A cura di Max Heinemeyer, Director of Threat Hunting di Darktrace
La recente successione di attacchi informatici contro aziende di alto profilo come EasyJet e Honda e i tanti avvisi di sicurezza diramati dai governi di tutto il mondo hanno dimostrato come gli hacker traggano vantaggio dai momenti di forte incertezza e di cambiamento.
Nel mese di aprile, proprio quando molti Paesi si trovavano all’apice della lotta contro il Coronavirus, l’OMS ha registrato un numero di attacchi ai propri sistemi di oltre cinque volte superiore a quello dei mesi precedenti, e ha messo in guardia tutti gli utenti sui numerosi tentativi di truffe via email che erano in corso promuovendo raccolte fondi fittizie di fondi per la lotta al Covid-19.
Nello stesso mese, una nostra ricerca ha rivelato che oltre il 60% delle email di phishing erano in qualche modo collegate all’emergenza Covid-19 o truffavano i dipendenti facendo riferimento alle pratiche di lavoro a distanza; abbiamo visto gli aggressori impersonificare CEO che inviavano email ai dipendenti chiedendo loro di fare una donazione a fantomatici enti di beneficenza impegnati nella lotta contro il virus, o responsabili dell’IT che richiedevano password per l’utilizzo della VPN.
Come nel caso EasyJet, gli hacker hanno preso particolarmente di mira i settori e le aziende che in questi mesi hanno maggiormente sofferto dal punto di vista finanziario o hanno dovuto operare con una forza lavoro estremamente ridotta. Eppure, anche se alcune parti del mondo stanno tornando lentamente a una sorta di normalità e le aziende cominciano a riavviare le attività, non c’è motivo di essere completamente sollevati, perché tornare in ufficio non ci renderà più sicuri dal punto di vista informatico.
Il lavoro a distanza – e la corsa ad implementarlo da un giorno all’altro – hanno portato a una serie di sfide nell’ambito della sicurezza. Le aziende non solo hanno dovuto affidarsi a nuove tecnologie per facilitare questo passaggio, ma hanno anche dovuto fare affidamento su team di sicurezza molto più snelli a causa dell’emergenza. Per le organizzazioni che utilizzano difese basate su regole o tecnologie legacy come i firewall, tutto questo poneva sfide impegnative: come è possibile costruire una difesa attorno alla propria infrastruttura quando è costantemente in movimento? Come si fa a distinguere un dipendente che lavora da remoto da un aggressore?
Nuovi attacchi per una nuova normalità
Oggi, la maggior parte delle organizzazioni sta pianificando il ritorno dei dipendenti nelle proprie sedi e gli hacker troveranno nuovi modi per poter lucrare sul grande cambiamento in atto a partire da un dato di fatto: avremo a che fare con una forza lavoro molto più dinamica e distribuita rispetto al passato, che vedrà alcuni dipendenti tornare presto in ufficio e altri proseguire nel lavoro a distanza ancora per molto tempo.
La pandemia ha costretto le organizzazioni a migrare al cloud e a un approccio SaaS molto più rapidamente del previsto per supportare la trasformazione digitale ed è molto probabile che quest e soluzioni diventeranno parte dello stack tecnologico anche dopo l’emergenza – e insieme a loro rimarranno anche tutti quei problemi di sicurezza e visibilità derivanti dalla loro adozione.
Uno degli aspetti che desterà maggiore preoccupazione è la facilità con cui dipendenti, fino ad oggi collegati all’infrastruttura aziendale dalla propria casa, potranno portare con sé dispositivi già compromessi, con minacce silenti nascoste al loro interno ma pronte a risvegliarsi e colpire proprio quando si ritorna in ufficio, connettendosi alla rete on-premise.
