Garantire la resilienza informatica: 12 best practice per implementarla

Un’analisi delle minacce informatiche che colpiscono le aziende e delle migliori pratiche suggerite dall'esperto di Acronis per mitigare i rischi e garantire la resilienza digitale.

Autore: di Denis Valter Cassinerio

Le minacce informatiche sono in crescita, guidate dai ransomware che rimangono lo strumento malware preferito dai criminali informatici per arricchirsi minacciando le aziende con azioni di esfiltrazione di dati, blocco delle attività e appropriazione di dati sensibili. Secondo l’ultimo report Acronis Cyberthreats, gli attacchi ransomware sono aumentati del 23% nel primo trimestre del 2024. E l’avvento di strumenti di intelligenza artificiale generativa (GenAI) come ChatGPT ha ulteriormente migliorato l’efficacia e la portata delle minacce e ha reso più semplice anche per criminali informatici alle prime armi sferrare un attacco.

Tutti trend che hanno un costo per le aziende, anzi un costo sempre più salato: l’indagine “Cost of a Data Breach 2024” di IBM ha confermato che il costo medio di una violazione dei dati è passato da 4,55 milioni di dollari nel 2023 a 5,53 milioni di dollari nel 2024.

In questo scenario da un lato gli standard e le soluzioni di cybersecurity continuano a evolvere; dall’altro le autorità e le assicurazioni stanno raccomandando o richiedendo l’implementazione di un piano di resilienza informatica. Ciò è previsto anche dall’entrata in vigore la scorsa settimana in Italia della Direttiva Europea Nis2. Ma perché le organizzazioni diventino resilienti in modo efficace occorre che siano altrettanto abili nel respingere il più possibile gli incidenti e nel riprendersi rapidamente quando le difese falliscono.


Denis Valter Cassinerio, General Manager South Europe, Balkans & Turkey EMEA di AcronisAffinché ciò avvenga, gli analisti di Acronis hanno individuato 12 best practice, quali:

Ciò consentirà di identificare in modo adattivo le minacce in base al loro comportamento. Inoltre, in questo modo, l'EDR consente ai difensori di correlare i potenziali indicatori di compromissione (IOC) in modo più efficace su più endpoint; contenere rapidamente gli attacchi; indagare sugli incidenti per identificare eventuali vulnerabilità che hanno consentito l'attacco e rimediare a tali punti deboli contro attacchi futuri.

Le e-mail rimangono il vettore più diffuso: ben il 27,6% di tutte le e-mail ricevute sono spam e l'1,5% contiene malware o collegamenti di phishing, secondo il nostro ultimo report sulle minacce. Studio che evidenzia anche che il numero degli attacchi via e-mail sono aumentati nei primi sei mesi dell’anno di quasi il 300% e ben il 26% degli utenti ha riscontrato tentativi di phishing tramite URL dannosi.

Gli strumenti di inventario IT e di prevenzione della perdita di dati (DLP) possono fornire una migliore visibilità delle procedure normali e anomale di archiviazione e spostamento dei dati e rilevare così attività sospette e bloccare potenziali esposizioni.

Le vulnerabilità della Rete sono un altro vettore di attacco comune. Le aziende dovrebbero adottare misure di base come disabilitare il protocollo Microsoft Remote Desktop Protocol (RDP) tranne dove necessario; distribuire i firewall e sistemi di prevenzione delle intrusioni; limitare l'accesso VPN a specifiche posizioni geografiche; limitare o vietare l’accesso alle risorse aziendali dai dispositivi personali e segmentare le reti interne per contrastare la propagazione del ransomware.

Secondo il Verizon Data Breach Investigations Report 2024, le credenziali rubate hanno contribuito al 24% di tutte le violazioni segnalate e le credenziali sono state compromesse nel 50% degli attacchi di phishing. Per combattere queste tattiche, le aziende dovrebbero implementare l’autenticazione a più fattori, soprattutto sui sistemi con dati sensibili; cambiare sempre il login delle impostazioni di fabbrica e tutte le password dopo un attacco riuscito; adottare il principio privilegio minimo per i diritti di accesso soprattutto per le banche dati e le infrastrutture più critiche e concedere privilegi limitati nel tempo o una sola volta, ove possibile.

Ridurre il numero di clic su allegati e collegamenti dannosi nelle e-email, chat, social può portare a significative riduzioni del rischio. Come? Stimolando i dipendenti a tenere le antenne alzate su questi veicoli molto pericolosi, per esempio inviando loro regolarmente false e-mail di phishing e predisponendo corsi di aggiornamento per chiunque cada nello stratagemma, amministratore delegato incluso.

Le aziende in generale faticano a installare tempestivamente le patch software dei propri fornitori di tecnologia, lasciandole senza in media per oltre 88 giorni.

Le organizzazioni normalmente implementano nel tempo le proprie soluzioni di sicurezza informatica e protezione dei dati e ciò avviene in modo frammentario, determinando una proliferazione di agenti remoti sugli endpoint e sulle console di gestione presso il desk operativo IT e quindi questo genera lacune e conflitti.

Le aziende dovrebbero trarre vantaggio dai framework di sicurezza informatica più diffusi (e gratuiti) come il NIST per consultare le loro preziose linee guida.

Le aziende devono partire dal presupposto che un attacco prima o poi avrà successo e sforzarsi di migliorare il regime di protezione dei dati come ultima linea di difesa. Il ripristino dei dati da un backup recente può consentire la rapida ripresa delle operazioni commerciali senza pagare un riscatto, ma gli aggressori spesso tentano di individuare, crittografare o eliminare archivi di backup e disattivare misure di backup. Pertanto, le imprese dovrebbero conservare più copie crittografate di backup su supporti diversi e in posizioni separate; condurre regolari test dal vivo del loro piano di backup; scansionare i backup alla ricerca di malware e vulnerabilità senza patch e risolvere tali problemi prima di ripristinare i sistemi e implementare l'archiviazione immutabile degli archivi di backup per contrastare le tattiche di eliminazione dei backup.

I servizi di disaster recovery consentano la ripresa immediata delle operazioni utilizzando applicazioni e dati replicati (off-site o nel cloud), servizi che oggi sono molto più convenienti e semplici da gestire, anche per le piccole imprese.

Questo piano dovrebbe contenere alcune componenti essenziali: un elenco di nomi e numeri dei contatti interni ed esterni in formato cartaceo, un canale di comunicazione interno di ripiego affidabile nel caso in cui sistemi come la posta elettronica diventino inutilizzabili, un piano di comunicazione che identifichi chi deve essere informato e da chi e quando e individui chi ha la leadership esecutiva e quali i team, a cominciare dal legal, vanno coinvolti. Inoltre, dovrebbe includere misure per raccogliere dati forensi che possano essere utilizzati dopo un incidente, non solo per richiedere un risarcimento all’eventuale broker assicurativo, ma anche per identificare le vulnerabilità che hanno consentito la violazione, porvi rimedio e aggiornare di conseguenza il piano di risposta.

Non va infine sottovalutato che per contrastare la crescente sofisticazione e frequenza di questi incidenti, le aziende di ogni settore e dimensione, devono valutare di concentrare i propri sforzi su processi e tecnologie che riducano la complessità crescente e supportino il personale IT con l’uso dell’intelligenza artificiale, dell’automazione e dell’integrazione. Oltre a contenere i rischi aziendali di questa tipologia di attacchi, questi investimenti miglioreranno anche la capacità di un’azienda di soddisfare i requisiti di conformità normativa, a cominciare dalla già citata Nis2.

Denis Valter Cassinerio è General Manager South Europe, Balkans & Turkey EMEA di Acronis


Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.