Come ben sappiamo stiamo passando un periodo particolare nel quale sempre più organizzazioni e aziende fanno lavorare i propri dipendenti da casa. Sebbene questo “nuovo”, per così dire, metodo sia vantaggioso, apre molteplici porte agli attacchi informatici creando così nuove sfide di Cyber-security.
Mentre infatti, le aziende si affrettano a consentire il così detto “smart-working”, i criminali informatici incrementano le loro strategie per trarre vantaggio da coloro che potrebbero avere comportamenti, riguardanti la sicurezza, inadeguati o ingenui. Oltre alle necessità di proteggere la rete aziendale, questo tipo di lavoro aumenta a dismisura la superficie di attacco, ciò a beneficio degli attori delle minacce che si trovano di fronte una opportunità più che interessante.
Siamo di fronte ad una grande ed immediata migrazione di utenti dalle attentamente monitorate e protette reti aziendali, verso reti Wi-Fi domestiche in gran parte non monitorate e spesso non sicure. Un piatto troppo allettante per i Cyber criminali. Questi utenti si ritroveranno fuori dalla portata degli strumenti di sicurezza aziendali basati sul perimetro e con ogni probabilità riceveranno un esponenziale aumento di phishing e attacchi di rete.
Rampa di lancio
I ricercatori affermano che la prima serie di attacchi a lavoratori remoti probabilmente giocherà sulle loro paure e preoccupazioni, su ciò che li ha portati a dover lavorare da casa — il coronavirus stesso.
La preoccupazione è più che teorica. Alcuni Cyber criminali hanno già sfruttato attacchi informatici a tema coronavirus mentre il panico continua attorno alla pandemia globale, compresi vari attacchi di malware che coinvolgono Emotet e altre minacce.
Ad esempio, recentemente è stato individuato un APT che diffonde un trojan di accesso remoto (RAT) unico e personalizzato che acquisisce schermate, scarica file e altro, in una campagna a tema COVID-19. Ovviamente, l’Organizzazione Mondiale della Sanità (OMS) ha emesso avvertimenti sui truffatori che fingono di essere l’organizzazione. Si prevede che tale attività si espanda di pari passo all’espansione della superficie di attacco.
La paura delle persone per il virus è la vulnerabilità che gli aggressori cercheranno di sfruttare. Un individuo stressato e spaventato è di propria natura spinto a dimenticare la propria formazione sulla sicurezza e sarà più probabile che esso faccia clic su un collegamento in una e-mail di phishing o che fornisca le proprie credenziali ad un sito Web dannoso. Adesso è un momento importante per avvertire e dare consapevolezza agli utenti in modo che non eseguano azioni che possano mettere la propria azienda in guai seri.
Le organizzazioni e le aziende non sono immuni a queste problematiche. Anche esse possono agire in maniera distratta e conseguentemente aumentare il rischio. A maggior ragione devono quindi fornire strumenti e buone pratiche per evitare la propria esposizione online.
Ad esempio la Otterbein University di Columbus, nell’Ohio, è stata colpita da un attacco ransomware mentre stava preparando il passaggio alle lezioni online. I funzionari IT dell’università hanno dichiarato che non è ancora chiaro quale fosse il vettore di infezione dell’attacco.
Principali sfide nel lavoro a distanza
La mancanza di risorse IT può danneggiare molte organizzazioni mentre agiscono per abilitare strategie remote. Quando gli utenti vengono inviati al di fuori del normale perimetro, l’applicazione di patch e la protezione di centinaia di migliaia di endpoint diventa una sfida molto più grande.
I Team di sicurezza perdono il controllo dell’ambiente nel quale l’utente lavora. Essi si ritrovano a porsi domande del tipo “hanno protetto la loro rete domestica e il loro Wi-Fi? Se utilizzano un personal computer, quali strumenti ho per garantire che il dispositivo non sia compromesso? ecc…”
In sostanza il perimetro della rete aziendale adesso include tutte le case dei propri dipendenti e mentre alcuni programmi di sicurezza sono preparati a questo, altri non lo sono.
Per quanto riguarda le organizzazioni che non sono pronte, è importante ricordare che esiste un’ampia fascia di aziende che normalmente non consentono il telelavoro. Governo, legale, assicurativo, bancario e sanitario sono tutti ottimi esempi di settori che non sono preparati per questo massiccio afflusso di lavoratori remoti.
