evitare di avere problemi è impostare severi controlli sulla privacy che consentano solo a una lista di persone scelte in precedenza di accedere alle proprie pagine social.
Le persone che desiderano aprire un account sui social media devono selezionare attentamente i propri collegamenti. Se non si conosce qualcuno, o se qualcosa nelle informazioni che fornisce sembrasse strano, è meglio rifiutare la sua richiesta. E anche se si conosce già la persona che ci sta chiedendo un collegamento, è bene controllare se è già presente nella propria lista di amici. In tal caso, esiste una significativa possibilità che il suo account sia stato hackerato o duplicato.
Messaggi di aggiornamenti brevi, chiari e periodici
Per le aziende è essenziale sviluppare una strategia di sicurezza completa ed efficace per i loro dipendenti che dispongono di dispositivi endpoint personali collegati alla rete.
L’importante è non commettere l’errore di fornire un numero esagerato di informazioni. Fornire un consiglio al giorno può essere, ad esempio, una buona strategia così come affiggere degli avvisi nella stanza destinata alla pausa. Si può, inoltre, chiedere al team esecutivo di menzionare la sicurezza nelle riunioni del personale.
Infine è importante fare dei check saltuari per verificare eventuali mail di phishing e aiutare gli utenti che potrebbero aver bisogno di qualche attenzione in più.