Negli ultimi anni, abbiamo assistito alla diffusione pervasiva del lavoro online e ibrido, che si è adattato alle esigenze digitali dei dipendenti, offrendo comodità e semplicità. Questo passaggio verso una mentalità orientata al digitale e al cloud ha comportato un notevole aumento delle informazioni relative alle identità digitali dei dipendenti e, conseguentemente, ha ampliato la superficie di attacco. Tuttavia, emergono delle sfide nell’ambito delle operazioni di sicurezza (SecOps), poiché non riescono a tenere il passo con la rapida evoluzione di questo panorama e non sono in grado di affrontare adeguatamente i rischi di sicurezza che caratterizzano questa nuova realtà. Queste sono alcune delle principali conclusioni tratte dal recente rapporto sulla Malware Readiness & Defense Report.
L’analisi condotta su circa 320 esperti e leader nel campo della sicurezza informatica rivela che le aziende sono pienamente consapevoli della minaccia costituita dalle infezioni da malware, che spesso fungono da precursori di attacchi informatici più ampi, come i ransomware. Tuttavia, la maggior parte di esse lotta nel gestire in modo completo le conseguenze delle infezioni, soprattutto per quanto riguarda il recupero dei dati di autenticazione che il malware ruba e che possono compromettere la sicurezza delle applicazioni critiche per la forza lavoro. L’evoluzione tecnologica ha inoltre portato alla crescita esponenziale delle tracce digitali dei dipendenti, le quali sfuggono spesso alla visibilità e al controllo del reparto IT. Questa situazione incide negativamente sulla postura di sicurezza e pone notevoli sfide ai team responsabili della protezione dei sistemi, delle reti e dei dati aziendali di valore.
Ecco alcuni dei principali risultati emersi dalla nostra indagine:
– Il 57% delle aziende consente ai dipendenti di sincronizzare i dati dei browser su dispositivi personali e aziendali, aprendo la strada al furto di credenziali da parte di malintenzionati che possono sfruttare dispositivi condivisi o personali per commettere le loro azioni inosservati.
– Il 54% delle aziende ha difficoltà con la “shadow IT” a causa dell’adozione non autorizzata da parte dei dipendenti di applicazioni e sistemi, creando delle falle non solo nella visibilità, ma anche nei controlli di base della sicurezza.
– Il 36% delle aziende permette l’uso di dispositivi personali non gestiti, mentre il 27% consente l’accesso a sistemi e applicazioni aziendali da parte di dispositivi di terze parti. Questo comporta un aumento del rischio, poiché i dispositivi potrebbero non avere adeguate misure di sicurezza per proteggere dati e risorse sensibili.
Le conseguenze di una rimozione post-infezione incompleta favoriscono gli attacchi.
I partecipanti all’indagine hanno collocato gli infostealer tra le prime 3 preoccupazioni, evidenziando così che i team di sicurezza sono consapevoli dell’incremento della minaccia da questo tipo di malware. Inoltre, il 98% degli intervistati è concorde sul fatto che il miglioramento delle capacità di identificazione delle applicazioni aziendali a rischio su dispositivi infetti da infostealer avrebbe un impatto significativo sulla sicurezza aziendale.
In accordo con il Verizon 2023 Data Breach Investigations Report, le applicazioni web rappresentano il bersaglio principale delle violazioni dei dati. Questo è comprensibile, considerando che le organizzazioni si affidano a queste applicazioni per una vasta gamma di attività, dall’accesso unificato (Single Sign-On) alla contabilità, dalle videoconferenze alla posta elettronica. Uno studio condotto da SpyCloud dimostra che ogni infezione da malware espone, in media, 26 applicazioni aziendali, confermando l’importanza di una rapida identificazione e risoluzione per frenare i criminali informatici che intendono sfruttare i dati trafugati per i loro scopi illeciti.
