Troppo spesso gli amministratori aziendali seguono le best practice per numerose infrastrutture di rete, ma dimenticano l’importanza della sicurezza della posta elettronica. Si potrebbe sostenere che la sicurezza delle e-mail è più importante di qualsiasi altra strategia OpSec, poiché molte delle più grandi violazioni dei dati iniziano con un’e-mail di phishing. Con un numero sempre maggiore di dipendenti che lavorano da casa, è più importante che mai garantire che la sicurezza delle e-mail sia configurata e implementata su tutti i canali di comunicazione.
Solo un’e-mail di phishing riuscita porta a milioni di danni
È sufficiente una sola e-mail di phishing riuscita per un utente malintenzionato per compromettere una rete. Gli aggressori potrebbero inviare dozzine di e-mail agli utenti all’interno di un’organizzazione o utilizzare l’ingegneria sociale insieme al phishing per prendere di mira specifici account utente con privilegi elevati. Un recente rapporto Ponemon ha mostrato che il costo medio di una violazione dei dati è di 3,86 milioni di dollari. In molti di questi messaggi di posta elettronica dannosi, gli aggressori tentano di indurre gli utenti mirati ad aprire un allegato dannoso e ad eseguire malware sulla rete, oppure un utente malintenzionato potrebbe tentare di attirare la vittima su una delle loro pagine Web ospitate in cui l’utente viene indotto con l’inganno a inviare informazioni sensibili e credenziali per l’attaccante.
Tech Radar riferisce che ogni anno vengono inviati un trilione di e-mail e 3,4 miliardi di e-mail ogni giorno. Con più dipendenti che lavorano da casa, i loro account personali si mescolano con i dispositivi aziendali, il che significa che ci sono buone probabilità che i dipendenti ricevano almeno una di queste email ogni giorno. Se i dipendenti non sono addestrati a identificare le e-mail di phishing, queste potrebbero essere il prossimo vettore di una violazione dei dati. Con le numerose e-mail di phishing inviate ogni giorno, basta un solo dipendente per lasciare la rete dell’organizzazione vulnerabile al malware.
Anche gli utenti addestrati possono cadere vittima di un attacco di phishing. Gli amministratori, i dipendenti delle risorse umane e il personale finanziario ricevono la formazione necessaria per identificare un attacco di phishing perché spesso sono obiettivi specifici nello spear phishing. Anche con la formazione, i dipendenti possono cadere vittime di attacchi di phishing e ingegneria sociale. Quando gli utenti con privilegi elevati cadono vittime di questi attacchi, i dati divulgati e rubati agli aggressori possono essere molto più gravi. Questi utenti hanno accesso a dati finanziari, dati personali di dipendenti e clienti e numeri di previdenza sociale. Questi dati sono molto preziosi sui mercati darknet, quindi vale la pena pagare per un attacco complesso a lungo termine.
Cybersecurity e-mail
Firewall, controlli di accesso, gestione dell’identità degli utenti e altri elementi fondamentali della rete sono tutti componenti in una buona posizione di sicurezza informatica. Ciò che manca in questo elenco e spesso trascurato è la sicurezza informatica delle e-mail. La sicurezza informatica delle e-mail, offerta da soluzioni come SpamTitan, rimuove la responsabilità degli utenti e utilizza l’intelligenza artificiale per identificare i messaggi dannosi. I messaggi dannosi potrebbero essere phishing, quelli che contengono un collegamento a un server controllato da un utente malintenzionato o quelli con allegati malware. Gli utenti non vedono nemmeno più questi messaggi e invece il sistema li mette in quarantena finché gli amministratori non esaminano e verificano che i messaggi siano benigni.
La sicurezza della posta elettronica si basa su due componenti principali: Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM). Un record SPF è il più semplice da implementare e richiede solo pochi minuti del tempo dell’amministratore. Il record SPF viene aggiunto al server DNS dell’organizzazione come voce TXT. Questa voce TXT è una stringa con una sintassi specifica che fornisce ai server di posta elettronica del destinatario un elenco di indirizzi IP autorizzati che possono essere utilizzati per inviare posta elettronica aziendale.
DKIM è simile a una firma crittografata. Un’intestazione viene aggiunta a un messaggio di posta elettronica con la firma del mittente. Il destinatario verifica questa firma per assicurarsi che il messaggio sia stato inviato dal dominio del destinatario. Insieme a SPF, la sicurezza informatica DKIM convalida il mittente e impedisce ai server di posta elettronica del destinatario di inviare e-mail di phishing contraffatte alla posta in arrivo dell’utente mirato.
Il server di posta elettronica del destinatario può essere configurato con la sicurezza DMARC (Domain-based Message Authentication, Reporting and Conformance). Le regole DMARC determinano come un server di posta elettronica deve gestire i messaggi quando sono presenti SPF e DKIM. Con le rigide regole DMARC, i server di posta elettronica potrebbero rifiutare i messaggi in cui non è presente alcun record SPF. Ad esempio, le organizzazioni che utilizzano Google Suite potrebbero trovare le loro email di dominio bloccate se non è presente un record SPF per il mittente di terze parti.
Con gli attacchi e-mail più comuni che mai, la sicurezza informatica della posta elettronica dovrebbe far parte dei fondamenti della rete di qualsiasi organizzazione. Gli amministratori lavorano duramente per garantire che ogni aspetto della rete sia protetto dai firewall che bloccano il traffico Internet pubblico esterno ai controlli di accesso alle identità interne che limitano l’accesso non autorizzato ai dati. DMARC, DKIM e SPF sono tutti strumenti di base per la sicurezza, in grado di limitare le possibilità che l’organizzazione sia vittima di una grave violazione dei dati.