Di Christian Vezina, Chief information Security Officer di OneSpan
I dati emersi dal “Rapporto 2019 sulla sicurezza ICT in Italia” del CLUSIT, l’associazione Italiana per la sicurezza informatica, dipingono uno scenario poco tranquillizzante.
Il 2018, secondo il Rapporto, è stato l’anno peggiore di sempre per quanto riguarda l’evoluzione delle minacce informatiche, con un trend di crescita degli attacchi e dei danni ad essi associati che hanno raggiunto i più alti livelli finora registrati.
Nel 2018, in particolare, sono stati raccolti e analizzati 1.552 attacchi gravi (+ 37,7% rispetto al 2017), con una media di 129 attacchi gravi al mese (contro una media di 94 al mese nel 2017). Gli attacchi hanno preso di mira trasversalmente tutti i settori.
Questo è un segnale preoccupante per le aziende, poiché l’impatto delle violazioni della sicurezza informatica può essere grave, in termini di danni finanziari e alla reputazione. Infatti, IBM ha rivelato che a livello globale il costo medio di una violazione dei dati è di oltre 3,4 milioni di Euro.
Dunque le aziende devono fare di più per migliorare la propria sicurezza IT? E se si, cosa?
Per rispondere a queste domande, è necessario identificare le vulnerabilità esistenti nella strategia di sicurezza delle imprese, comprendere in che modo queste vulnerabilità influenzano l’azione degli hacker ed esplorare le tecnologie emergenti progettate per proteggere le organizzazioni.
Dietro una violazione
Analizzando alcune tra le violazioni di maggior entità, appare chiaro che molte aziende si rendono vulnerabili agli hacker in quanto utilizzano metodi di autenticazione ormai elementari, ad esempio password o tecniche di Multi-Factor Authentication deboli, basate su codici SMS monouso che possono essere facilmente intercettati da malware. Inoltre, molti utenti continuano a riutilizzare le password su più account, il che aumenta la probabilità che le loro credenziali vengano rubate in caso di violazione.
La violazione del sito di social media Timehop, ad esempio, è stata conseguenza della mancata protezione della sua rete cloud con la Multi-Factor Authentication (MFA), quindi una volta sottratte le credenziali di un dipendente, l’hacker ha ottenuto l’accesso immediato ai dati degli utenti. Pertanto, sono stati colpiti praticamente tutti i 21 milioni di utenti dell’app, con la compromissione di informazioni che comprendevano nomi, indirizzi email, date di nascita e alcuni numeri di telefono.
La MFA combina almeno due di tre metodi di autenticazione, tra cui qualcosa che si conosce (come un PIN), qualcosa che si possiede (come un’app di autenticazione) o qualcosa che si è (come un’impronta digitale). Richiedendo informazioni aggiuntive, oltre a un nome utente e una password, è più difficile entrare in account. Tuttavia, è importante che le aziende siano consapevoli di poter usare metodi di MFA con vulnerabilità note, ad esempio codici SMS monouso che possono essere facilmente intercettati dagli autori di attacchi.
Pratiche criminali
Sfruttare le cattive pratiche delle imprese è lo sforzo che i criminali informatici stanno compiendo per adeguarsi alle misure di sicurezza esistenti e migliorare l’efficacia dei loro attacchi. Gli hacker acquisiscono conoscenze nei mercati clandestini, specializzandosi in particolari aspetti della criminalità informatica, ad esempio la violazione di account o il furto di credenziali di sicurezza. Condividendo suggerimenti e tecniche gli uni con gli altri, spesso sono anche in grado di stare al passo con le procedure di sicurezza.
Al pari di quanto farebbe un’azienda, i criminali informatici prendono anche decisioni economiche per stabilire a cosa destinare il proprio tempo e i propri sforzi, in base al ritorno sull’investimento. Se le aziende incrementano la sicurezza di un canale, come quello Internet o telefonico, i criminali rivolgeranno allora l’attenzione su target più deboli, come le app mobile.
Adottare un approccio adattivo su tutti i canali
Per stare al passo con le strategie dei criminali informatici, che sono in rapida evoluzione, bisogna attribuire maggiore valore e importanza alla messa in atto di controlli dinamici e flessibili. Le organizzazioni devono investire nella raccolta di dati di alta qualità che costituiranno la base per questi controlli, nonché per le decisioni consapevoli da prendere per contrastare le minacce e le attività criminali. Sebbene sul mercato ci siano numerosi strumenti, stiamo assistendo alla comparsa di una nuova generazione di sicurezza intelligente, come l’autenticazione adattiva, che utilizza l’intelligenza artificiale e l’apprendimento automatico per valutare grandi quantità di dati, analizzare il rischio di una situazione e adattare di conseguenza i livelli di autenticazione.
Ad esempio, se un utente controlla il proprio saldo bancario online da un dispositivo e una posizione riconosciuti, dovrà solo utilizzare requisiti di autenticazione di base per accedere al proprio conto. Tuttavia, per attività a rischio più elevato, ad esempio transazioni rilevanti, che non rientrano nel suo normale comportamento, sarà necessaria un’autenticazione aggiuntiva. Combinando una vasta gamma di strumenti di autenticazione come la MFA, l’analisi comportamentale, la biometria e persino l’estrazione di dati da strumenti di terze parti, l’autenticazione adattiva rende un po’ più semplice stare un passo avanti ai cyber-criminali. La security diventa precisa e intelligente, fornendo l’esatto livello di sicurezza come e quando è necessario.
Infine, le aziende devono garantire che tutti i canali siano sicuri, compresi i dispositivi mobile, che sono sempre più presi di mira dai criminali poiché i consumatori continuano a utilizzarli per i loro acquisti e per muovere denaro. Gli sviluppatori devono integrare la sicurezza nelle app mobile fin dall’inizio, ad esempio implementando il mobile application shielding, che è in grado di rilevare i comportamenti dannosi e chiudere l’app presa di mira prima che un attacco possa aver luogo.
Dare per scontato che le violazioni siano ormai parte integrante della vita aziendale equivale a dire che non importa quanto rafforziamo le nostre difese umane o tecnologiche, perché ciò non sarà mai abbastanza per tenere fuori i criminali. È chiaro che non è così. Sì, le aziende devono fare di più per migliorare la sicurezza IT, ma dal momento che vediamo che la tecnologia di autenticazione continua ad evolversi e progredire, contrastare i criminali dovrebbe essere più semplice e il numero di aziende violate dovrebbe diminuire.
