I classici attacchi informatici spesso iniziano con un'e-mail. Un utente lo apre e innocentemente clicca sul link all'interno e... si spengono le luci in azienda. Non c'è da stupirsi che molti tendano ad aver identificato la causa del problema con la vulnerabilità "utente". Un'analisi di Trend Micro.
La consapevolezza che il problema sono gli utenti ha dichiarato più della metà degli intervistati a due webinar in tedesco e inglese (per l'Europa) che si sono svolti nel luglio 2021 con un totale di oltre 1000 partecipanti. In ogni caso, è stata posta la domanda quale dei seguenti problemi fosse il "più grande" nella sicurezza informatica della propria azienda: che "i dipendenti commettono errori che portano a infezioni", "mancanza di budget", "strumenti di sicurezza difettosi" o "sovraccarico del dipartimento di sicurezza informatica. Naturalmente, nelle aziende effettivamente colpite da attacchi informatici, si applicano molti di questi fattori. Ma i grattacapi maggiori sono stati causati dai dipendenti "inesperti", ciascuno con oltre il 50%. Non c'è dubbio che molti problemi nella sicurezza IT siano legati al fattore umano, ma un'attenzione unilaterale sul dipendente disattento può portare a conclusioni errate e gravi conseguenze.
vulnerabilità dipendenti
Questa tesi ipotizza che un dipendente che fa clic su un collegamento o apre un allegato che sembra sospetto stia inconsapevolmente aiutando a organizzare un attacco. In realtà, il "dipendente disattento" è in realtà un problema piuttosto secondario rispetto ad altri "punti deboli degli esseri umani", ma è una delle poche viti di regolazione con cui è possibile ottenere miglioramenti rilevanti senza grandi sforzi per tutti i soggetti coinvolti. Pertanto, i dipendenti dovrebbero assolutamente essere informati sugli ultimi trucchi. Dovrebbero anche avere un modo per controllare le e-mail sospette e dire grazie ogni volta che un dipendente vede un'e-mail di attacco, perché aiuta a fermare gli attacchi.
Per inciso, i dipendenti sono in grado di identificare un attacco di questo tipo solo perché i criminali informatici hanno ancora abbastanza successo nell'usare e-mail generate in modo generico per raggiungere i loro scopi. Il loro prossimo trucco è stato a lungo nel kit. Emotet ha già utilizzato le risposte alle email inviate in precedenza. E anche questa non è la fine di ciò che è tecnicamente possibile. Ma i criminali informatici evitano gli sforzi inutili. Ma ciò significa che qualsiasi addestramento serve solo a rendere più difficile il lavoro dell'attaccante. Non risolverà il problema.
Specialista IT/sicurezza del punto debole
Se un dipendente riceve un'e-mail, ha già attraversato diversi livelli tecnici. Sono stati sviluppati metodi sandbox, intelligenza artificiale e altre tecnologie per rilevare direttamente gli attacchi. In caso contrario, esistono altre soluzioni di sicurezza a livello di sistema e nella rete, che dovrebbero anch'esse rilevare attività sospette. Si tratta di strumenti professionali che vengono creati con tutta l'esperienza e implementati appositamente per questo scopo, al fine di consentire alle persone di lavorare in sicurezza alla fine. Se tutti questi strumenti tecnici non riescono a prevenire l'attacco o almeno a identificarlo, sorge spontanea la domanda sul perché un utente "normale" possa essere ritenuto responsabile di qualcosa. Gli strumenti di ingegneria e un team per mantenerli e affinarli vengono acquistati e pagati per prendere la decisione se qualcosa è buono o meno per i dipendenti meno di loro!
Gli strumenti dovrebbero prendere decisioni
Ma è proprio qui che risiede un problema spesso trascurato: la tecnologia di sicurezza IT è in continua evoluzione. Proprio come gli attaccanti stanno affilando le loro armi, così fanno i difensori. Ciò si traduce in continui aggiornamenti, cambiamenti funzionali o strategici. Inoltre, le aziende stanno costruendo ambienti IT sempre più complessi ed elaborando sempre più dati. Allo stesso tempo, il funzionamento dell'IT sta diventando sempre più critico per le capacità operative di un'azienda.
