Mentre ultimamente alcuni attacchi cibernetici stanno facendo notizia per i loro metodi particolarmente sofisticati, molti attacchi in realtà sono piuttosto agevoli, poiché spesso sfruttano semplicemente le carenze nelle misure minime di sicurezza. Il 2016 Data Breach Investigations Report di Verizon evidenzia che il 78% delle intrusioni analizzate sono state classificate di bassa difficoltà. Fra le tante mancanze in termini di governo della sicurezza aziendale che portano a questi risultati, è possibile isolare sette peccati capitali che le aziende e gli utenti commettono e che li rendono vulnerabili.
1. Applicazioni e sistemi mal configurati o non aggiornati
Molti dispositivi e sistemi tecnologici sono dotati di una configurazione iniziale che prevede impostazioni di fabbrica spesso orientate principalmente alla facilità d’uso, all’integrazione e alla distribuzione, piuttosto che alla sicurezza. Ciò comporta inevitabilmente delle vulnerabilità che diventano un facile bersaglio da sfruttare per eventuali malintenzionati e, in aggiunta, se sistemi e applicazioni non vengono aggiornati con regolare periodicità, diventano sempre più vulnerabili. L’adozione di misure di hardening, appositi controlli focalizzati sulla sicurezza e l’aggiornamento delle patch applicative e di sistema sono pratiche che rivestono una particolare criticità e dovrebbero costituire un livello chiave nella strategia di defense-in-depth (difesa in profondità a tutti i livelli) di qualsiasi azienda.
2. Password deboli
Sebbene a qualcuno risulterà difficile da credere, c’è gente che sta ancora utilizzando password come “123456” o “password”. Non bastasse questo, un’altra pessima abitudine è il riutilizzo delle password, ovvero l’adozione della medesima password su diversi account online. La naturale conseguenza è che se un malintenzionato ottiene la password di un account, ottiene automaticamente l’accesso anche a tutti gli altri. Le aziende, quindi, devono adottare politiche e procedure di sicurezza che richiedano l’implementazione di password robuste e impongano il cambio della password ad intervalli di tempo regolari. L’adozione di uno strumento che archivi e gestisca le password in sicurezza può essere di grande aiuto e basta affidarsi a programmi di mercato che utilizzino potenti algoritmi e sistemi di crittografia, keylogger, protezione anti-phishing e funzionalità di blocco.
3. Dipendenti non addestrati
Molti attaccanti prendono di mira direttamente gli utenti per ottenere l’accesso alla rete e alle informazioni delle aziende. Gli attacchi di phishing, infatti, sono ancora oggi uno dei metodi più utilizzati dai malintenzionati e ciò avviene semplicemente perché è una tecnica che continua a funzionare. Tutti gli utenti, a qualsiasi livello, hanno bisogno di un addestramento specifico sulla sicurezza, quantomeno con periodicità annuale, per riconoscere e difendersi dalle più recenti tecniche di attacco e dalle più diffuse minacce, in particolare da quelle che coinvolgono il fattore umano come il phishing e altre forme di social engineering. Naturalmente, non c’è alcuna garanzia che un utente non cada in una trappola e, proprio per limitare i danni in questi casi, le aziende possono diminuire le vulnerabilità che un attaccante potrebbe sfruttare assicurandosi che i sistemi e i dispositivi aziendali siano il più possibile protetti, opportunamente configurati ed aggiornati. Un programma aziendale di educazione, consapevolezza e formazione sui temi della sicurezza delle informazioni è sempre un’ottima idea per aumentare il livello generale di cognizione dell’intera struttura organizzativa.
4. Confusione sul cloud
La aziende stanno spostando rapidamente sempre più informazioni, infrastrutture e servizi verso il cloud computing, ma molte di queste non hanno una reale percezione o una conoscenza approfondita di quali misure di sicurezza siano state adottate. Ben due terzi delle aziende intervistate, infatti, hanno dichiarato di non sapere come venivano protetti i dati sensibili da parte del cloud service provider. Di conseguenza, è importante porre ai rispettivi provider alcune domande ben precise:
- Quali misure di sicurezza sono state adottate per proteggere le informazioni aziendali?
- Chi ha accesso, logico o fisico, alla macchina che fisicamente ospita le informazioni della mia azienda?
- Dove è fisicamente ubicata la macchina che ospita le informazioni?
