Ladri d'identità: come rendere loro la vita difficile

I ladri d'identità sono in grado di compiere i loro misfatti in molti modi: I criminali utilizzano principalmente tecnologie di phishing (67%) e malware (33%) per attaccare le identità. È quanto emerge dal Global Threat Intelligence Report (GTIR) 2019 di NTT Security. Gli attacchi di phishing hanno come obiettivo Google (27%) e soprattutto gli account Microsoft (45%), in particolare Office 365, secondo GTIR 2019. Tuttavia, le applicazioni Microsoft non sono solo bersagli popolari degli attacchi di phishing, ma anche le campagne di spam di malware sono un grosso problema. Oltre 95% delle minacce informatiche legate al furto di identità hanno preso di mira le vulnerabilità di un'applicazione o di un sistema operativo di Microsoft Office, con quasi 35% che hanno sfruttato la vulnerabilità CVE-2017-11882. Nel malware keylogger, il trojan "Trickbot" (62%) svolge un ruolo importante. In precedenza, Trickbot prendeva di mira solo i dati bancari, ma la nuova variante può anche carpire le password di altre applicazioni.

Furto d'identità con gravi conseguenze

L'impatto del furto d'identità sulle aziende è enorme: si possono verificare rapidamente danni per milioni di euro se i truffatori si spacciano per i capi dell'azienda e indirizzano i pagamenti a conti falsi. Anche lo spionaggio industriale o il ricatto, comprese le richieste di riscatto, possono avere gravi conseguenze finanziarie. Se le aziende non hanno più accesso a dati importanti, ad esempio nel caso di un attacco ransomware, le operazioni in corso vengono interrotte o, nel peggiore dei casi, si bloccano.

Cinque consigli contro i ladri di identità

Tuttavia, con cinque accorgimenti, le aziende possono rendere più difficile il furto d'identità e prendere le giuste misure in caso di emergenza:

1. Innanzitutto, le aziende hanno bisogno di password forti. Le password deboli sono spesso ancora il principale punto debole della sicurezza. Se lo stesso login o un login molto simile viene utilizzato per diversi account, gli hacker possono riutilizzare le credenziali rubate. Per una vera protezione, gli utenti dovrebbero dimostrare o inserire un secondo fattore di autenticazione oltre alla password, che un aggressore non può conoscere o possedere. I moderni token nel contesto dell'autenticazione a più fattori (MFA) sono una soluzione efficace. Per ogni processo di autenticazione viene generata una sorta di password unica, ad esempio un codice via SMS o un messaggio push che richiede "conferma" o "rifiuto". L'autenticazione a più fattori è particolarmente necessaria per i sistemi che richiedono i diritti di amministratore per l'accesso. In questo modo è molto più difficile per gli aggressori ottenere l'accesso a informazioni sensibili e reti utilizzando vecchi nomi utente e password. Inoltre, i dati elettronici devono essere criptati e i documenti protetti con firme digitali.
2. Non tutti i dipendenti devono poter accedere a tutte le aree della rete aziendale. Le aziende dovrebbero segmentare la rete e definire esattamente chi ha quali diritti. Questo vale, ovviamente, soprattutto per gli ambienti cloud e ibridi. In questo modo, i criminali che ottengono un accesso meno privilegiato non possono penetrare immediatamente nell'intera rete aziendale.
3. Un punto importante è la formazione dei dipendenti. Una formazione mirata sulle linee guida di sicurezza, sulle minacce attuali e su come affrontarle aumenta la vigilanza e la consapevolezza dei singoli utenti. Tra le altre cose, è necessario definire regole che specifichino il comportamento da tenere in caso di richieste di informazioni via e-mail sui bonifici bancari.
4. Una strategia di risposta agli incidenti è utile in caso di attacco. Oltre alla questione della risposta appropriata, la questione principale è se e quanto velocemente un incidente possa essere rilevato. Le risposte sono fornite da una visione completa in tempo reale del traffico di rete e da logiche sofisticate per un'analisi efficace. Quando si verifica un incidente, i responsabili devono innanzitutto qualificare, valutare e classificare un incidente di sicurezza. A tal fine è fondamentale il contesto e i rischi associati, poiché non tutti gli incidenti sono incidenti di sicurezza e hanno lo stesso impatto. Dopo aver identificato il problema, il compito successivo è quello di fermare l'attacco informatico e limitare i danni. A tal fine, il personale IT deve utilizzare un playbook di sicurezza che descriva la procedura in dettaglio per esaminare tutti i componenti potenzialmente interessati, come sistemi operativi, file di configurazione, applicazioni e dati, e, se necessario, avviare le misure di recupero dei dati. Idealmente, esiste un piano di disaster recovery (DRP) che descrive esattamente come l'azienda danneggiata deve affrontare un incidente di sicurezza, quali misure devono essere avviate e chi ne è responsabile.
5. Una strategia di governance delle identità è un prerequisito per respingere gli attacchi mirati. In parole povere, la governance dell'identità consiste nella combinazione di gestione dell'identità basata su policy e conformità. I requisiti concreti comprendono, ad esempio, l'assegnazione di ruoli e autorizzazioni a livello aziendale, la regolamentazione dell'accesso degli utenti e il monitoraggio dell'adempimento dei requisiti di conformità. In un contesto in cui molte aziende perdono traccia di quali servizi sono in esecuzione con quale account su quale server o su quale cloud, il tema della governance delle identità è di grande importanza.

Nessuna protezione al 100%

"Non esiste una protezione al cento per cento contro il furto d'identità. Questo rende ancora più importante per le aziende considerare i punti fondamentali", spiega Frank Balow, Director Identity & Key Management EMEA di NTT Security. "Con le identità rubate, gli hacker possono penetrare sempre più a fondo nelle reti aziendali. Anche se il primo nome utente e la prima password rubati non consentono ancora l'accesso ad aree altamente sensibili, in combinazione con l'ingegneria sociale o con altre password conosciute o ottenute, gli aggressori possono andare oltre e, nel peggiore dei casi, effettuare attacchi dedicati. Gli account compromessi possono anche essere utilizzati dagli aggressori per sferrare attacchi esterni a partner aziendali e clienti".

Fonte: Sicurezza NTT