I dipendenti della sicurezza IT sono spesso sopraffatti
I dipendenti della sicurezza IT, se possono concentrarsi sulla sicurezza IT, sono sopraffatti dalla moltitudine di sistemi e dalle diverse opzioni di configurazione. Se un'azienda decide anche di acquistare tatticamente soluzioni di sicurezza, il carico di lavoro aumenta esponenzialmente. (L'acquisto tattico è il comportamento di tentare di acquistare un nuovo prodotto di sicurezza solo quando si è verificato un problema o non può più essere ignorato). Questo approccio garantisce, tra le altre cose, che i sistemi non agiscano in modo coordinato, ma soddisfino solo specifiche compiti. Ciò crea lacune nella conoscenza ed errori dovuti a richieste eccessive. Il superlavoro spesso porta alla frustrazione sul lavoro.
Vulnerabilità Sviluppo software IT
Sfide simili si possono trovare anche nello sviluppo del software. Innescato dalla crescente necessità di app da parte dei consumatori, sempre più componenti software vengono sviluppati o assemblati. Nelle pratiche DevOps, lo sviluppo è praticamente un ciclo infinito e le persone che lavorano qui sono ovviamente esperte di IT. Eppure sono proprio questi esperti che spesso commettono gli errori più ridicoli... dal punto di vista della sicurezza. Il "mondo intero" ha accesso al database dei clienti perché si è dimenticato di definire i permessi. Oppure hai programmato i dati di accesso durante lo sviluppo ma hai dimenticato di modificare nuovamente la semplice soluzione alternativa, e quindi l'accesso alle carte di credito dei clienti è protetto solo con il nome utente e la password "admin".
Tutti questi errori si verificano e, se l'azienda è abbastanza importante, un incidente farà notizia. Ancora una volta, la causa principale è lo stress. Perché nello sviluppo del software c'è pressione. La nuova funzionalità dovrebbe arrivare oggi e non domani. Può essere migliorato se necessario. L'uno o l'altro problema è spesso trascurato o deliberatamente ignorato. Inoltre, pochissimi sviluppatori di software sviluppano soluzioni di sicurezza. La sicurezza è un espediente non amato, che spesso si è costretti a usare.
Vulnerabilità CISO - Livello C
Naturalmente, la direzione riconosce l'importanza della sicurezza IT. Tuttavia, è spesso visto come un male necessario e solo raramente come parte integrante della catena del valore. Dovrebbe costare il meno possibile e idealmente essere appena percettibile. In effetti, la maggior parte delle aziende è stata in grado di implementare questa tattica con grande successo negli ultimi anni, nonostante le spese relativamente contenute. Fedeli al motto "non cambiare mai un sistema in esecuzione", i concetti vecchi di decenni non vengono messi in discussione, ma perseguiti con coerenza.
La qualità degli attacchi informatici è in aumento da anni
Ma anche il mondo della sicurezza è cambiato. Sia la quantità che la qualità degli attacchi informatici sono in costante aumento da anni. Solo nel 2021 c'è stata molta eccitazione con "Sunburst", "Hafnium" e "Kaseya", per non parlare di singoli incidenti con eco mondiale come "Colonia Pipeline" o "JBS Hack". Il boom economico nel cyber underground non è una coincidenza destinata a scomparire di nuovo, ma un cambiamento strutturale. Pertanto, l'introduzione delle criptovalute e l'animosità politica hanno creato una novità storica mondiale con un mercato globale incontrollato, forse persino incontrollabile, per l'attività criminale. L'unicità di questa situazione è qualcosa che ora viene discusso anche al più alto livello politico.