Un altro aspetto molto importante da comprendere è che lo spostamento dei dati verso il cloud computing non riduce affatto le esigenze dell’azienda in termini di conformità ai requisiti legali e regolamentari come tutela della privacy, PCI DSS o HIPAA. Il ricorso a servizi cloud deve sempre essere valutato con la massima attenzione e con il diretto coinvolgimento della sicurezza.
5. Caos sui dispositivi mobili
Il perimetro aziendale si è di fatto dissolto da tempo e le misure di sicurezza dipendono oggi anche da ciascun utente in possesso di dispositivi mobili, poiché i più recenti smartphone, tablet e altri dispositivi del genere forniscono numerose opportunità aggiuntive a potenziali attaccanti cibernetici. Oltre il 44% delle aziende recentemente intervistate consente il BYOD (Bring Your Own Device o consumerizzazione) e un ulteriore 18% ha in previsione di consentirlo entro la fine del 2013. Questo particolare fenomeno aumenta notevolmente i rischi di sicurezza per l’azienda, principalmente a causa di minacce come l’accesso non autorizzato alla rete aziendale o ulteriori infezioni da malware, proprio perché l’azienda non ha di fatto il controllo sui dispositivi mobili dei propri dipendenti. Di conseguenza, le aziende hanno l’indubbia necessità di sviluppare ed imporre politiche di sicurezza stringenti sull’uso di questi dispositivi, nonché di implementare opportuni controlli per proteggere dispositivi e dati, senza dimenticare né l’installazione e la manutenzione di strumenti software di sicurezza, né l’attivazione di appositi timeout per le password e le sessioni.
6. Ossessione per i social media
La recente intrusione avvenuta nell’account Twitter di Associated Press ha causato un impatto immediato sul mercato azionario ed ha evidenziato ancora una volta il potere e, al tempo stesso, la vulnerabilità dei social media. L’enorme volume di utenti e di informazioni che vengono postate sui diversi social media genera un altrettanto ingente volume di opportunità, per eventuali attaccanti, di utilizzare apposite tecniche di social engineering al fine di ottenere l’accesso ad account individuali e aziendali. Gli stessi siti dei social network sono diventati efficaci vettori di moderni malware, di conseguenza le aziende hanno più che mai la necessità e il dovere di definire e imporre politiche di sicurezza stringenti che regolamentino chi è autorizzato a pubblicare informazioni e che tipo di informazioni possono essere pubblicate su siti e account ufficiali dell’azienda. Alcuni suggerimenti in proposito sono l’istituzione di un processo che preveda un vaglio preventivo da parte della struttura di sicurezza sui contenuti da pubblicare e l’assicurazione che opportuni controlli di sicurezza vengano adottati a protezione dell’intera infrastruttura.
7. Inventario e controlli di accesso incompleti
Come puoi proteggere qualcosa che non sai nemmeno di avere? Molte aziende non sono ancora in grado di inventariare e catalogare adeguatamente i propri asset, né di condurre apposite analisi dei rischi per assegnarvi una priorità e una classificazione di sicurezza, né tantomeno di implementare adeguati controlli di accesso. Per un’azienda è fondamentale assicurarsi che le informazioni, i servizi di business e i propri asset siano classificati e dotati di opportuni controlli, pertanto è indispensabile sapere con certezza quali informazioni vengono gestite, chi vi ha accesso e quando, dove e come esse vengono accedute. L’allestimento di un catalogo degli asset aziendali che contenga tutte le relazioni e le informazioni necessarie alla corretta ed esaustiva contestualizzazione del perimetro, dei servizi di business e delle possibili conseguenze dei cambiamenti è oggi un elemento imprescindibile per l’azienda che vuole tenersi al passo con le più moderne tecnologie e misure di sicurezza.
Confessione, pentimento e riparazione
Se vi riconoscete in qualcuno di questi peccati capitali di sicurezza (o in tutti), per il bene vostro e della vostra azienda non vi resta che confessarli a voi stessi, pentirvi e cercare di dare una svolta alla vostra avventura lavorativa, indirizzando al meglio gli aspetti citati in questo articolo. Anche perché, se sceglierete di continuare a peccare in questi termini, è molto probabile che prima o poi vi tocchi affrontare le pene dell’inferno.
Ettore Guarnaccia