Come Prevenire Data Breaches nel proprio perimetro di rete

Quali sono gli approcci e le capacità di sicurezza da implementare per evitare una violazione e i relativi danni economici.

 

Fin dallo scorso anno la pandemia COVID-19 ha aumentato i rischi di data breaches in ambito security per le aziende di tutto il mondo, perché si è assistito alla frettolosa adozione del lavoro da remoto, via smartworking senza una adeguata e correlata sicurezza. Infatti, l’utilizzo di PC e wi-fi casalinghi, la frettolosa abilitazione di servizi in cloud e l’estensione delle reti aziendali fino alle case dei singoli dipendenti, non è andata sempre di pari passo all’introduzione di appropriate misure di sicurezza a corredo di tali abilitazioni. Tutto questo ha contribuito all’aumento della superficie di attacco. I risultati sono evidenti e significativi sia in termini di vulnerabilità che gli attaccanti sfruttano senza perdere tempo, sia in temrini di attacchi andati a segno. Naturalmente esiste una significativa differenza fra incidenti di sicurezza e data breaches. I primi non sempre implicano una compromissione dei dati, mentre invece i data breaches sono sempre incidenti di sicurezza.

Reagire è tuttavia possibile: non esiste certamente rischio zero, ma nemmeno l’attacco e le sue conseguenze sono ineluttabili, a patto naturalmente di gestire il rischio attraverso la difesa approfondita che richiede il monitoraggio continuo e una capacità di risposta in tempo reale basata su apprendimento automatico.

 

Incidenza dei Data Breaches

Dall’ultimo Report di Data Breach Investigations Report 2021 di Verizon  basato sui dati del 2020, emerge un numero totale di 29.207 incidenti, di cui 5.258 sono stati confermati come data Breaches. Percentuali in aumento sono state registrate sugli attacchi di phishing per un +11% e sui ransomware per un + 6%, insieme al numero elevato di attacchi rivolti alle applicazioni Web. L’85% delle violazioni è stato determinato da una componente umana, mentre il 61% ha riguardato la esfiltrazione di credenziali e il 13% è stato causato da ransomware. In termini di impatti finanziari, il 95% dei data breaches ha causato danni finanziari tra gli 826 e i 653.587 dollari, ma in alcuni casi i ransomware sono arrivati anche a cifra superiori al milione di dollari di riscatto.

Dopo questo avvilente quadro sui data breaches 2020, purtroppo si deve constata come l’avvio del 2021 non consenta una valutazione più ottimistica. Infatti, i dati sui più grandi breaches occorsi da gennaio 2021 evidenziano già 53 mega data breach (il più piccolo avvenuto in India su 500mila record di cittadini indiani, il più grande di 3,27 bilioni di record, denominato COMB e scoperto su RAID Forum) (Fonte dati e grafica Hackmageddon).

 

Ambiti più vulnerabili ai data breaches

Alcuni ambiti digitali sono maggiormente preferiti dagli attaccanti per effettuare un attacco e causare un data breach: gli attacchi alle applicazioni web continuano ad essere elevati e costituiscono il principale vettore di attacco nelle azioni di hacking, con oltre l’80% dei data breaches. Subito conseguente a questo dato anche l’incidenza aumentata della compromissione di credenziali (61%) per l’accesso illecito ai sistemi di posta elettronica basati su cloud. Tanto che anche la compromissione delle risorse cloud esterne si è rivelata più numerosa rispetto alle risorse locali e questo sia in relazione agli incidenti sia per i data breaches. (Fonte DBIR).

Anche gli IoT sono soggetti a rischio data breaches perché seppure apparentemente insignificanti, rappresentano punti di accesso preziosi per vaste intrusioni di rete, e possono essere utilizzati per condurre attività di spionaggio, creare botnet, o estrarre criptovalute. L’IoT rappresenta di fatto un pericolosissimo punto cieco per le aziende a causa di prassi di produzione troppo veloci ed incuranti della sicurezza by design, per battere la concorrenza e guadagnare di più. In questi casi la security sembra quasi un “ripensamento”, una sorta di passaggio successivo nel processo di produzione. Ma è proprio questo comportamento che favorisce gli aggressori, e rende l’hacking molto più semplice: approfittando di configurazioni errate, forzando le credenziali di accesso, violando le comunicazioni fra devices e in generale sfruttando la mancanza di una appropriata progettazione della sicurezza (Fonte: Darktrace).

Il DBIR ha evidenziato anche il fenomeno phishing (36%) che colpisce le vulnerabilità nell’essere umano, con una incidenza pari all’ottantacinque per cento dei data breach. Fra le tecniche di ingegneria sociale, le minacce BEC (Business E-mail compromise) sono state altamente utilizzate con un tasso di successo e di inganno di 15 volte superiore rispetto allo scorso anno.

 

Cosa fare per minimizzare i data breaches?

Per introdurre una protezione efficace contro i data breaches all’interno di un perimetro “fluido” costituito da porzioni di infrastruttura IT in Cloud, devices in smartworking, reti wifi, Iot, etc, l’approccio della difesa in profondità (in-depth defence) si rivela vincente. Si tratta di implementare misure di sicurezza a più livelli, sia nei comparti aziendali (formazione, valutazioni di rischio etc.), sia nel network (sui singoli livelli di rete e protocolli correlati – Pila Iso/osi), per garantire una continua valutazione della postura di sicurezza generale. Coniugato a questo, è consigliabile anche attuare il paradigma dello “Zero Trust”, perché è incentrato sulla protezione delle risorse e la premessa che la fiducia non viene mai concesso implicitamente ma deve essere continuamente valutata nel perimetro «fluido» aziendale. Questo approccio alle risorse dell’impresa include la gestione delle identità, delle credenziali, la gestione degli accessi, le operazioni, gli endpoint, e l’infrastruttura di interconnessione. Secondo la in-depth defence, tuttavia, proteggere ognuno di questi ambiti richiede di supervisionare ogni evento nella rete che li collega, istituendo quindi una capacità di monitoraggio continuo delle diverse porzioni di rete aziendale, prevenzione delle possibili azioni malevole, detection di anomalie e una risposta appropriata in tempo reale. Per scegliere l’azione più adatta al contesto il sistema di difesa, tutte le capacità possono essere collegate ad un sistema di apprendimento automatico (Machine Learning-ML) capace di analizzare e prevenire situazioni anomale, ma anche di gestirle prima che si palesi l’attacco vero e proprio e con esso il danno. Nei casi invece di anomalia conclamata queste stesse abilità decisionali automatiche, abilitano ad una risposta immediata e proporzionata alla situazione per impedire che il danno si manifesti e/o si propaghi ad un livello incontrollato. In sostanza, un simile sistema autonomo di difesa può “scalare” su diverse fasi intermedie commisurate alle minacce locali: movimenti laterali, attacchi evasivi, condizioni sospette di routing e criticità specifiche della rete o a livello di header di pacchetto per scovare indizi di pericolo IOC di Threat Hunting, pattern malevoli, hash, anomalie nelle statistiche, blacklist. In questo tipo di sistemi l’ML è sfruttato per estrapolare valore aggiunti da tutti i LOG ed eseguire previsioni di attacco preparando in anticipo potenziali recovery per i bersagli più̀ colpiti, come una sorta di VA passivo e quotidiano.

Se pensate che tutto questo sia avvenieristico o lontano dall’essere reale, o alla portata di aziende PMI, dovete proprio ricredervi! Stay tuned che vi raccontiamo a breve il perché!