Il Cyber Risk Index fornisce chiarezza
Ciò si riflette, ad esempio, nella ricerca Cyber Risk Index di Ponemon/Trend Micro. Vale la pena notare un netto calo della fiducia che anche il livello C prenda sul serio la situazione di minaccia, sebbene praticamente tutti gli intervistati presumano una situazione di rischio maggiore. Questo è legato a una debolezza o talento fin troppo umano, che non è particolarmente diffuso tra gli addetti alla sicurezza informatica. Riguarda il talento per "vendere" correttamente al manager la necessità di misure. Perché soprattutto nelle aziende in cui la precedente sicurezza IT ha respinto tutto con successo, raramente c'è un budget aggiuntivo per più personale o soluzioni più moderne. Qui è importante procedere diplomaticamente, perché il lavoro, finora impeccabile, non può essere criticato. Eppure... la situazione cambia a causa dei fattori esterni (come descritto sopra), che spesso sono difficili da argomentare per gli specialisti della sicurezza IT in quanto esistono al di fuori delle proprie competenze. I CISO, in particolare, trovano difficile articolare in modo credibile il cambiamento nella situazione delle minacce al fine di ottenere miglioramenti di budget, tecnici e del personale. Con l'IT Security Act, la Confederazione sottolinea ancora una volta l'importanza dell'informatica e della sicurezza informatica per le infrastrutture critiche al fine di fornire ulteriore supporto in termini di argomentazione. Perché anche se suona cinico... spesso succede qualcosa solo quando si fanno sentire (purtroppo) le penalità previste.
Punto debole Sicurezza IT - Specialista SOC
Molte delle aziende soggette alla legge sulla sicurezza informatica, ma anche sempre più aziende di medie dimensioni, stanno quindi decidendo di creare un centro operativo di sicurezza. I dipendenti altamente specializzati che lavorano qui devono analizzare gli incidenti di sicurezza e correggerli il prima possibile. Ciò che in teoria combatte efficacemente il problema degli attacchi informatici diventa spesso una sfida nella pratica. I problemi della carenza di lavoratori qualificati e lo zoo storicamente cresciuto di soluzioni individuali acquistate significano anche che il carico di lavoro dei dipendenti SOC aumenta enormemente. In un sondaggio Trend Micro condotto su oltre 70 intervistati in tutto il mondo, il 2000% ha affermato che lo stress correlato al lavoro ha avuto un impatto sulla propria vita personale. Al lavoro, il sovraccarico porta, tra l'altro, al fatto che gli allarmi vengono deliberatamente ignorati (il 40% lo ha ammesso) per lavorare su qualcos'altro e il 43% ha lasciato il posto di lavoro sopraffatto o ha semplicemente spento l'allarme. Inoltre, il loro lavoro è raramente apprezzato quando "non succede niente". Ne consegue un'elevata fluttuazione, soprattutto nelle aziende di medie dimensioni, che assicura un ulteriore aggravamento del problema del personale.
Sintesi dell'analisi
In effetti, le debolezze umane sono il problema della sicurezza informatica. Ma non sono i "normali impiegati" a destare le maggiori preoccupazioni. Una mancanza di riconoscimento con un carico di lavoro in costante aumento, unita alla pressione per essere il più veloci ed efficienti possibile, garantiscono una crescente frustrazione e suscettibilità agli errori, soprattutto tra gli specialisti IT e soprattutto della sicurezza IT.
Il problema delle patch, che esiste da più di 20 anni, si è moltiplicato negli ultimi anni a causa di una vera e propria esplosione del software e fa sì che i team di sicurezza IT abbiano a malapena una visione d'insieme di ciò che viene effettivamente utilizzato, per non parlare dello stato di sicurezza di molti sistemi È.
I team di sicurezza IT perdono il conto
Le aziende, d'altra parte, stanno perdendo la capacità di rispondere rapidamente agli incidenti e sono a corto di personale per affrontare le emergenze reali. Dall'altro, sta emergendo una vera e propria economia sommersa, che ha ispirato soprattutto la specializzazione dei suoi protagonisti. In questo clima è necessario un urgente ripensamento. Le tradizionali strategie di sicurezza IT devono essere riconsiderate. Le tecniche moderne sono implementate e ottimizzate nell'area amministrativa. Più automatismi esistono per alleviare i dipendenti, meglio possono concentrarsi su problemi seri. Insieme ai suoi partner rivenditori, Trend Micro offre soluzioni e processi a supporto di questo.
Le persone sono persone e così rimangono. Ciò che sta cambiando sono le condizioni quadro e sono appena cambiate in maniera massiccia. Ed ecco un'altra legge della natura: sopravvive chi riesce ad adattarsi meglio alle nuove condizioni ambientali.