Le sfide sono particolarmente evidenti per coloro che lavorano in settori regolamentati e quelli che utilizzano software proprietario o specifico, come gli operatori di borsa. Il software proprietario o specifico è solitamente anche un software legacy. È difficile da correggere e mantenere e raramente è possibile accedervi da remoto.
Spesso queste organizzazioni, tra le quali molte scuole, sono in possesso di un software proprietario on-premise(in sede) che richiede configurazioni speciali per essere reso accessibile da remoto.
Le aziende regolamentate rappresentano una problematica in quanto utilizzano sistemi, dispositivi o utenti ancora non appropriate per lo smart working. Esse devono disporre di ambienti e dispositivi sicuri per soddisfare le normative e spesso non è possibile garantire un lavoro a distanza sicuro a causa di problemi di sicurezza e di accesso di persone non autorizzate.
In un mondo nel quale l’adozione di SaaS e cloud è in crescita, garantire la sicurezza del lavoro a distanza può essere semplice se i sistemi sono tutti in una rete interna, la vera sfida è quella di fornire agli utenti un modo sicuro di accedere a tali sistemi tramite una VPN(Virtual Private Network) o altra soluzione di rete.
Spesso le organizzazioni hanno necessità di aiuto da parte dell’IT che però non sempre si trova in possesso degli strumenti giusti, da qui la necessità di prendere il controllo della macchina, sprecando molto tempo e rischiando di compromettere la sicurezza.
Da non sottovalutare è anche l’aspetto della crescente minaccia alla sfera mobile. Gli utenti che restano a casa o che sono bloccati in ambienti remoti, dipenderanno fortemente dai loro dispositivi mobile. Gli attacchi a questi dispositivi sono particolarmente efficaci perché innescano risposte immediate da parte dei destinatari: alla base di ciò ci sono piattaforme di comunicazione istantanea come SMS, iMessage, WhatsApp, WeChat e altri.
Best practices per il lavoro a distanza
Fortunatamente, le aziende possono pianificare il lavoro a distanza al fine di affrontare alcune delle problematiche di sicurezza.
Il primo passo che i datori di lavoro dovrebbero affrontare adesso è quello di condurre una formazione e concordare una gestione da remoto con i loro responsabili di settore. Una buona pratica è quella di inventariare le applicazioni aziendali e identificare quelle mission-critical. Per le applicazioni SaaS è bene seguire i provider e informarsi sui piani di continuità aziendale. Per le applicazioni locali che richiedono connettività VPN, occorre testare e convalidare tale connettività VPN per un utilizzo più elevato del solito.
Anche la valutazione dei rischi delle configurazioni informatiche dei lavoratori remoti è essenziale, le aziende non devono fare a meno di chiedere ai propri dipendenti come si collegheranno ai sistemi dell’azienda e da quali dispositivi. Sarà poi compito dell’azienda scegliere se ritenere conformi tali metodologie e strumenti e nel caso non lo fossero fornire soluzioni appropriate e sicure per la salvaguardia aziendale.
A favore delle aziende, sono presenti numerosi servizi Cloud che permetto di avere un ambiente Workspace digitale da mettere a disposizione dei propri utenti. I loro vantaggi sono numerosi e vanno dalla riduzione dei costi alla possibilità di avere dati al sicuro in ambienti crittografati. Non va dimenticato però che sistemi sicuri perdono parte della loro affidabilità se l’accesso a tali ambienti viene eseguito da dispositivi o reti compromesse o da utenti mal formati e con una scarsa Cyber igiene.
A tal proposito, dato l’aspetto social-engineering della maggior parte degli attacchi, l’educazione degli utenti è più importante che mai. Occorre assicurarsi che i propri dipendenti siano aggiornati con le ultime tematiche di consapevolezza sulla sicurezza informatica e che non vengano ingannati da attacchi sempre più spesso “ad-hoc”.
Consigli per difendersi dal phishing
Una delle maggiori minacce che possono danneggiare noi e le aziende, come detto precedentemente, è il phishing. Per proteggersi occorre abbracciare il buon senso.
Dati, codici di accesso e password personali non dovrebbero mai essere comunicati a sconosciuti. E’ bene ricordare che, in generale, banche, enti pubblici, aziende e grandi catene di vendita non richiedono informazioni personali attraverso e-mail, sms, social media o chat: quindi, meglio evitare di fornire dati personali, soprattutto di tipo bancario, attraverso tali canali. Se si ricevono messaggi sospetti, è bene non cliccare sui link in essi contenuti e non aprire eventuali allegati, che potrebbero contenere virus o programmi trojan horse capaci di prendere il controllo di pc e smartphone.
