Proteggi la tua azienda durante l’emergenza COVID-19: guida per CIO e CISO

CorporateCIOCISOcoronavirusCOVID-19

Un passaggio non pianificato e rapido al lavoro a distanza sta costringendo involontariamente le aziende ad allentare i controlli di sicurezza informatica. I CIO e i CISO devono attivarsi rapidamente per contrastare i rischi prima che i criminali capitalizzino a loro spese

I cyber criminali sono intraprendenti e opportunisti. Si muovono rapidamente per approfittare di una situazione. Quella del COVID-19 non è diversa.

I cybercriminali stanno cercando di sfruttare questo periodo di incertezza e di cambiamento per raggiungere i loro scopi.  I rischi sono amplificati dalle sfide IT immediate e impreviste che le aziende stanno affrontando per garantire che il loro personale possa lavorare da casa.

Esistono due aree che hanno maggiori probabilità di provocare un incidente di sicurezza informatica a causa della crisi in corso: l’accesso remoto e il phishing. Tratteremo entrambi in questo articolo e forniremo una serie di raccomandazioni prioritarie per prevenire o almeno mitigare rapidamente questi problemi critici.

Accesso remoto

Con accesso remoto ci si riferisce alla miriade di modi in cui le organizzazioni consentono ai propri dipendenti di lavorare da casa. Questi vanno dai servizi “tradizionali” di accesso remoto, come VPN e gateway terminal service, nonché servizi di conferencing cloud native e altri strumenti di collaborazione che le organizzazioni di tutto il mondo stanno adottando in fretta.

Il rischio chiave è un’autenticazione debole ai servizi di accesso remoto.

Le organizzazioni si battono da anni per garantire che i servizi (in particolare quelli rivolti a Internet) siano protetti dall’autenticazione a più fattori (MFA) e accessibili solo con account aziendali gestiti a livello centrale (in genere tenuti in Active Directory, Azure o Okta).

Nel migliore dei casi fare bene tutto questo è una vera sfida e richiede che il personale IT abbia una conoscenza approfondita di SAML, OpenID e varie altre tecnologie e standard che supportano la nostra attuale gestione delle identità.

Questo sta, ovviamente, in cima a tutte le tecnologie legacy (LDAP, RADIUS, Kerberos, ecc…) che sono ancora in uso per supportare l’autenticazione nelle architetture tradizionali.

Lanciati in una crisi globale con i team IT di tutto il mondo che si affannano per mantenere i servizi accessibili è ovvio che la complessità della federazione delle identità e le richieste di MFA non saranno al primo posto.

Questo è perfettamente comprensibile e, nella maggior parte dei casi, correre un rischio per ottenere servizi online è assolutamente la decisione giusta. Le imprese stanno lottando per sopravvivere e la continuità e la disponibilità dovrebbero avere la precedenza.

I problemi di sicurezza si verificano per un paio di motivi. In primo luogo le modifiche apportate rapidamente in prima linea potrebbero non essere state comprese dai leader aziendali meglio posizionati per valutare il rischio risultante.

In secondo luogo, anche quando sono state effettuate valutazioni del rischio, le premesse originali probabilmente non sono più corrette. Solo poche settimane fa ci aspettavamo che tutto tornasse alla normalità nel giro di un mese circa. Ora sta diventando molto chiaro che questa nuova realtà potrebbe essere a lungo termine e la finestra di esposizione derivante da servizi scarsamente protetti potrebbe estendersi per mesi o addirittura anni.

Inoltre, sarà molto difficile per un’azienda tornare ai precedenti modelli di lavoro quando i dipendenti si renderanno conto che è possibile lavorare da casa in modo molto efficiente.

In breve, le aziende non devono dare per scontato che rimuoveranno rapidamente tutti questi rischiosi servizi Internet. Devono invece capire come proteggerli.

Cosa dovrebbero fare i responsabili IT e della sicurezza?

