Cinque consigli contro il furto d'identità

I criminali utilizzano principalmente tecnologie di phishing (67%) e malware (33%) per attaccare le identità. È quanto emerge dal Global Threat Intelligence Report (GTIR) 2019 di NTT Security. Secondo il rapporto, gli attacchi di phishing hanno come obiettivo GTIR 2019 su Google (27%) e soprattutto sugli account Microsoft (45%), in particolare Office 365. Tuttavia, le applicazioni Microsoft non sono solo bersagli popolari per gli attacchi di phishing, ma anche le campagne di spam con malware sono un grosso problema. Oltre 95% delle minacce informatiche legate al furto di identità hanno preso di mira le vulnerabilità di un'applicazione o di un sistema operativo di Microsoft Office, con quasi 35% che hanno sfruttato la vulnerabilità CVE-2017-11882.

Il Trojan "Trickbot" (62%) svolge un ruolo importante nel malware keylogger. In passato, Trickbot prendeva di mira solo i dati bancari, ma la nuova variante è in grado di carpire anche le password di altre applicazioni.

L'impatto del furto d'identità sulle aziende è enorme: si possono verificare rapidamente danni per milioni di euro se i truffatori si spacciano per i capi dell'azienda e indirizzano i pagamenti a conti falsi. Anche lo spionaggio industriale o il ricatto, comprese le richieste di riscatto, possono avere gravi conseguenze finanziarie. Se le aziende non hanno più accesso a dati importanti, ad esempio nel caso di un attacco ransomware, le operazioni in corso vengono interrotte o, nel peggiore dei casi, si bloccano.

Cinque misure

Con cinque consigli di NTT Sicurezza Tuttavia, le aziende possono rendere più difficile il furto di identità e adottare le giuste misure in caso di emergenza:

1. In primo luogo, le aziende hanno bisogno di password forti. Le password deboli sono spesso ancora il principale punto debole della sicurezza. Se lo stesso login o un login molto simile viene utilizzato per diversi account, gli hacker possono riutilizzare le credenziali rubate. Per una vera protezione, gli utenti dovrebbero dimostrare o inserire un secondo fattore di autenticazione oltre alla password, che un aggressore non può conoscere o possedere. I moderni token nel contesto dell'autenticazione a più fattori (MFA) sono una soluzione efficace. Per ogni processo di autenticazione viene generata una sorta di password unica, ad esempio un codice via SMS o un messaggio push che richiede "conferma" o "rifiuto". L'autenticazione a più fattori è particolarmente necessaria per i sistemi che richiedono i diritti di amministratore per l'accesso. In questo modo è molto più difficile per gli aggressori ottenere l'accesso a informazioni sensibili e reti utilizzando vecchi nomi utente e password. Inoltre, i dati elettronici devono essere criptati e i documenti protetti con firme digitali.
2. Non tutti i dipendenti devono poter accedere a tutte le aree della rete aziendale. Le aziende dovrebbero segmentare la rete e definire esattamente chi ha quali diritti. Questo vale soprattutto per gli ambienti cloud e ibridi. In questo modo, i criminali che ottengono un accesso meno privilegiato non possono penetrare immediatamente nell'intera rete aziendale.
3. Un punto importante è la formazione del personale. Una formazione mirata sulle politiche di sicurezza, sulle minacce attuali e su come affrontarle aumenta la vigilanza e la consapevolezza dei singoli utenti. Tra le altre cose, è necessario definire regole che specifichino il comportamento da tenere in caso di richieste di informazioni via e-mail sui bonifici bancari.
4. Una strategia di risposta agli incidenti è utile in caso di attacco. Oltre alla questione della risposta appropriata, la questione principale è se e quanto velocemente un incidente possa essere rilevato. Le risposte sono fornite da una visione completa in tempo reale del traffico di rete e da logiche sofisticate per un'analisi efficace. Quando si verifica un incidente, i responsabili devono innanzitutto qualificare, valutare e classificare un incidente di sicurezza. A tal fine è fondamentale il contesto e i rischi associati, poiché non tutti gli incidenti sono incidenti di sicurezza e hanno lo stesso impatto. Dopo aver identificato il problema, il compito successivo è quello di fermare l'attacco informatico e limitare i danni. A tal fine, il personale IT deve utilizzare un playbook di sicurezza che descriva in dettaglio la procedura per esaminare tutti i componenti potenzialmente interessati, come sistemi operativi, file di configurazione, applicazioni e dati, e, se necessario, avviare le misure di recupero dei dati. Idealmente, esiste un piano di disaster recovery (DRP) che descrive esattamente come l'azienda danneggiata deve affrontare un incidente di sicurezza, quali misure devono essere avviate e chi ne è responsabile.
5. Una strategia di governance delle identità è un prerequisito per scongiurare gli attacchi mirati. In parole povere, la governance delle identità è la combinazione di gestione delle identità basata su policy e conformità. I requisiti concreti comprendono l'assegnazione di ruoli e autorizzazioni a livello aziendale, la regolamentazione dell'accesso degli utenti e il monitoraggio dei requisiti di conformità. In un contesto in cui molte aziende perdono traccia di quali servizi sono in esecuzione con quale account su quale server o su quale cloud, il tema della governance delle identità è di grande importanza.

"Non esiste una protezione al cento per cento contro il furto d'identità. Questo rende ancora più importante per le aziende considerare i punti fondamentali", spiega Frank Balow, Director Identity & Key Management EMEA di NTT Security. "Con le identità rubate, gli hacker possono penetrare sempre più a fondo nelle reti aziendali. Anche se il primo nome utente e la prima password rubati non consentono ancora l'accesso ad aree altamente sensibili, in combinazione con l'ingegneria sociale o con altre password conosciute o ottenute, gli aggressori possono andare oltre e, nel peggiore dei casi, effettuare attacchi dedicati. Gli account compromessi possono anche essere utilizzati dagli aggressori per sferrare attacchi esterni a partner aziendali e clienti".

Fonte: NTT Sicurezza