Intelligenza Artificiale cyber resilienza
Come possiamo affrontare lo scenario che ci si presenterà nei prossimi mesi? Consideriamo, ad esempio, come opera il team di sicurezza di un aeroporto. Per garantire la sicurezza fisica dei passeggeri e della struttura, si combinano insieme informazioni provenienti da fonti diverse: controlli multipli dei passaporti, valigie scansionate prima dell’ingresso in stiva, controlli del bagaglio a mano, telecamere ai banchi del check-in, nei terminal, nei negozi, praticamente ovunque. Mettendo insieme tutte queste informazioni, si compone un quadro completo di ciò che accade all’interno della struttura e si è in grado di rilevare le attività sospette man mano che emergono. La sicurezza informatica dovrebbe essere concepita in modo simile, andando in profondità.
Non si tratta, infatti, solo di adottare password forti e firewall potenti; oggi le organizzazioni devono puntare a realizzare la cyber resilienza in tutta la propria infrastruttura, dagli strumenti di remote working alle piattaforme cloud, agli endpoint, alle caselle di posta elettronica, ai dispositivi IoT fino ai sistemi di controllo industriali. Solo mettendo insieme tutte queste componenti – e analizzandole – i business moderni possono difendersi dalle minacce.
Questo approccio olistico alla sicurezza dell’infrastruttura digitale non è più solo un’operazione accessoria da svolgere in un passaggio successivo ma rappresenta oggi una questione di sopravvivenza per l’azienda stessa, anche quando si tratta di organizzazioni consolidate.
Chi vuole innovare la difesa informatica deve saper evolvere insieme alla nuova normalità, introducendo ad esempio nuove funzionalità che estendano la visibilità e il rilevamento ai lavoratori da remoto all’interno o all’esterno della VPN, come fatto recentemente da Darktrace, in modo che i team di sicurezza possiedano un quadro completo in ogni momento. Integrarsi con tecnologie come Microsoft 365, Teams, SharePoint e Zoom – piattaforme cruciali per l’implementazione di una forza lavoro dinamica – ha rappresentato per noi un altro tassello importante per comprendere questi ambienti e i loro potenziali vettori di minacce. Infine, introducendo modelli di IA specifici per il Cloud e il SaaS per la protezione contro i furti di dati e le minacce interne, abbiamo affrontato una delle preoccupazioni principali delle aziende: avere dipendenti potenzialmente pericolosi, accidentalmente o intenzionalmente, che lavorano da remoto.
L’obbiettivo è realizzare ciò a cui le imprese di tutto il mondo devono tendere oggi: una comprensione profonda del modello di vita di ogni elemento dell’organizzazione. Proteggere la forza lavoro dinamica significa, infatti, adottare un approccio innovativo per migliorare la visibilità e il controllo e per questo richiede un’Intelligenza Artificiale in grado di supervisionare gli ambienti di collaborazione, le reti on-premise, le caselle di posta dei dipendenti.
Non possiamo dare per scontato che dato che il lavoro a distanza ha aperto delle falle di sicurezza, queste si richiuderanno quando torneremo in ufficio. Ciò che possiamo fare, invece, è ottenere una visibilità in tempo reale e fornire una risposta veloce attraverso reti dinamiche, costruendo, per definizione, la cyber resilienza.
Oggi la forza lavoro può essere operativa ovunque; è evidente infatti che non esistono più solo due categorie distinte di lavoro “da casa” e “dall’ufficio”: La tecnologia ha abilitato la rapida transizione verso una modalità dinamica e continuerà a svolgere un ruolo centrale nel mantenimento dell’efficienza della stessa ma la nuova normalità non ci fornirà di per sé una sicurezza maggiore, piuttosto richiederà una protezione informatica olistica e indipendente dalle tecnologie scelte per supportare l’operatività o dal collocamento fisico della propria forza lavoro. La velocità e la scalabilità che le aziende devono realizzare sono semplicemente troppo grandi per gli esseri umani e più andremo avanti, più dovremo considerare l’IA come l’unica soluzione in grado di assolvere questi compiti cruciali.