L’intervallo temporale in cui gli aggressori operano si sta allungando, concedendo loro maggior tempo per agire. Una visione completa delle applicazioni compromesse dal malware, comprendendo credenziali rubate, cookie/sessioni intercettate e URL di destinazione, consentirebbe ai team di sicurezza di migliorare i tempi di scoperta e risoluzione. Tale visibilità permetterebbe di interrompere rapidamente le possibilità degli aggressori di sfruttare i dati trafugati, riducendo così il periodo di esposizione dell’organizzazione.
Tuttavia, la nostra ricerca ha rivelato che molti team di sicurezza presentano carenze in termini di capacità e velocità nell’identificazione delle applicazioni aziendali vulnerabili sui dispositivi infetti. Gli intervistati hanno valutato questa capacità come inferiore rispetto ad altri passaggi di mitigazione.
In aggiunta, i nostri risultati indicano che molti team si fermano prima di completare le fasi di rimozione dopo un’infezione da infostealer. Ad esempio, il 27% non monitora regolarmente i log delle applicazioni per individuare segni di compromissione, il 36% non cambia le password per le applicazioni potenzialmente esposte, e il 39% non invalida le sessioni attive in caso di esposizione.
L’adattamento al rapido sviluppo del mondo digitale e all’evoluzione tecnologica nel contesto lavorativo richiede un cambiamento radicale rispetto alle metodologie tradizionali di rimozione del malware. Per contrastare gli attacchi ransomware e altre minacce informatiche, il primo passo che i team di SecOps devono affrontare riguarda la mancanza di chiarezza sulle infezioni da infostealer su tutti i dispositivi connessi alla rete, indipendentemente dal loro livello di gestione.
Tuttavia, ottenere questa visibilità rappresenta soltanto una parte dell’intero quadro. Uno degli errori più comuni commessi dai team di sicurezza informatica consiste nell’interpretare il malware come un problema legato esclusivamente ai dispositivi e nel limitarsi alla rimozione del punto finale. Questo approccio, basato sulla rilevazione del dispositivo infetto, sull’isolamento dell’utente e del dispositivo dalla rete, e sulla pulizia del dispositivo, elimina soltanto la connessione iniziale con il malware.
Tuttavia, tali azioni non mitigano l’impatto dei dati trafugati dal malware. Al momento in cui i team di SecOps intervengono (supponendo che abbiano rilevato gli infetti in primo luogo), le credenziali, i cookie di sessione e altri dati di autenticazione sono già in viaggio verso il mercato nero online, pronti per essere sfruttati.
Per evitare il rischio di rimanere indietro nella protezione delle nuove modalità di operare, le organizzazioni devono rivedere le loro tattiche e adottare un approccio centrato sull’identità. La rimozione post-infezione, basata sull’identità, rappresenta un cambiamento di paradigma che va oltre la risposta tradizionale al malware, includendo passaggi aggiuntivi per risolvere l’esposizione derivante da applicazioni e utenti coinvolti.
Il nostro rapporto evidenzia chiaramente un divario tra la consapevolezza e la preoccupazione per le minacce malware, e la capacità di affrontarle in modo adeguato per ridurre l’impatto sulla sicurezza. Questa discrepanza sottolinea la necessità di adottare una strategia completa di rimozione post-infezione, specialmente mentre le nostre attività digitali, e le tracce da esse lasciate, continuano ad aumentare. In questo contesto, l’elemento umano rimane una componente critica del rischio.
Mentre le organizzazioni si adattano gradualmente alle nuove sfide del mondo digitale, i criminali informatici non riscontrano problemi di velocità o agilità e sono costantemente in movimento, adattandosi alle ultime tendenze. La strategia migliore per i team di sicurezza consiste nel cambiare mentalità e iniziare focalizzandosi sulla visibilità dei dati accessibili ai malintenzionati e successivamente attuare tutte le fasi necessarie (idealmente in modo automatizzato) per chiudere le porte ai criminali informatici.
Scarica il Report di SpyCloud