Ci sono correzioni a lungo e breve termine. Le correzioni a lungo termine si riducono a un approccio zero trust. Non vi è dubbio che questa crisi accelererà lo spostamento verso architetture di questo tipo.

Sfortunatamente le aziende non possono e non devono correre in questa direzione poiché richiede grandi investimenti nell’infrastruttura IT e cambiamenti nella mentalità organizzativa per essere portati a termine con successo.

Le organizzazioni dovrebbero quindi concentrare i propri sforzi sulla riduzione tattica del rischio il più rapidamente possibile. In primo luogo ciò significa garantire servizi chiave protetti con l’MFA con ogni mezzo possibile.

Meglio affrontare la questione per servizio. Le organizzazioni devono identificare quali servizi sono più a rischio e più preziosi per i loro concorrenti. Per le aziende con infrastruttura locale e sicurezza tradizionale basata sul perimetro, è probabile che si tratti di VPN e altri gateway di accesso remoto.

Per le organizzazioni con infrastruttura cloud, il focus dovrebbe essere il loro identity provider (più comunemente Azure o Okta). Come punto centrale per l’autenticazione, basterà semplicemente abilitare qui l’MFA per ottenere la vittoria più importante e più veloce, soprattutto perché sia Azure che Okta hanno incorporato funzionalità di MFA e integrazioni con provider di terze parti popolari come Duo.

Le organizzazioni che non sono riuscite a centralizzare le identità cloud dovranno guardare ad applicazioni specifiche e vedere se offrono le funzionalità di MFA. Posta, collaborazione, sistemi CRM ed ERP sono ovviamente i punti da cui iniziare.

Considerate anche i servizi altamente critici ma meno accessibili come gli strumenti di gestione della sicurezza. Questo articolo della Knowledge Base illustra la configurazione della MFA nella nostra piattaforma di sicurezza Sophos Central.

Fare compromessi difficili

Anche queste scelte tattiche non sono facili e bisognerà scendere a compromessi. Il saldo esatto di questi ultimi sarà diverso per ogni organizzazione, ma ecco alcune considerazioni:

Capacità VPN

Se stai eseguendo il backhauling del traffico client, consentire la “Split VPN” (in cui i client passano direttamente a Internet) è il modo più rapido per acquisire capacità e probabilmente il meno rischioso rispetto all’esposizione di servizi interni non sicuri direttamente online.

Tuttavia, ciò dipende dal fatto che i client dispongono di browser aggiornati e, idealmente, di una protezione Web basata su endpoint. Inoltre, tenete presente che se si dispone di servizi SaaS che fanno affidamento su client provenienti da indirizzi IP aziendali noti, non bisogna semplicemente disattivare tale controllo: basta sostituirlo con l’MFA!

MFA centralizzata e decentrata

Collegare l’MFA al proprio identity provider consente un’esperienza comune in tutte le applicazioni. Questo senza dubbio genera meno confusione per il personale e risulta più facile da implementare. È anche un percorso molto più lungo se non si dispone di un servizio di identità centralizzato.

L’inserimento dell’identità federata su un’app di produzione esistente può essere davvero difficile, quindi, tatticamente, può essere più semplice abilitare le funzionalità di MFA tramite il service provider.

Ciò significa che il personale avrà probabilmente diversi meccanismi di autenticazione per navigare. Certo, non è l’ideale, ma non dimenticate che sono abituati a gestirli anche quando accedono ad applicazioni non lavorative (internet banking, e-mail personale, ecc.).

Tutti stanno gestendo molti cambiamenti in questo momento, quindi potrebbero essere più accomodanti di quanto ci si aspetti! 

L’MFA basata su SMS

Ci sono preoccupazioni molto valide sull’MFA basata su SMS. È anche il modo più semplice e veloce per abilitarla, in particolare poiché lo staff probabilmente ne avrà familiarità.