Spesso dietro i nomi di siti apparentemente sicuri o le URL abbreviate che si trovano sui social media si nascondono link a contenuti non sicuri. Una piccola accortezza consigliata è quella di posizionare sempre il puntatore del mouse sui link prima di cliccare: in molti casi si potrà così leggere in basso a sinistra nel browser il vero nome del sito cui si verrà indirizzati.
Non da meno è buona pratica stare attenti ad eventuali indizi che una email può contenere.
I messaggi di phishing sono progettati per ingannare e spesso utilizzano imitazioni realistiche dei loghi o addirittura delle pagine web ufficiali di banche, aziende ed enti. Tuttavia, capita spesso che contengano anche grossolani errori grammaticali, di formattazione o di traduzione da altre lingue.
È utile anche prestare attenzione al mittente (che potrebbe avere un nome vistosamente strano o eccentrico) o al suo indirizzo di posta elettronica (che spesso appare come un’evidente imitazione di quelli reali). Meglio diffidare dei messaggi con toni intimidatori, che ad esempio contengono minacce di chiusura del conto bancario o di sanzioni se non si risponde immediatamente: possono essere subdole strategie per spingere il destinatario a fornire informazioni personali.
E’ necessario installare e tenere aggiornato sul pc o sullo smartphone un programma antivirus che protegga anche dal phishing. Programmi e gestori di posta elettronica hanno spesso sistemi di protezione che indirizzano automaticamente nello spam la maggior parte dei messaggi di phishing: è bene controllare che siano attivati e verificarne le impostazioni.
Meglio non memorizzare dati personali e codici di accesso nei browser utilizzati per navigare online. In ogni caso, è buona prassi impostare password alfanumeriche complesse, cambiandole spesso e scegliendo credenziali diverse per ogni servizio utilizzato: banca online, e-mail, social network, ecc.
Scelta di un metodo di accesso remoto
Ci sono due migliori metodi per connettere i lavoratori remoti all’azienda: gateway VPN e accesso remoto:
VPN Gateway
Questo è il metodo più sicuro di lavoro remoto se configurato correttamente con una macchina di proprietà dell’azienda. Non è raccomandato per dispositivi personali. I gateway VPN estendono i protocolli di sicurezza informatica a livello aziendale attraverso un tunnel crittografato sicuro tra la rete interna dell’azienda e il computer remoto. Sebbene questa sia un’opzione relativamente sicura, i dati infetti possono raggiungere la rete interna se il computer in connessione è compromesso su una rete domestica.
Servizio di accesso al computer remoto
Attraverso l’uso di un servizio software di terze parti, gli utenti remoti possono connettersi direttamente a un computer dell’ufficio. Il software consente loro di controllare le azioni sul proprio computer all’interno di una finestra sul proprio computer di casa. Questa offerta è una valida alternativa a una VPN quando i dipendenti devono lavorare da dispositivi personali poiché conserva tutti i dati e le applicazioni contenuti in ufficio. Sebbene conveniente, una corretta configurazione dell’hardware remoto è fondamentale per una connessione sicura. Tutti i dati inviati dal computer dell’ufficio al computer remoto sono crittografati, ma tale crittografia nasconde anche i dati dai firewall aziendali e dal software di rilevamento delle minacce. Se i computer dei dipendenti non sono sicuri, i dati infetti possono entrare nella rete interna senza essere soggetti ad alcun rilevamento.
In conclusione
Considerati questi “tips” non resta che stare attenti sotto ogni aspetto. Sappiamo che l’emergenza di oggi non è quella digitale ma una volta superato questo periodo potrebbe esserlo.
Occorre farsi trovare preparati. La consapevolezza e la formazione sono adesso più che mai il punto chiave di una corretta igiene informatica.
Per citare un personaggio di una serie tv
“Le persone fanno sempre i migliori exploit. Non ho mai trovato difficile da hackerare la maggior parte delle persone. Se si ascoltano, se le osserviamo, le loro vulnerabilità sono come un’insegna al neon avvitata nelle loro teste.”
– Elliot Alderson, Sig. Robot
Quindi occhi aperti e porte chiuse.