A cura di Alex Pinto, Team Manager del DBIR di Verizon
Da quando, lo scorso maggio, abbiamo lanciato il Data Breach Investigations Report 2020 (2020 DBIR) di Verizon Business, è emerso che la pandemia COVID-19 ha determinato ulteriori sfide in ambito security per le aziende di tutto il mondo. Abbiamo visto molte organizzazioni mettere a lavorare da remoto i propri dipendenti in massa; il commercio elettronico è aumentato, con molte settori – in particolare i servizi di vendita al dettaglio e le aziende alimentari, che ora dipendono maggiormente dalla loro presenza online e dai flussi di lavoro basati su cloud; e anche gli operatori sanitari sono passati alla fornitura di servizi in linea, questo per citare solo alcuni ambiti colpiti dalla pandemia.
Sfortunatamente, in questi tempi di rapidi cambiamenti e grande confusione, i criminali informatici hanno continuato a operare, cercando di sfruttare ogni opportunità di guadagno finanziario. Per far luce sul numero crescente attacchi che preoccupano gli esperti di security, il team DBIR di Verizon ha realizzato un’analisi di tre mesi – dal titolo “Analyzing the COVID-19 data breach landscape” – dedicata a queste nuove minacce.
A differenza del DBIR, questo studio si concentra su 36 violazioni confermate, che sono state identificate come correlate direttamente alla pandemia COVID-19 ed esamina, sulla base delle informazioni provenienti dai nostri partner e di quanto reso pubblico, anche 474 incidenti avvenuti fra marzo a maggio 2020. Verizon ha combinato questi dati con le osservazioni realizzate del nostro team, sulla base di tanti anni di esperienza collettiva, per scoprire i cyber trend che hanno interessato maggiormente le aziende in questo periodo.
Nel caos, si punta su ciò che è provato e testato
Prima del COVID-19, per impossessarsi dei dati i criminali informatici utilizzavano con successo metodi collaudati da tempo. Inutile dire che se queste tattiche hanno funzionato in un solido ambiente aziendale, hanno avuto ancora più riscontro in un momento di cambiamenti senza precedenti. Di fatto i criminali sono pigri nei loro approcci e, con a una superficie di attacco che si è notevolmente ampliata durante la pandemia, non hanno avuto bisogno di inventare nuove strategie di attacco per raggiungere i loro obiettivi.
Sulla base dell’analisi di Verizon, è emerso che:
Continuo aumento degli errori: l’errore umano è spesso visto come una delle principali cause degli incidenti di sicurezza – infatti abbiamo circa un quarto delle violazioni analizzate nel DBIR 2020 erano dovute a questo. A seguito delle lunghe interruzioni lavorative, dell’aumento dei carichi di lavoro per la riduzione delle risorse impiegate e, naturalmente, della distrazione dovuta alla presenza della famiglia e agli impegni della didattica a distanza, non stupisce che durante la pandemia siano stati segnalati un maggior numero di errori.
Focus sull’hackeraggio correlato alle credenziali rubate: il DBIR 2020 ha evidenziato che oltre l’80% delle violazioni è stato causato da credenziali rubate o forzate. Tutto ciò è stato aggravato dal gran numero di dipendenti che lavorano da casa, che richiedono un costante accesso da remoto e una continua manutenzione delle loro workstation. I dipartimenti IT delle aziende devono affrontare la sfida di proteggere le risorse aziendali sulla rete aziendale mentre la maggior parte della forza lavoro è fuori ufficio. Questo ha permesso ai criminali informatici di allargare il numero di obiettivi che operano da remoto.
L’utilizzo dei ransomware sta aumentando: analizzando i dati relativi alla pandemia, diversi incidenti esaminati hanno riguardato l’uso di ransomware. Questi hanno riguardato la duplicazione e la pubblicazione (parziale o totale) di dati online. Dei nove incidenti imputati a malware, sette sono state violazioni confermate, che dimostrano un picco nell’utilizzo del ransomware.
Le e-mail di phishing giocano sulle emozioni: il phishing è sempre stata una tattica popolare per il crimine informatico. Prima dell’emergenza COVID-19 abbiamo messo in evidenza che il furto di credenziali e gli attacchi social come il phishing e la violazione della posta elettronica aziendale erano alla base della maggior parte delle violazioni (oltre il 67%). Se al successo di questo tipo attacco si aggiungono l’incertezza, la paura e la necessità di informazioni sul COVID-19, è facile capire perché le email di phishing contenenti le parole “COVID” o “CORONAVIRUS, “mascherine”, “test”, “quarantena” e “vaccino” siano state ampiamente utilizzate durante il periodo dell’emergenza. Dai dati emerge che le e-mail di phishing non correlate al COVID-19 hanno registrato una percentuale di clic leggermente inferiore (con una mediana del 3,1%). Le e-mail che includevano riferimenti alla pandemia hanno avuto una mediana leggermente superiore pari al 4,1% e ha mostrato che più organizzazioni hanno tassi di clic molto più elevati, oltre il 50% per cento in alcuni casi. Una simulazione di phishing eseguita su circa 16.000 persone alla fine di marzo (le prime settimane di lavoro da casa per molti stati negli USA) ha rilevato che un numero tre volte superiore di persone non solo ha cliccato sul collegamento di phishing, ma ha anche fornito le proprie credenziali alla pagina di login simulata rispetto a quanto avvenuto per i test pre-COVID-19 alla fine dell’anno scorso. Questa risposta emotiva più intensa è del tutto comprensibile se i cybercriminali inseriscono termini correlati al COVID-19.
Strategie di sicurezza complete possono aiutare navigare in queste acque inesplorate
Durante la pandemia, le aziende di tutto il mondo hanno continuato a concentrarsi sull’offrire servizi ai propri dipendenti e ai clienti. Grazie ai dati sulle tattiche usate dagli hacker durante questo periodo e a strategie di sicurezza complete, che includano servizi di sicurezza gestiti, soluzioni di autenticazione e, cosa più importante, a una formazione continua dei dipendenti, si può impostare un percorso efficace per contribuire a creare un ambiente aziendale più sicuro in grado di garantire la continuità del business.