I numeri sono impressionanti: 35,7 miliardi di e-mail di phishing intercettate, 25,6 miliardi di attacchi condotti per rubare identità digitali utilizzando i metodi più disparati (brute force, dictionary attack, spear phishing, impersonation, e così via).
È questo lo scenario identificato da Microsoft nel corso del 2021 sul fronte della cybersecurity e, nello specifico, delle minacce condotte su quello che oggi rappresenta il nuovo perimetro di sicurezza: l’identità. Solo nel mese di dicembre dello stesso anno sono stati rilevati 83 milioni di attacchi a clienti Microsoft, il 78% dei quali mirati a colpire identità degli utenti prive di adeguate protezioni.
35,7 miliardi
PHISHING E-MAIL INTERCETTATE
25,6 miliardi
ATTACCHI PER RUBARE IDENTITÀ DIGITALI
Molto spesso gli attaccanti sono riuniti in gruppi legati a Stati precisi, per i quali conducono una guerra cibernetica con l’obiettivo di colpire i cittadini di altri Stati considerati nemici. Le dinamiche della geopolitica classica si riflettono sul terreno digitale, danneggiando le persone nell’elemento primario della loro vita digitale: la combinazione di ID e Password.
Le tattiche di attacco sono estremamente semplici e si basano principalmente sul cosiddetto password spray, cioè quel tipo di attacco condotto dal cybercriminale utilizzando le chiavi di accesso più comuni (nomi di persona o di animali domestici, date di nascita, combinazioni di numeri semplici in sequenza), con le quali violare più account presenti su uno stesso dominio. Se la breccia viene aperta e l’attaccante entra nei sistemi, ottiene un punto d’appoggio che può utilizzare per muoversi in ogni direzione, arrivando a utenti strategici (caso classico: l’account del CEO raggiunto dopo aver violato quello di un dipendente) e a risorse estremamente preziose.
Il pericolo non è il ransomware
Sul fronte della sicurezza domina il ransomware, l’attacco che cripta e/o esfiltra i dati degli utenti e chiede loro un riscatto (ransom) per riaverne la piena disponibilità. L’importanza di questo tipo di malware è certificata pressoché da ogni report sull’andamento degli attacchi: per citarne solo uno a titolo di esempio (il Dbir pubblicato da Verizon), tra il 2020 e il 2021 l’incremento è stato del 13%, il tasso maggiore registrato negli ultimi cinque anni.
L’attenzione sulla sempre maggior diffusione del ransomware rischia di distogliere lo sguardo sul punto cruciale: la protezione dell’identità. In altre parole, si guarda al malware e alle soluzioni per neutralizzarlo, e non a ciò che esso minaccia e, quindi, a come proteggerlo adeguatamente. I principali vettori di immissione di ransomware nei sistemi personali e aziendali sono tre: attività di forza bruta su RDP (Remote Desktop Protocol), phishing, vulnerabilità di rete.
«In una sana prospettiva di protezione, la prima cosa che le organizzazioni devono fare è prevenire l’ipotesi che l’identità possa essere rubata, violata o utilizzata nel modo meno appropriato», spiega Christopher Glyer, Principal Threat Intellicence Lead per il MSTIC (Microsoft Threat Intelligence Center).
«I numeri degli attacchi crescono perché i benefici ottenuti in termini di intelligence sono estremamente altri in rapporto agli sforzi compiuti per eseguire gli attacchi stessi».
A ciò merita di essere aggiunta un’ulteriore considerazione: l’incremento esponenziale dell’uso di Cloud pubblico, favorito dall’emergenza sanitaria grazie alle applicazioni utilizzate massicciamente da dipendenti e collaboratori per lavorare da remoto. In questo modo, le aziende sono state costrette a fronteggiare un aumento massivo di dati, e di conseguenza a dover presidiare e proteggere una superficie d’attacco sempre più ampia.
Le soluzioni
La protezione dell’identità passa da più strade, quali per esempio l’adozione di soluzioni passwordless (con le quali ci si autentica senza dover immettere una PW) o, all’opposto, con sistemi MFA (Multifactor Authentication, che aggiungono alle classiche credenziali l’inserimento di un codice generato al momento). Particolarmente utile è anche una gestione dei privilegi che permetta agli utenti – soprattutto in un contesto aziendale - di compiere solo le azioni funzionali al loro ruolo.
Il monitoraggio in tempo reale delle risorse aziendali e degli eventi che le coinvolgono è un’altra delle azioni strategiche nella difesa delle identità digitali (e in generale, della sicurezza aziendale). In ambito Cloud, emergono soluzioni che privilegiano l’agilità del modello “as-a-service”, come nel caso del BaaS e del DraaS.
Con BaaS si intendono le soluzioni di Backup-as-a-Service, che garantiscono la portabilità e la protezione dei dati indipendentemente dalla loro conservazione su server fisici (che rappresentano comunque la soluzione secondaria di protezione, con la creazione di una copia fisica e isolata dallo storage primario su Cloud). Il Backup è strumento essenziale per il ripristino della situazione eventualmente compromessa da un attacco, e nella modalità “as-a-Service” solleva l’azienda da oneri impegnativi quali la configurazione, la manutenzione, il monitoraggio e gli aggiornamenti del software e dello storage. Tutte attività che vengono affidate a un partner esterno qualificato.
Il DraaS (Disaster-Recovery-as-a-Service) interviene a danno compiuto (sistemi bloccati da una richiesta di riscatto, ma anche incendi, blackout) ed è essenziale per permettere alle aziende di ripartire nel minor tempo possibile, prevedendo procedure anche molto complesse che, come nel caso del BaaS, vengono affidate sempre al partner esterno, sollevando così i team interni da impegni particolarmente gravosi.