Alcuni suggerimenti per una maggiore sicurezza informatica
Riduci i cicli di aggiornamento della sicurezza IT. Devono essere in grado di implementare la tecnologia moderna più velocemente. Con le offerte "Software as a Service", vari provider offrono la possibilità di eseguire autonomamente questi cicli. Quando si sceglie un partner, prestare attenzione anche a quanto bene un produttore può sviluppare nuove tecnologie. Fornire tecnologia all'avanguardia una volta non è sufficiente. È anche molto più importante avere la capacità di restare al passo con i nuovi sviluppi.
Analizza la gestibilità delle tue difese. La complessità della sicurezza non spaventa un criminale informatico. Molto più importante è la questione se sei in grado di tenere traccia di eventi insoliti nella rete. I dipendenti del SOC e della sicurezza IT, in particolare, sono spesso oberati di lavoro e raramente riescono a svolgere il loro lavoro regolare. È difficile reagire correttamente in caso di emergenza.
Secondo BSI, la sicurezza non è un obiettivo che si raggiunge, ma un processo che si vuole adattare. In passato si tentava di aggiungere periodicamente nuove funzionalità alla scadenza di una licenza. Oggi non basta più. Poiché i criminali informatici lavorano per attaccare le aziende, le aziende devono anche rimanere all'avanguardia della tecnologia per difendersi. Se i tuoi dipendenti non sono in grado di farlo, i progetti di servizi gestiti possono supportarti in tutte le questioni.
La protezione esterna non è sufficiente. Gli aggressori possono superare qualsiasi difesa. Ciò che conta è la velocità con cui riesci a individuarli e quindi a risolvere il problema. Le cosiddette strategie XDR sono l'opzione più recente qui. La nostra strategia XDR si chiama Trend Micro Vision One.
Considera una strategia zero trust. Soprattutto, dovresti presumere che la tecnologia della tua azienda sia stata compromessa. Perché anche se è possibile convincere una persona a fare qualcosa di malvagio, di solito è molto più difficile che rubare password e ingannare la tecnologia. Anche questo è oggetto di una strategia XDR.
Informazioni su TrendMicro
In qualità di uno dei principali fornitori mondiali di sicurezza IT, Trend Micro contribuisce a creare un mondo sicuro per lo scambio di dati digitali. Con oltre 30 anni di esperienza nella sicurezza, ricerca sulle minacce globali e costante innovazione, Trend Micro offre protezione per aziende, agenzie governative e consumatori. Grazie alla nostra strategia di sicurezza XGen™, le nostre soluzioni beneficiano di una combinazione intergenerazionale di tecniche di difesa ottimizzate per ambienti all'avanguardia. Le informazioni sulle minacce in rete consentono una protezione migliore e più rapida. Ottimizzate per carichi di lavoro cloud, endpoint, e-mail, IIoT e reti, le nostre soluzioni connesse forniscono visibilità centralizzata in tutta l'azienda per un rilevamento e una risposta più rapidi alle minacce.
Solo in un quarto delle aziende tedesche il management si assume la responsabilità della sicurezza informatica. Soprattutto nelle aziende più piccole ➡ Leggi di più
Una società di sicurezza informatica ha dato uno sguardo al panorama delle minacce dello scorso anno. I risultati forniscono informazioni cruciali su ➡ Leggi di più
Trend Micro, in collaborazione con la National Crime Agency (NCA) del Regno Unito, ha analizzato la versione inedita che era in fase di sviluppo ➡ Leggi di più
Sempre più persone utilizzano i dispositivi mobili sia nella vita di tutti i giorni che in azienda. Ciò riduce anche il rischio di “mobile ➡ Leggi di più
La sicurezza in crowdsourcing è aumentata in modo significativo nell’ultimo anno. Nel settore pubblico sono state segnalate il 151% in più di vulnerabilità rispetto all’anno precedente. ➡ Leggi di più
Un sondaggio sulla fiducia digitale ha mostrato che le banche, la sanità e il governo sono i soggetti più fidati da parte dei consumatori. I media- ➡ Leggi di più
Uno studio ha esaminato la sicurezza informatica degli impianti solari. I problemi includono la mancanza di crittografia durante il trasferimento dei dati, password standard e aggiornamenti firmware non sicuri. tendenza ➡ Leggi di più
