La cattiva condotta, le politiche imprecise e le configurazioni errate degli endpoint sono vulnerabilità comuni. La cyber kill chain di solito cerca l'anello più debole della catena, e spesso sono le persone. Un'analisi della telemetria di Bitdefender su 110.000 endpoint nella prima metà del 2020 mostra che le configurazioni errate e la "debolezza dei dipendenti" sono le cause principali di un'altissima percentuale di attacchi informatici.
Mentre nei film di Hollywood gli hacker sfondano sempre i sistemi di sicurezza e i firewall con grande sforzo, la realtà spesso sembra diversa. Pochi attacchi richiedono uno sforzo di livello cinematografico. I sistemi impiegati e configurati in modo errato di solito si occupano del lavoro principale e creano gateway vulnerabili. Gli attacchi colpiscono efficacemente anche i principali punti deboli della sicurezza aziendale, uno dei quali è spesso l'essere umano.
L'endpoint può essere una vulnerabilità
Le configurazioni errate degli endpoint causano circa un terzo di tutti gli incidenti di sicurezza e politiche di gestione remota imprecise rendono vulnerabili centinaia di migliaia di sistemi. Inoltre: il 93 percento dei dipendenti utilizza ripetutamente le vecchie password. Secondo la telemetria Security Intelligence Cloud di Bitdefender, questo rappresenta solo una piccola parte degli incidenti di sicurezza previsti nelle organizzazioni.
Le aziende spesso cercano di garantire la sicurezza IT secondo il motto "distribuisci e dimentica". Acquistate soluzioni speciali e trasferite la responsabilità a un team IT già sovraccarico. Ma l'amministratore ha bisogno di aiuto. Dati gli attacchi mirati, i servizi di sicurezza specializzati sono una risposta migliore. Solo le grandi organizzazioni con il budget appropriato possono permettersi questi servizi di un Security Operations Center (SOC). Nel frattempo, però, l'offerta sul mercato si è fatta più democratica. Managed Services Provider (MSP) e Managed Security Services Provider (MSSP) offrono pacchetti di servizi Enterprise Detection Response (EDR), Managed Detection and Response (MDR) e SOC disponibili anche per le piccole e medie imprese.
Fattore umano
Liviu Arsene, ricercatore di sicurezza informatica globale Bitdefender
Indipendentemente dalle misure di sicurezza di qualsiasi organizzazione, il comportamento degli utenti rimane una sfida. L'errore umano non include solo una persona che apre un allegato malware o cade vittima di un attacco di phishing. Comprende tutte le azioni e i comportamenti dell'utente che consentono a un messaggio dannoso di raggiungere il dipendente, al malware di prendere piede o all'evento di sicurezza di passare inosservato.
Inoltre, i dipendenti spesso sovvertono le difese aggirando policy e processi IT a favore di procedure che trovano più rapide e semplici. Un ottimo esempio è il riutilizzo delle password, il rischio numero uno causato dai dipendenti. Il 93,1 percento utilizza i dati di accesso che ha utilizzato in precedenza o utilizza per altri accessi. Le aziende sono in parte responsabili della miseria: consentono ai dipendenti di scegliere queste password senza determinare come cambiarle. Tuttavia, le specifiche che hanno lo scopo di impedire ai dipendenti di interferire con i processi e le impostazioni relative alla sicurezza devono essere definite e applicate dall'IT. Anche l'alta direzione è chiamata a supportare tali processi.
Con l'atteggiamento sbagliato
Gli errori umani capitano anche agli amministratori. Con la mancanza di personale e in vista di sistemi più complessi, vengono rapidamente sopraffatti. Il rischio inizia con politiche di sicurezza a livello aziendale mal definite. Per gli hacker, sono il paradiso in terra. Un'analisi della telemetria di Bitdefender della prima metà del 2020 mostra Window Remote Management (WinRM) come il favorito. È impostato in modo errato sul 55,5% di tutti gli endpoint sottoposti a scansione. Gli aggressori cercano vulnerabilità WinRM e altri criteri irregolari o mal definiti per accedere ai sistemi e assumerne il controllo remoto completo. Ciò consente loro di eseguire codice dannoso, modificare le chiavi di registro o concedere l'accesso a PowerShell. Un recente rapporto di ESG e Bitdefender mostra che la configurazione errata o rischiosa dell'endpoint è il punto di ingresso sfruttato il 27% delle volte.
Le impostazioni Internet sono un'altra categoria di sicurezza importante e spesso trascurata, che rappresenta il 73,1% di tutte le configurazioni errate degli endpoint. Ad esempio, gli utenti non dovrebbero essere in grado di eseguire componenti .NET Framework non firmati da Internet Explorer. Tuttavia, questo accade più spesso. Un altro problema sorge con gli attacchi di downgrade SSL 3.0, che consentono agli aggressori di eseguire attacchi man-in-the-middle sulla comunicazione che è effettivamente crittografata.
L'IT è rimasto solo
Managed Detection and Response (MDR) per aziende di tutte le dimensioni (Immagine: Bitdefender).
A causa della crescente sofisticazione e diversificazione degli attacchi informatici e dei dipartimenti di sicurezza IT cronicamente a corto di personale, molte aziende sono sempre più a rischio. Le aziende più grandi possono scegliere di gestire il proprio SOC. I servizi MDR offrono alle organizzazioni di medie e piccole dimensioni un'alternativa efficace e nella maggior parte dei casi sufficiente all'esternalizzazione della sicurezza.
Tale team di sicurezza dedicato assume quindi anche il controllo ed è responsabile della configurazione degli endpoint, sebbene lavori in remoto e abbia ancora una visione completa dell'infrastruttura. L'opzione migliore è fornire alle organizzazioni un'analisi completa dei rischi per gli endpoint. Analogamente a un audit di sistema, vengono analizzati sia i rischi tecnologici che i pericoli derivanti dall'errore umano.
MDR offre i vantaggi e l'esperienza di un SOC a una frazione del costo. I team MDR collaborano con le organizzazioni per creare scenari di risposta agli incidenti pre-approvati. In questo modo la difesa reagisce correttamente e più velocemente. Spesso molto prima che un attacco inizialmente non rilevato abbia compromesso l'infrastruttura.
Scopri di più su Bitdefender.com
Informazioni su Bitdefender Bitdefender è un leader globale nelle soluzioni di sicurezza informatica e nel software antivirus, proteggendo oltre 500 milioni di sistemi in più di 150 paesi. Dalla sua fondazione nel 2001, le innovazioni dell'azienda hanno regolarmente fornito eccellenti prodotti di sicurezza e protezione intelligente per dispositivi, reti e servizi cloud per clienti privati e aziende. In qualità di fornitore preferito, la tecnologia Bitdefender si trova nel 38% delle soluzioni di sicurezza implementate nel mondo ed è affidabile e riconosciuta da professionisti del settore, produttori e clienti. www.bitdefender.de