Minacce subdole alla sicurezza dei dati: ci sono ma non si vedono

Per accedere ai dati aziendali ci sono tecniche subdole che i cybercriminali mettono in atto, spesso passando inosservati. Eccone alcune e come difendersi.

Autore: Redazione SecurityOpenLab

I dati aziendali devono essere sicuri, privati ​​e protetti. Sembra ovvio, ma passare dalla teoria alla pratica è spesso complicato. Ci sono molti passi che le imprese devono compiere per prevenire le minacce alla sicurezza dei dati. Alcuni possono passare in secondo piano e aprire le porte ai criminali informatici.

La prima cosa da ricordare è che la sicurezza dei dati richiede un approccio globale. Non può essere di competenza esclusiva del dipartimento di sicurezza e non può semplicemente risiedere in un singolo protocollo. Le minacce provengono da varie fonti, all'interno e all'esterno di un'impresa. La lotta a queste minacce richiede una strategia multilivello che includa non solo l'IT, ma anche le risorse umane, la contabilità e l'ufficio legale. Ecco di seguito alcuni esempi.

I più lampanti sono le minacce non rilevate. Si possono definire exploit in attesa di entrare in azione. Sono vulnerabilità che si sono già insinuate nei sistemi aziendali e che in qualsiasi momento potrebbero essere attivate e compromettere la privacy dei dati. Ad esempio, potrebbero esserci backdoor nel sistema che danno a un cybercriminale i permessi di superuser e l'accesso a tutti i dati. Questo basterebbe per rubare i dati senza nemmeno dover hackerare le credenziali di un utente reale.
Per scongiurare rischi di questo tipo è imperativo tenere un elenco aggiornato di tutti i sistemi IT interni in uso. Verificare gli ID con permessi di superuser, accertarsi che la loro password non sia impostata sul valore predefinito di sistema. Assicurarsi inoltre che la password sia disabilitata se non necessaria, o molto complessa se utilizzata.

Per tutti gli altri dipendenti sono necessari elenchi di controllo degli accessi (ACL) che specificano i diritti di accesso ai dati. Le strutture ACL aziendali devono sempre riflettere le esigenze aziendali attuali. Se in alcune fasi storiche dell'azienda sono state assegnate autorizzazioni non più necessarie a gruppi o a singoli utenti, devono essere cancellate.

Un altro nodo critico è che molte violazioni sono essenzialmente autoinflitte. Gli attacchi di phishing continuano a costituire un grave pericolo e probabilmente continueranno ad esserlo negli anni a venire. Questi attacchi sono ancora più insidiosi se gli utenti che abboccano stanno usando combinazioni di ID e password simili per più sistemi. Lo stesso vale per i nuovi attacchi, come la truffa del CEO.

Non sono poi da dimenticare i classici, ma sempre insidiosi, malware. Possono presentarsi sotto varie forme, e la certezza è che un firewall di base non è una protezione sufficiente. È necessario implementare un sistema di rilevamento e prevenzione delle intrusioni (IDS/IPS) che effettui un'ispezione approfondita dei pacchetti in transito. Indispensabile, inoltre, un software di gestione della sicurezza degli endpoint in grado di tracciare le firme dei malware.

Deve poi restare alta l'attenzione sui ransomware, la forma più virulenta di malware. Come noto, un attacco ransomware riuscito può paralizzare un sistema e, potenzialmente, un'azienda. Il modo migliore per scongiurare il rischio è implementare una strategia di sicurezza con un insieme coerente e aggiornato di strumenti endpoint, firewall e IDS/IPS. E corsi di aggiornamento sulla sicurezza per tutti i dipendenti.

Finora abbiamo passato in rassegna attacchi tutto sommato ordinari. Ci sono però minacce nascenti molto insidiose. Le prime sono quelle silenti, definite "low-and-slow". Consistono in attacchi veicolati mediante applicazioni o dispositivi di basso livello, come le telecamere di videosorveglianza. La loro peculiarità è che sono programmati per evitare il rilevamento, esfiltrando lentamente i dati nel tempo.
Dopo avere compromesso il sistema operativo di una telecamera di sorveglianza, questi malware collezionano informazioni sui dispositivi all'interno dell'azienda. La telecamera infetta continua a svolgere le sue funzioni, quindi nessuno nota problemi. Tuttavia, periodicamente spedisce tali dati a un sito Web esterno. Molti firewall sono configurati per presumere che il traffico in uscita sia legittimo, da qui il successo dell'operazione illegale.

Per gestire questo tipo di minacce, bisogna prendere in considerazione un sistema di rilevamento e risposta di rete (NDR). A differenza degli IDS/IPS che lavorano con le firme, i sistemi NDR utilizzano l'Intelligenza Artificiale e l'apprendimento automatico. Monitorano la rete e imparano a conoscere il traffico "normale". In presenza di traffico anomalo (ad esempio dati trasmessi all'esterno da una telecamera) allertano il team di sicurezza aziendale.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.