L’MFA basata su SMS è incommensurabilmente meglio di niente. Se è la strada più veloce per proteggere la propria attività, è molto probabile che sia il punto giusto da cui iniziare. Assicuratevi di avere un piano di migrazione verso qualcosa di più sicuro.

Le password

Se state sviluppando nuovi servizi (ad es. Videoconferenza) e non siete in grado di impostare un’identità federata, i dipendenti dovranno ricordare ancora più password. Il rischio maggiore a questo punto è il riutilizzo della password.

Non ci si può ragionevolmente aspettare che i dipendenti ricordino dozzine di password uniche. Un password manager è lo strumento migliore per aggirare questo problema. Sfortunatamente ci vuole un po’ di tempo per abituarsi ai gestori di password e la user experience può essere molto confusa per il personale non tecnico.

In un momento di difficoltà, scrivere le password fisicamente su un taccuino non è la cosa peggiore per ora. Potrebbe contrastare completamente l’opinione diffusa, ma, essendo tutti a casa, le possibilità che quel taccuino cada nelle mani di un avversario sono scarse in questo momento.

Basta provare a trovare una soluzione migliore – e cambiare le password – prima che il personale inizi a muoversi nuovamente!

Altre considerazioni

Oltre all’MFA ci sono un paio di altri rischi correlati all’accesso remoto da considerare:

Vulnerabilità della VPN e del gateway di accesso remoto

Il patching delle infrastrutture critiche probabilmente sembra rischioso in questo momento. Sfortunatamente negli ultimi mesi si sono verificate alcune vulnerabilità molto gravi nelle comuni apparecchiature di accesso remoto.

Queste vulnerabilità sono attualmente attivamente sfruttate da più gruppi criminali. Se hai un servizio vulnerabile devi aggiornare immediatamente. È sufficiente disporre di un piano di backup nel caso in cui il dispositivo non riesca a eseguire l’aggiornamento (soprattutto se non si è in grado di ottenere l’accesso fisico).

Aggiornamenti di sicurezza degli endpoint

Controlla la tua infrastruttura per assicurarti di ricevere ancora aggiornamenti dal tuo provider di sicurezza endpoint. Se disponi di una gestione basata su cloud (come Sophos Central), probabilmente è tutto a posto, ma in caso contrario, è essenziale che i tuoi clienti possano raggiungere i servizi di aggiornamento.

Ciò richiede la verifica che la tua VPN consenta l’accesso ai tuoi server di aggiornamento (e che tu abbia la capacità). Non dimenticare di considerare i client che potrebbero non connettersi regolarmente alla VPN. 

Attacchi di phishing

Gli attacchi di phishing che utilizzano il COVID-19 come esca sono il rischio di cybersicurezza più visibile e immediato nella crisi in corso.

Ciò non sorprende poiché abbiamo visto gli attaccanti usare gli eventi di attualità come richiamo per molti anni. Purtroppo i rischi questa volta sono più alti.

Innanzitutto, tutti sono preoccupati e gestiscono un cambiamento senza precedenti nella loro vita quotidiana. Le situazioni di forte stress rendono tutti affamati di informazioni e con meno probabilità di valutare obiettivamente qualsiasi messaggio che ricevono. In secondo luogo, i dipartimenti IT e i fornitori di servizi ci stanno bombardando con messaggi legittimi sulle modifiche ai servizi.

Metti insieme tutti questi problemi e ti renderai conto che è irrealistico aspettarsi che i dipendenti identifichino e segnalino accuratamente tutti gli attacchi. Devi presumere che alcuni riusciranno a farlo mentre altri membri del personale verranno ingannati.

Accettare questo ti consente di concentrarti sull’essere resistente agli attacchi piuttosto che sperare di evitarli. Esistono già molti consigli al riguardo, quindi tratteremo brevemente le basi:

MFA

La buona notizia è che abbiamo già trattato la difesa più importante! Il phishing delle credenziali, in base al quale gli aggressori creano una falsa pagina di accesso per indurre lo staff a inserire le proprie credenziali, è la forma più comune di phishing. L’MFA è un’ottima (anche se non sempre perfetta) forma di difesa contro questa frode *.

