Quante email di lavoro hai inviato e ricevuto oggi? Nonostante l’aumento dell’utilizzo delle chat sul posto di lavoro e delle app di messaggistica istantanea, per molti di noi la posta elettronica continua a dominare le comunicazioni aziendali sia internamente che esternamente.
Sfortunatamente, la posta elettronica è anche il punto di ingresso più comune per gli attacchi informatici: infiltrazione di malware ed exploit nella rete e furti di credenziali e dati sensibili.
Minacce alla sicurezza della posta elettronica: quel che è nuovo e quel che perdura
Gli ultimi dati dei SophosLabs mostrano che nel settembre 2020, il 97% dello spam dannoso catturato dalle nostre trappole anti-spam era costituito da e-mail di phishing, alla ricerca di credenziali o altre informazioni.
Il restante 3% era un miscuglio di messaggi che trasportavano collegamenti a siti Web dannosi o allegati con trappole esplosive, con la speranza di installare backdoor, trojan di accesso remoto (RAT), programmi per il furto di informazioni o exploit o altri file dannosi.
Il phishing rimane una tattica spaventosamente efficace per gli aggressori, indipendentemente dall’obiettivo finale.
Ciò è in parte dovuto al fatto che gli attaccanti continuano ad affinare le loro capacità e a migliorare la raffinatezza delle loro campagne.
Ne è un esempio l’aumento di Business Email Compromise (BEC). Non più limitate a messaggi scritti male o formattati che fingono di provenire dal CEO e richiedono il trasferimento immediato e riservato di fondi significativi, le ultime interazioni sono più sottili e intelligenti.
Gli aggressori preparano accuratamente le basi prima di lanciare l’attacco. Imparano a conoscere l’azienda e i dirigenti di destinazione, adottando il loro stile e tono linguistico e, a volte, persino i loro account di posta elettronica reali.
L’assenza di collegamenti o allegati dannosi in tali messaggi di posta elettronica li rende difficili da rilevare con gli strumenti di sicurezza tradizionali.
Gli aggressori hanno anche imparato a imitare meglio i domini web e a sfruttare appieno il fatto che un’e-mail aziendale su tre in questo momento è aperta sui dispositivi mobili.
È più difficile controllare la fonte e l’integrità di un messaggio su uno smartphone e le persone hanno maggiori probabilità di essere in movimento o distratte e sono quindi prede più facili.
Cinque passaggi per proteggere la posta della tua azienda
Tenendo presenti queste considerazioni, ecco i nostri cinque passaggi essenziali per proteggere la posta della tua organizzazione.
Passaggio 1: installa una soluzione di sicurezza intelligente e multi-capacità che controlli, rilevi e blocchi la maggior parte delle attività maligne prima che ti raggiungano.
Per difendere la rete, i dati e i dipendenti da attacchi basati sulla posta elettronica in rapida evoluzione, il punto di partenza deve essere un software di sicurezza efficace. Vale la pena considerare un’opzione basata su cloud che consente aggiornamenti in tempo reale, scalabilità e integrazione con altri strumenti di sicurezza per un’intelligenza condivisa.
Per consentire alla tua soluzione di sicurezza di funzionare al meglio, devi anche impostare controlli appropriati per le email in entrata e in uscita. Ad esempio, esegui la scansione delle email solo al ricevimento o controlli su cosa fanno clic gli utenti dopo aver aperto l’email?
Come si mettono in quarantena le e-mail indesiderate o che hanno fallito l’autenticazione e chi ha l’autorità di configurare o annullare le decisioni?
Questo mi porta alla seconda fase.
Passaggio 2: implementa misure efficaci per l’autenticazione dell’email
La tua organizzazione deve essere in grado di verificare che un’email provenga dalla persona e dalla fonte da cui afferma di provenire. Le e-mail di phishing spesso hanno indirizzi e-mail falsificati o camuffati e l’autenticazione e-mail offre una protezione vitale contro di essi.
La tua soluzione per la sicurezza della posta elettronica dovrebbe essere in grado di controllare ogni email in arrivo rispetto alle regole di autenticazione impostate dal dominio da cui sembra provenire. Il modo migliore per farlo è implementare uno o più standard riconosciuti per l’autenticazione della posta elettronica.
I principali standard di settore sono:
- Sender Policy Framework (SPF): si tratta di un record DNS (Domain Name Server) che controlla l’indirizzo di posta elettronica nei messaggi in entrata rispetto agli indirizzi IP predefiniti a cui è consentito inviare un messaggio di posta elettronica per un determinato dominio. Se l’indirizzo email in entrata non corrisponde a nessuno di essi, è probabile che l’indirizzo sia stato falsificato.
- DomainKeys Identified Mail (DKIM): esamina un’e-mail in entrata per verificare che nulla sia stato alterato. Se l’email è legittima, DKIM troverà una firma digitale collegata a un nome di dominio specifico allegata all’intestazione dell’email e ci sarà una chiave di cifratura corrispondente nel dominio di origine.
