Gli attacchi agli account di posta elettronica continueranno a essere uno dei metodi più popolari utilizzati dai criminali informatici per ottenere l'accesso ai dati aziendali sensibili. Best practice Barracuda contro la mancanza di integrazione tra risposta agli incidenti e sicurezza web.
Sebbene i classici come allegati o collegamenti e-mail compromessi servano ancora al loro scopo, gli aggressori non vogliono necessariamente fare affidamento su di essi: l'ingegneria sociale o l'utilizzo di credenziali rubate per il furto di dati pianificato sono tattiche molto più difficili. E così, le risposte inefficienti agli attacchi e-mail costano alle aziende miliardi ogni anno. Per molte organizzazioni, trovare, identificare e rimuovere le minacce e-mail è un processo lento, manuale e che richiede molte risorse. Tempo prezioso che spesso può portare all'ulteriore diffusione di un attacco.
In media: attacchi di phishing su 10 dipendenti
Per comprendere meglio i modelli di minaccia e le pratiche di risposta, gli analisti della sicurezza di Barracuda hanno studiato circa 3.500 aziende, con un chiaro risultato: un'azienda con 1.100 utenti subisce circa 15 incidenti di sicurezza e-mail al mese. Un "incidente" si riferisce a e-mail dannose che hanno superato le soluzioni di sicurezza IT e sono arrivate nelle caselle di posta degli utenti. Una volta identificati, questi incidenti devono essere classificati in ordine di priorità e investigati per determinarne l'ambito e il livello di minaccia. Se si rivela una minaccia, devono essere intraprese anche azioni correttive. In media, 10 dipendenti sono colpiti da ogni attacco di phishing che arriva alla posta in arrivo. Come accennato in precedenza, i collegamenti dannosi funzionano ancora: il 73% dei dipendenti viene indotto da un collegamento di phishing a cliccarlo, lasciando l'intera organizzazione alla mercé degli aggressori. Gli hacker hanno bisogno solo di un clic o di una risposta via e-mail per lanciare con successo un attacco. È bello sapere che le aziende che formano i propri utenti possono vedere un miglioramento del XNUMX% nell'accuratezza delle e-mail segnalate dagli utenti dopo solo due sessioni di formazione.
Di seguito, l'articolo esamina più da vicino i modelli di minaccia identificati e le pratiche di risposta e fornisce i passaggi che i team di sicurezza IT possono adottare per migliorare in modo significativo la risposta dell'organizzazione alle minacce e-mail dopo la consegna.
Minacce e-mail post-consegna
Le attività svolte per affrontare le conseguenze di una violazione della sicurezza e le minacce che sorgono dopo la consegna sono comunemente denominate risposta agli incidenti. Una risposta agli incidenti efficace mira a rimediare rapidamente alla minaccia alla sicurezza per impedire la diffusione dell'attacco e ridurre al minimo il potenziale danno.
Poiché gli hacker utilizzano tecniche di social engineering sempre più sofisticate, le minacce e-mail sono diventate sempre più difficili da rilevare sia per i controlli tecnici IT che per gli utenti e-mail. Non esiste una soluzione di sicurezza IT in grado di prevenire tutti gli attacchi. Allo stesso modo, gli utenti non segnalano sempre e-mail sospette, per mancanza di formazione o per disattenzione. Se lo fanno, l'accuratezza dei messaggi segnalati è uno spreco di risorse IT. Senza un'efficiente strategia di risposta agli incidenti, le minacce possono spesso passare inosservate finché non è troppo tardi.
Scopri efficacemente le minacce con la caccia alle minacce
Esistono diversi modi per identificare le minacce e-mail in modo da poterle correggere. Gli utenti possono segnalarli, i team IT possono condurre la caccia alle minacce internamente o assumere fornitori esterni per rimediare agli attacchi. I dati sulle minacce risolte condivisi tra le organizzazioni sono in genere più affidabili dei suggerimenti segnalati dagli utenti.
Gli analisti di Barracuda hanno rilevato che la maggior parte degli incidenti (67,6%) sono stati scoperti attraverso indagini interne di caccia alle minacce avviate dal team IT. Queste indagini possono essere svolte in diversi modi. Di solito vengono cercati i registri dei messaggi o le ricerche di parole chiave o mittenti vengono eseguite nelle e-mail consegnate. Un altro 24% degli incidenti è derivato da e-mail segnalate dagli utenti. Circa l'otto percento è stato scoperto utilizzando l'intelligence sulle minacce della comunità e il restante mezzo percento attraverso altre fonti come incidenti automatizzati o già risolti.
È vero che le aziende dovrebbero sempre incoraggiare i propri dipendenti a segnalare e-mail sospette. Tuttavia, un torrente di e-mail segnalate dagli utenti mette anche a dura prova i team IT con risorse limitate. Un buon modo per aumentare l'accuratezza dei report degli utenti è condurre una formazione coerente sulla consapevolezza della sicurezza.