Consapevolezza

Questo è ancora importante. Incoraggiando le segnalazioni di phishing da parte del personale, è possibile avvisare gli altri e, se si dispone di un team (o servizio) operativo di sicurezza, anche analizzare l’attacco per identificare indicatori o compromissioni che alimentino i processi di caccia alle minacce.

Difese endpoint ed e-mail

Il vostro software di sicurezza ha più possibilità di catturare un attacco di phishing. Più possibilità gli darete, migliore sarà la protezione complessiva:

  • Può rifiutare persino di ricevere l’email poiché sa che proviene da uno spammer.
  • Può scansionare l’e-mail e tutti gli allegati e gli URL per bloccarlo.
  • Il filtro Web può bloccare le connessioni a siti Web dannosi o individuare un payload dannoso sul sito.
  • Il software Endpoint può individuare file e comportamenti dannosi nel caso in cui tutte le difese precedenti fallissero e il dipendente finisse per eseguire qualcosa di dannoso sul proprio sistema.

Più sono ben configurate ed efficaci tutte queste difese, meno è probabile che un attaccante possa riuscire a sfuggire a tutto.

Patching

I download drive-by sono oggi meno comuni, ma rappresentano ancora un rischio reale. Le patch di browser, client di posta e applicazioni (come Microsoft Office) che vengono regolarmente utilizzate per aprire gli allegati, limiteranno quegli odiosi attacchi che si basano su un’interazione minima da parte dell’utente.

Infine, al giorno d’oggi ci sono pochi motivi per eseguire plugin del browser come Flash, Java, ecc. Disabilitarli, se possibile, è molto più semplice e sicuro che cercare di mantenerli aggiornati.

Conclusioni

I criminali stanno già sfruttando il COVID-19 nei loro attacchi informatici e l’accesso remoto e il phishing sono le due aree che hanno più probabilità di provocare un incidente di sicurezza informatica.

Abbiamo trattato una serie di misure che è possibile adottare per mitigare questo rischio. Ci rendiamo anche conto che il tempo è scarso, quindi abbiamo compilato un elenco dei primi sette passaggi che raccomandiamo a tutte le aziende.

Sono elencati in ordine di priorità, quindi iniziate dall’alto e procedete verso il basso.

  1. Assicuratevi che tutti i servizi di connessione a Internet siano protetti con l’MFA (quella basata su SMS è meglio di niente)
  2. Aggiornate i servizi di accesso remoto, in particolare VPN e gateway terminal service.
  3. Monitorate i report di phishing e chiedete al vostro team operativo o al servizio MTR di cercare i IOC associati.
  4. Verificate che i client remoti continuino a ricevere gli aggiornamenti di sicurezza degli endpoint.
  5. Assicuratevi che il vostro sistema operativo, browser, client e-mail e software comunemente utilizzati per aprire gli allegati siano impostati per l’aggiornamento automatico.
  6. Disabilitate i plug-in del browser come Java, Flash e Acrobat.
  7. Utilizzate la federazione delle identità per garantire l’accesso a tutti i servizi cloud con le credenziali aziendali.

State attenti. Gli attacchi correlati al coronavirus probabilmente aumenteranno nel corso delle prossime settimane e mesi.

I SophosLabs stanno attivamente monitorando le minacce relative al coronavirus ed è possibile ottenere gli ultimi aggiornamenti collegandosi al loro blog Uncut.

 

 

* L’MFA può effettivamente rappresentare una difesa quasi del 100% contro il phishing, ma è necessario implementare e consentire solo token hardware come Yubikeys come secondo fattore.

Leave a Reply

Your email address will not be published.