Sicurezza e cifratura: andare oltre username e password
Negli ultimi mesi avrete certamente un aumento delle richieste di autenticazione a due e più fattori che vengono utilizzate per verificare gli account consumer e aziendali. Questi strumenti stanno guadagnando sempre più popolarità per aiutare i consumatori e le aziende a proteggersi da frodi di identità, violazioni dei dati, skimming delle password e attacchi di phishing/ransomware.
Statistiche recenti dell’Identity Theft Resource Center (ITRC) riportano come circa il 92% delle violazioni dei dati sia correlato ad attacchi informatici e le violazioni dei dati nel primo trimestre del 2022 siano state del 14% superiori rispetto allo stesso periodo del 2021.
Le statistiche mostrano anche che solo nel primo trimestre del 2022 quasi la metà (154 su 367) delle notifiche di violazione dei dati non includeva la natura della violazione ed era designata come “‘sconosciuta” (+40% anno su anno). Quindi, come possono i CISO preparare le loro aziende a contrastare questi attacchi alla sicurezza informatica? Devono rimanere al passo con le tecnologie emergenti per combattere le minacce in evoluzione, le vulnerabilità del sistema e i cattivi attori, adattandosi a circostanze in continua evoluzione.
Attacchi informatici nel 2022
L’anno in corso ha già dimostrato di essere pieno di exploit di sicurezza. Un noto gruppo denominato Lapsus$, che opera fuori dal Sud America, ha commesso diversi attacchi informatici tra cui quelli contro NVIDIA, Samsung, T-Mobile e Vodafone.
Nel caso T-Mobile, i membri di Lapsus$ sono entrati nella rete di T-Mobile nel marzo 2022 compromettendo gli account dei dipendenti tramite phishing o un’altra forma di ingegneria sociale. Una volta all’interno del database degli account dei clienti, i criminali informatici hanno cercato di trovare account collegati al Dipartimento della Difesa degli Stati Uniti e all’FBI.
Lapsus$ ha anche rivendicato la responsabilità di un attacco informatico contro Microsoft. Il gigante del software ha confermato che i suoi repository di codice sorgente di Azure DevOps interni sono stati violati tramite l’account di un dipendente, ma ha aggiunto che è stato concesso solo un accesso limitato.
Un’altra recente violazione ha sfruttato il team di vendita di un’azienda sempre tramite ingegneria sociale. Un criminale informatico che fingeva di essere un membro del dipartimento IT aziendale dell’azienda ha contattato i venditori dell’organizzazione con richieste di credenziali di accesso al CRM. Ironia della sorte, questa richiesta è stata avanzata con il pretesto di installare livelli di sicurezza aggiuntivi per consentire agli utenti e ai loro sistemi critici di diventare più sicuri.
Sfortunatamente, almeno un venditore è caduto nello stratagemma e i criminali sono stati in grado di accedere alle proprie credenziali, ottenere l’accesso al sistema CRM dell’azienda e scaricare porzioni mirate del database dei clienti. Questi tipi di attacchi stanno diventando sempre più comuni e sono più difficili da contrastare con i metodi tradizionali di controllo degli accessi.
Implementazione dell’autenticazione a più fattori
Per i CISO è diventato fondamentale implementare l’autenticazione a due fattori (2FA) per l’accesso a tutti i computer, server, servizi infrastrutturali e applicazioni aziendali. L’aggiunta della 2FA aiuta a tenere a bada hacker e criminali informatici, impedendo loro di accedere ai sistemi, sebbene anche queste soluzioni possano essere aggirate con tecniche “intelligenti”.
Alcune aziende utilizzano chiavi di sicurezza fisiche per un ulteriore livello di protezione dei dati. Queste chiavi possono aiutare a fermare gli attacchi di phishing quando è disponibile l’autenticazione a più fattori. Sono disponibili in diversi formati, sono facili da usare e generalmente rappresentano un mezzo economico per proteggere la sicurezza dei dati.
Altre misure di sicurezza che sfruttano i dispositivi esistenti dei dipendenti sono state introdotte per combattere l’esempio appena citato dell’ignaro venditore che fornisce le credenziali di accesso al sistema. Ad esempio, un’azienda ha sviluppato un codice QR specifico per utente e transazione abbinato a tutti i dipendenti dell’azienda, inclusi gli amministratori IT. Se una persona nell’azienda riceve una richiesta per condividere i dettagli di accesso o altri dati critici, questo codice dinamico verifica la richiesta: l’identità, l’intento e l’autorizzazione per completare la transazione sono tutti verificati e approvati. Senza il codice, la richiesta non è valida.
Risolvere il problema delle password
A questo punto come risolviamo il problema delle password? Le soluzioni tecnologiche sono la risposta giusta? Ad esempio, i professionisti IT possono aumentare la sicurezza dei dati collegando il nome utente/password di una persona alla vicinanza fisica del proprio dispositivo? E sono necessari livelli più profondi sulla formazione, la gestione e il comportamento degli utenti?
Le opportunità per l’innovazione abbondano. Alcune start-up, ad esempio, stanno mettendo insieme i dati biometrici comportamentali ai fini della gestione dell’identità IT. La piattaforma valuta diversi fattori sugli individui, ad esempio il modo in cui un utente cammina, parla ad alta voce, digita sulla tastiera o muove il mouse.
Individualmente, questi fattori potrebbero non essere sufficienti per confermare l’identità di un utente, ma quando vengono combinati insieme possono creare un’identità biometrica unica che identifica un utente con una precisione quasi del 100%.
Infine, in un mondo del lavoro sempre più remoto/ibrido e instabile, i CISO devono proteggere l’accesso ai dati in diversi modi e adoperarsi per:
- Imparare e comprendere i tipi di strumenti e tattiche in evoluzione che i criminali informatici stanno utilizzando attivamente
- Preparare un piano di attacco informatico o un playbook di risposta agli incidenti
- Preparare strategie e linee guida di contenimento e mitigazione per gli eventi durante (o dopo) un attacco
- Tenersi aggiornati sulle nuove tecnologie basate sull’intelligenza artificiale che possono aiutare a ridurre al minimo i rischi per la sicurezza informatica
- Condividere la conoscenza dei dati e gli avvisi di sicurezza con altre aziende e comunità governative/di sicurezza informatica per aiutare gli altri a diventare più consapevoli delle potenziali minacce e di come mitigare al meglio questi eventi potenzialmente dannosi