Il panorama cyber è sempre più pericoloso: crescono le minacce informatiche e, con esse, il costo per le aziende e gli enti. Uno scenario complesso a cui si cerca di fare fronte con soluzioni di cybersecurity sempre più evolute e con nuove normative, come la direttiva NIS2, volte a garantire una maggiore resilienza informatica.
Denis Valter Cassinerio, General Manager South Europe, Balkans & Turkey EMEA di Acronis, indica 12 best practice che possono aiutare a prevenire, rilevare, rispondere e riprendersi rapidamente dagli attacchi informatici.
Buona lettura!
Garantire la resilienza informatica: 12 best practice per implementarla
Le minacce informatiche sono in crescita, guidate dai ransomware che rimangono lo strumento malware preferito dai criminali informatici per arricchirsi minacciando le aziende con azioni di esfiltrazione di dati, blocco delle attività e appropriazione di dati sensibili. Secondo l’ultimo report Acronis Cyberthreats, gli attacchi informatici di tipo ransomware sono aumentati del 23% nel primo trimestre del 2024. E l’avvento di strumenti di intelligenza artificiale generativa (GenAI) come ChatGPT ha ulteriormente migliorato l’efficacia e la portata delle minacce e ha reso più semplice anche per criminali informatici alle prime armi sferrare un attacco.
Tutti trend che hanno un costo per le aziende, anzi un costo sempre più salato: l’indagine “Cost of a Data Breach 2024” di IBM ha confermato che il costo medio di una violazione dei dati è passato da 4,55 milioni di dollari nel 2023 a 5,53 milioni di dollari nel 2024.
In questo scenario da un lato gli standard e le soluzioni di cybersecurity continuano a evolvere; dall’altro le autorità e le assicurazioni stanno raccomandando o richiedendo l’implementazione di un piano di resilienza informatica. Ciò è previsto anche dall’entrata in vigore in Italia della Direttiva Europea NIS2. Ma perché le organizzazioni diventino resilienti in modo efficace agli attacchi informatici occorre che siano altrettanto abili nel respingere il più possibile gli incidenti e nel riprendersi rapidamente quando le difese falliscono.
I consigli di Acronis per prevenire, rilevare, rispondere e riprendersi rapidamente dagli attacchi informatici
Affinché ciò avvenga, gli analisti di Acronis hanno individuato 12 best practice, quali:
- Implementare misure anti-malware potenziate dall’apprendimento automatico e dall’AI – Ciò consentirà di identificare in modo adattivo le minacce in base al loro comportamento. Inoltre, in questo modo, l’EDR consente ai difensori di correlare i potenziali indicatori di compromissione (IOC) in modo più efficace su più endpoint; contenere rapidamente gli attacchi; indagare sugli incidenti per identificare eventuali vulnerabilità che hanno consentito l’attacco e rimediare a tali punti deboli contro attacchi informatici futuri.
- Aumentare i livelli di sicurezza della posta elettronica e il filtraggio degli URL – Le e-mail rimangono il vettore più diffuso: ben il 27,6% di tutte le e-mail ricevute sono spam e l’1,5% contiene malware o collegamenti di phishing, secondo il nostro ultimo report sulle minacce. Studio che evidenzia anche che il numero degli attacchi informatici via e-mail sono aumentati nei primi sei mesi dell’anno di quasi il 300% e ben il 26% degli utenti ha riscontrato tentativi di phishing tramite URL dannosi.
- Dotarsi di più strumenti che aumentano la visibilità delle risorse IT e dei flussi di dati – Gli strumenti di inventario IT e di prevenzione della perdita di dati (DLP) possono fornire una migliore visibilità delle procedure normali e anomale di archiviazione e spostamento dei dati e rilevare così attività sospette e bloccare potenziali esposizioni.
- Eliminare le esposizioni della rete esterna e interna – Le vulnerabilità della Rete sono un altro vettore di attacco comune. Le aziende dovrebbero adottare misure di base come disabilitare il protocollo Microsoft Remote Desktop Protocol (RDP) tranne dove necessario; distribuire i firewall e sistemi di prevenzione delle intrusioni; limitare l’accesso VPN a specifiche posizioni geografiche; limitare o vietare l’accesso alle risorse aziendali dai dispositivi personali e segmentare le reti interne per contrastare la propagazione del ransomware.