- Domain Message Authentication Reporting and Conformance (DMARC): indica al server ricevente di non accettare un’e-mail se non supera i controlli DKIM o SPF. Questi controlli possono essere eseguiti individualmente, ma DMARC li combina. Garantisce inoltre che un dominio autenticato da SPF e DKIM corrisponda al dominio nell’indirizzo di intestazione dell’email. DMARC attualmente fornisce l’approccio migliore e più utilizzato per l’autenticazione dei mittenti di posta elettronica.
Passaggio 3: istruisci i dipendenti su cosa cercare
Avvisare i dipendenti affinché riconoscano i segnali di pericolo di e-mail sospette è un’ottima linea di difesa.
È possibile implementare una formazione online formale, condividere esempi delle ultime minacce, eseguire test e mostrare loro alcuni controlli standard: l’indirizzo e-mail sembra sospetto, ci sono errori di lingua imprevisti? Se sembra provenire da un collega interno, normalmente comunicherebbero in questo modo, ecc.? L’email in entrata è qualcosa che ti aspettavi da qualcuno che conosci?
Come accennato in precedenza, alcune potenziali bandiere rosse sono più difficili da individuare quando i dipendenti aprono il messaggio su un dispositivo mobile. Un modo per risolvere questo problema è introdurre banner che evidenzino automaticamente quando un’e-mail è di origine esterna anche se si finge di provenire da un indirizzo interno.
Passaggio 4: istruisci i dipendenti su cosa fare quando trovano qualcosa
Devi rendere più facile per i colleghi segnalare situazioni di cui non sono sicuri. Ciò significa fornire loro un processo semplice, come una casella di posta Intranet per segnalare messaggi sospetti.
L’obiettivo è massimizzare il numero di casi segnalati. Non è mai troppo tardi per fermare ulteriori danni, quindi dovresti anche incoraggiare coloro che sono caduti vittima di un attacco a farsi avanti.
Passaggio 5: non dimenticare la posta in uscita
Le e-mail inviate dalla tua azienda verranno valutate dai destinatari rispetto ai metodi di autenticazione sopra elencati.
Devi assicurarti di avere controlli solidi impostati sul tuo nome di dominio. Questo è fondamentale per l’integrità delle comunicazioni e della reputazione del brand della tua organizzazione e per prevenire l’uso improprio da parte dei tuoi avversari.
Potresti anche considerare cos’altro devi monitorare e controllare quando si tratta di posta elettronica in uscita.
Ad esempio, potresti eseguire la scansione di attività anomale o modelli di comportamento insoliti (come e-mail inviate regolarmente nel cuore della notte a IP non verificati) che potrebbero indicare un account di posta elettronica interno compromesso o un attacco informatico attivo.
Oppure potresti scansionare e bloccare le informazioni di pagamento come i dettagli della carta di credito o altre informazioni sensibili del cliente che escono dalla rete.
Si tratta di aree sensibili che riguardano la consapevolezza e la fiducia dei dipendenti tanto quanto la sicurezza della posta elettronica. Il posto migliore per iniziare è istruire e supportare il personale.
Altri tre suggerimenti …
Se stai esaminando la sicurezza della posta elettronica sul tuo posto di lavoro, potresti dare un’occhiata a:
Sophos Intelix. Si tratta di un servizio di ricerca delle minacce in tempo reale che puoi utilizzare nel tuo software di sistema e script per aggiungere un rilevamento delle minacce ad alta velocità su siti Web, URL e file sospetti. Una semplice API Web basata su HTTPS che risponde in JSON significa che puoi utilizzare Sophos Intelix da qualsiasi linguaggio di programmazione o di scripting che desideri. (La registrazione è gratuita e ricevi un generoso livello di invii gratuiti ogni mese, dopodiché puoi pagare in base al consumo se desideri eseguire un volume elevato di query.)
Le minacce e-mail sono in continua evoluzione poiché gli aggressori sfruttano nuove tecnologie, nuovi ambienti o semplicemente perfezionano le loro tattiche di social engineering. Controlla regolarmente la sicurezza della tua posta elettronica e assicurati che sia al passo con i cambiamenti nella tua organizzazione e con le tecniche degli aggressori.
Sophos Phish Threat. Si tratta di un simulatore di phishing che ti consente di testare il tuo personale in modo completo, utilizzando truffe realistiche ma fasulle, in modo che i tuoi utenti possano commettere i loro errori quando dall’altra parte ci sei tu, piuttosto che quando si tratta di un criminale informatico. Puoi usarlo gratuitamente per 30 giorni (è richiesta la registrazione).
Sophos Email. La nostra soluzione di sicurezza e-mail basata su cloud che blocca gli autori di phishing, spam, malware zero-day e app indesiderate.
Leave a Reply