Errori di configurazione, eccessivi privilegi di accesso, credenziali rubate e social engineering. Mai come oggi, di fronte a un panorama delle minacce informatiche sempre più sofisticato, nel mirino degli attaccanti ci sono gli individui. Le identità rappresentano la parte più permeabile della superficie di attacco e i moderni cyber criminali sono in grado di sfruttarne i punti deboli con una precisione allarmante.
I dipendenti rappresentano infatti uno dei principali fattori di rischio informatico per le aziende. Secondo il Data Breach Investigations Report condotto nel 2023 da Verizon, oggi il 74% di tutte le violazioni include l’elemento umano. La compromissione delle credenziali utente è diventata il punto di ingresso più popolare tra gli attaccanti e anche il più efficace per violare i sistemi aziendali. Lo conferma anche l’ultimo rapporto del Clusit, secondo cui l’8% degli attacchi andati a segno nel 2023 è stato portato a termine sfruttando tecniche di phishing e social engineering.
Anche se negli ultimi anni la consapevolezza sui pericoli delle minacce online è cresciuta, ancora oggi sembra infatti che la maggior parte dei dipendenti fatichi ad adeguarsi ai protocolli di sicurezza. In molti utilizzano un’unica password per più servizi e tanti non rinunciano al ricorso ad app, strumenti digitali e device personali che sfuggono al controllo dell’azienda, alimentando il fenomeno dello shadow IT.
Troppi privilegi e troppe informazioni
La diffusione del lavoro a distanza, inoltre, ha reso più difficile determinare l’identità dei dipendenti che accedono alla rete. Per ogni identità associata a una persona fisica, le aziende gestiscono decine di account su differenti sistemi, concedendo l’accesso a dati, applicazioni e reti spesso di livello superiore rispetto a quanto necessario per lo svolgimento del lavoro.
La regola del privilegio minimo non sempre viene rispettata. Alcune organizzazioni concedono di default un livello di accesso standard ai dipendenti senza differenziare per ruolo, altre dimenticano di revocare l’accesso di livello superiore autorizzato per un progetto o uno scopo specifico anche quando l’attività è conclusa. Così facendo, i dipendenti possono diventare vettori inconsapevoli di un attacco che non viene rilevato dai sistemi di sicurezza proprio perché in linea con i privilegi formalmente concessi all’utente.
I moderni attacchi informatici, d’altronde, attingono all’enorme mole di dati presenti online per avere accesso ai sistemi interni. Domini aziendali, e-mail, indirizzi IP, cookies e altri dati riferibili all’azienda sono ormai facilmente rintracciabili sul dark web. Senza contare che oggi, grazie all’intelligenza artificiale (AI), i criminali informatici sono in grado di personalizzare a tal punto lo spear-phishing da ingannare anche gli utenti più accorti, spacciandosi per colleghi o responsabili
Per limitare il rischio informatico serve visibilità
Per mitigare il rischio informatico e orientarsi in un contesto aziendale sempre più complesso, le organizzazioni hanno bisogno di maggiore visibilità su accessi, identità e comportamenti degli utenti. Proprio perché credenziali di accesso rubate, phishing e vulnerabilità restano le principali modalità con cui gli autori di un attacco informatico riescono ad accedere a un’organizzazione, le aziende devono dotarsi di strumenti di cyber threat intelligence.
Occorrono a tal fine soluzioni capaci di ricercare e analizzare in modo continuo la creazione, la modifica o l’attivazione di domini internet simili a quelli aziendali, che potrebbero essere usati dagli attaccanti per svolgere attività di phishing nei confronti dei dipendenti, ma anche di partner e clienti. Fondamentale è anche il controllo delle configurazioni dei server di posta, per verificare la presenza di errori che potrebbero trasformarsi in vulnerabilità.
Per migliorare la protezione contro phishing e truffe online, occorre poi una gestione attenta della superficie di attacco per stare al passo con l’espansione del perimetro aziendale. Sistemi di scansione automatica aiutano a proteggere l’ambiente aziendale da configurazioni errate, servizi esposti e credenziali esfiltrate, mentre il monitoraggio continuo delle minacce permette di identificare per tempo e bloccare un attacco prima che si trasformi in un data breach.