- Gestire con attenzione le password e i diritti di accesso – Secondo il Verizon Data Breach Investigations Report 2024, le credenziali rubate hanno contribuito al 24% di tutte le violazioni segnalate e le credenziali sono state compromesse nel 50% degli attacchi di phishing. Per combattere queste tattiche, le aziende dovrebbero implementare l’autenticazione a più fattori, soprattutto sui sistemi con dati sensibili; cambiare sempre il login delle impostazioni di fabbrica e tutte le password dopo un attacco riuscito; adottare il principio privilegio minimo per i diritti di accesso soprattutto per le banche dati e le infrastrutture più critiche e concedere privilegi limitati nel tempo o una sola volta, ove possibile.
- Prevedere un programma di sensibilizzazione alla sicurezza – Ridurre il numero di clic su allegati e collegamenti dannosi nelle e-email, chat, social può portare a significative riduzioni del rischio di attacchi informatici. Come? Stimolando i dipendenti a tenere le antenne alzate su questi veicoli molto pericolosi, per esempio inviando loro regolarmente false e-mail di phishing e predisponendo corsi di aggiornamento per chiunque cada nello stratagemma, amministratore delegato incluso.
- Implementare la scansione automatizzata e programmatica delle vulnerabilità e la gestione delle patch – Le aziende in generale faticano a installare tempestivamente le patch software dei propri fornitori di tecnologia, lasciandole senza in media per oltre 88 giorni.
- Ridurre il numero di agenti sugli endpoint e sulle console – Le organizzazioni normalmente implementano nel tempo le proprie soluzioni di sicurezza informatica e protezione dei dati e ciò avviene in modo frammentario, determinando una proliferazione di agenti remoti sugli endpoint e sulle console di gestione presso il desk operativo IT e quindi questo genera lacune e conflitti.
- Utilizzare i framework di sicurezza come il NIST – Le aziende dovrebbero trarre vantaggio dai framework di sicurezza informatica più diffusi (e gratuiti) come il NIST per consultare le loro preziose linee guida.
- Implementare un solido regime di protezione dei dati – Le aziende devono partire dal presupposto che un attacco prima o poi avrà successo e sforzarsi di migliorare il regime di protezione dei dati come ultima linea di difesa. Il ripristino dei dati da un backup recente può consentire la rapida ripresa delle operazioni commerciali senza pagare un riscatto, ma gli aggressori spesso tentano di individuare, crittografare o eliminare archivi di backup e disattivare misure di backup. Pertanto, le imprese dovrebbero conservare più copie crittografate di backup su supporti diversi e in posizioni separate; condurre regolari test dal vivo del loro piano di backup; scansionare i backup alla ricerca di malware e vulnerabilità senza patch e risolvere tali problemi prima di ripristinare i sistemi e implementare l’archiviazione immutabile degli archivi di backup per contrastare le tattiche di eliminazione dei backup.
- Valutare l’implementazione di un programma di ripristino di emergenza – I servizi di disaster recovery consentano la ripresa immediata delle operazioni dopo aver subito attacchi informatici, utilizzando applicazioni e dati replicati (off-site o nel cloud), servizi che oggi sono molto più convenienti e semplici da gestire, anche per le piccole imprese.
- Definire un piano di risposta agli incidenti, testalo e aggiornarlo regolarmente – Questo piano dovrebbe contenere alcune componenti essenziali: un elenco di nomi e numeri dei contatti interni ed esterni in formato cartaceo, un canale di comunicazione interno di ripiego affidabile nel caso in cui sistemi come la posta elettronica diventino inutilizzabili, un piano di comunicazione che identifichi chi deve essere informato e da chi e quando e individui chi ha la leadership esecutiva e quali i team, a cominciare dal legal, vanno coinvolti. Inoltre, dovrebbe includere misure per raccogliere dati forensi che possano essere utilizzati dopo un incidente, non solo per richiedere un risarcimento all’eventuale broker assicurativo, ma anche per identificare le vulnerabilità che hanno consentito la violazione, porvi rimedio e aggiornare di conseguenza il piano di risposta.
AI, automazione e integrazione aiutano a difendersi dagli attacchi informatici
Non va infine sottovalutato che per contrastare la crescente sofisticazione e frequenza di questi incidenti, le aziende di ogni settore e dimensione, devono valutare di concentrare i propri sforzi su processi e tecnologie che riducano la complessità crescente e supportino il personale IT con l’uso dell’intelligenza artificiale, dell’automazione e dell’integrazione. Oltre a contenere i rischi aziendali di questa tipologia di attacchi informatici, questi investimenti miglioreranno anche la capacità di un’azienda di soddisfare i requisiti di conformità normativa, a cominciare dalla già citata NIS2.
di Denis Valter Cassinerio, General Manager South Europe, Balkans & Turkey EMEA di Acronis