Il tre percento degli utenti di posta elettronica fa clic sui collegamenti nelle e-mail dannose
Una volta che i team di sicurezza IT hanno identificato e confermato le e-mail dannose, devono valutare la potenziale portata e l'impatto dell'attacco. Identificare tutti coloro che all'interno di un'organizzazione hanno ricevuto messaggi dannosi può richiedere molto tempo senza gli strumenti giusti.
Il tre percento dei dipendenti di un'organizzazione fa clic su un collegamento in un'e-mail dannosa, esponendo l'intera organizzazione agli aggressori. In altre parole, in un'organizzazione media con 1.100 utenti di posta elettronica, circa cinque di loro faranno clic su un collegamento dannoso ogni mese. Ma non è tutto: i dipendenti inoltrano o rispondono a messaggi dannosi e quindi diffondono gli attacchi non solo all'interno della loro azienda ma anche all'esterno. Il valore può sembrare piccolo a prima vista, ma il suo impatto non è meno significativo. Agli hacker basta un clic o una risposta perché un attacco abbia successo. E bastano solo 16 minuti perché un utente faccia clic su un collegamento dannoso. Rapide indagini e rimedi sono quindi fondamentali per mantenere la sicurezza dell'organizzazione.
Le e-mail dannose trascorrono 83 ore nelle caselle di posta
L'eliminazione delle e-mail può essere un processo noioso e dispendioso in termini di tempo. In media, passano tre giorni e mezzo dal momento in cui un attacco arriva nelle caselle di posta degli utenti fino a quando non lo segnalano o il team di sicurezza lo rileva, e infine l'attacco viene eliminato. Una formazione mirata sulla sicurezza può ridurre significativamente questo lungo periodo migliorando l'accuratezza degli attacchi segnalati dagli utenti. L'uso aggiuntivo di strumenti di difesa automatica può rilevare ed eliminare automaticamente gli attacchi. Infatti, solo il XNUMX% delle aziende aggiorna la propria sicurezza Web per bloccare l'accesso a siti Web dannosi all'interno dell'organizzazione. Ciò è dovuto principalmente alla mancanza di integrazione tra la risposta agli incidenti e la sicurezza web.
Cinque consigli per proteggersi dalle minacce post-consegna
- Formazione del personale per migliorare l'accuratezza e la portata degli attacchi segnalati
Una formazione regolare assicura che le pratiche di sicurezza vengano ricordate e l'accuratezza delle minacce segnalate evita ai reparti IT di dedicare troppo tempo a indagare su fastidiose e-mail indesiderate, non dannose. - Comunità come fonte di potenziali minacce
L'intelligence condivisa sulle minacce è un potente strumento contro le minacce in evoluzione che mettono a rischio gli utenti di dati ed e-mail. Minacce e-mail simili e talvolta identiche colpiscono più di un'organizzazione, poiché gli hacker utilizzano spesso le stesse tecniche di attacco su più obiettivi. La raccolta di informazioni da altre organizzazioni è un approccio efficace per mitigare gli attacchi su larga scala. Una soluzione di risposta agli incidenti in grado di accedere e sfruttare l'intelligence sulle minacce condivisa aiuta a condurre un'efficace ricerca delle minacce e segnalare potenziali incidenti. - Strumenti di ricerca delle minacce per indagini più rapide sugli attacchi
La scoperta di potenziali minacce, l'identificazione della portata dell'attacco e di tutti gli utenti interessati possono richiedere giorni. Le aziende dovrebbero utilizzare strumenti di caccia alle minacce che forniscano loro informazioni dettagliate sulle e-mail dopo la consegna. Questi strumenti possono essere utilizzati per identificare anomalie nelle e-mail già consegnate, cercare rapidamente gli utenti interessati e vedere se hanno interagito con messaggi dannosi. - Automatizza le difese
L'implementazione di sistemi automatizzati di risposta agli incidenti può ridurre significativamente il tempo necessario per identificare le e-mail sospette, rimuoverle dalle caselle di posta di tutti gli utenti interessati e automatizzare i processi che rafforzano le difese contro le minacce future. - utilizzare i punti di integrazione
Oltre ad automatizzare i propri flussi di lavoro, le organizzazioni dovrebbero anche integrare la risposta agli incidenti con la sicurezza della posta elettronica e del Web per prevenire gli attacchi. Le informazioni raccolte durante la risposta agli incidenti possono anche essere utilizzate per risolvere automaticamente i problemi e identificare le minacce correlate.
La risposta rapida e automatizzata agli incidenti è ora più importante che mai poiché i sofisticati attacchi di spear phishing progettati per aggirare la sicurezza della posta elettronica diventano sempre più diffusi. Pertanto, nella corsa contro i criminali informatici, l'automazione della risposta agli incidenti migliora significativamente i tempi di risposta agli incidenti, aiuta a rafforzare la sicurezza aziendale, limita i danni e fa risparmiare tempo e risorse preziose ai team IT.
Altro su Barracuda.com[stellaboxid=5]