Come avviare seriamente una strategia di email security  

Secondo il Data Breach Investigation Report 2022 di Verizon, l’email è il vettore d’attacco in quasi il 30% dei casi di sottrazioni di dati, le quali peraltro sono sempre più dannose: da un report di IBM emerge che il costo medio di un data breach ha abbondantemente superato, a livello globale, i 4 milioni di dollari.

In ambito business, l’email viene considerato un canale di comunicazione (digitale) piuttosto inefficiente rispetto al web messaging, alle chat e alle piattaforme integrate di collaboration. Eppure, è ancora lo strumento cardine della produttività e delle relazioni di lavoro, e per questo è preso di mira dai malintenzionati. Inoltre, l’attacco all’email è un’operazione relativamente semplice e a basso costo: come sottolineato nell’ultimo Rapporto Clusit, i malintenzionati mirano a massimizzare il profitto e, a tale scopo, l’email rappresenta un mezzo perfetto per infliggere danni importanti con una spesa minima.

Email security: le minacce principali

Per costruire una strategia efficace di email security, occorre innanzitutto comprendere come si stiano muovendo i malintenzionati. Posto che nuove tecniche emergono ogni giorno, i tre principali meccanismi fraudolenti che prendono di mira l’email sono:

• Phishing e molte delle sue varianti, come il cosiddetto Outbound Phishing che si verifica quando i criminali inviano email che simulano quelle ufficiali della propria azienda. Ciò potrebbe portare a danni reputazionali e gli email provider potrebbero bloccare le email legittime dell’azienda, etichettandole automaticamente come spam;
• Business Email Compromise (BEC), che rientra nell’ambito del social engineering. Spesso ci si riferisce a questo fenomeno con l’espressione CEO Fraud;
• Malware (dall’inglese “malicious software”), può prendere il controllo dell’account di posta elettronica dell’utente per inviare email malevole ai contatti in rubrica, diffondendo ulteriormente il malware o sfruttando l’account per scopi illegali o fraudolenti.

Mentre Phishing e Malware sono vettori d’attacco noti da decenni, il BEC è entrato nel radar della cybersecurity da non più di qualche anno e ha già mietuto vittime illustri. Per quanto possa essere eseguito in diversi modi, più o meno sofisticati, i malintenzionati assumono in ogni caso le sembianze del CEO o del CFO dell’azienda per forzare azioni indebite: il caso più comune è quello del CEO che, via email, ordina all’amministrazione di eseguire un bonifico immediato. Così come l’Outbound Phishing, il BEC è complesso da rilevare: a volte l’attacco è eseguito mediante indirizzi email esterni creati ad arte per replicare le sembianze di quelli legittimi (si parla di email spoofing, ed è il tipico caso della “I” maiuscola identica alla “L” minuscola), ma potrebbe trattarsi anche di una sottrazione di credenziali e quindi di un email formalmente legittima.

Come avviare una strategia di email security: i 5 step

La strategia più efficace di email security deve essere sistemica, dovendo osservare, fronteggiare e reagire a dinamiche profondamente diverse tra di loro. Abbiamo dunque identificato 5 step che potrebbero costituire una strategia efficace.

Conoscere il nemico: Threat Intelligence

Gli attacchi evolvono ogni giorno, compresi quelli che riguardano l’email. La visibilità in tempo reale delle minacce emergenti e la consapevolezza delle dinamiche di attacco sono essenziali per conoscere ciò che si deve fronteggiare e per sviluppare piani di risposta prima dell’attacco stesso.

Analizzare i contenuti in tempo reale

L’analisi delle email in ingresso resta un fondamento della email security moderna. Rispetto al passato, laddove l’indagine riguardava principalmente gli allegati, oggi il livello di complessità è molto superiore. Oltre a rilevare lo spam e i malware, il tool impiegato dall’azienda deve essere in grado di riconoscere dinamiche di phishing e, utilizzando tecniche di classificazione avanzate (AI), anche fattispecie molto insidiose come il BEC. Le capacità di sandboxing sono utili per analizzare gli allegati in un ambiente sicuro.

Procedere con l’autenticazione dell’email

L’autenticazione è il processo di verifica del mittente dell’email e, di conseguenza, della legittimità del messaggio stesso. L’autenticazione è fondamentale per distinguere le email legittime dallo spam e anche per assicurarsi che le proprie email giungano a destinazione e non vengano filtrate. L’autenticazione si basa su tre standard complementari:

• SPF (Sender Policy Framework);
• DKIM (DomainKeys Identified Mail);
• DMARC (Domain-based Message Authentication Reporting and Conformance).

Aggiungere tecniche di Data Loss Prevention

Una strategia efficace di email security previene la fuoriuscita di informazioni sensibili dal perimetro aziendale. Spesso si tratta di semplici errori umani, ovvero della condivisione di informazioni con chi non avrebbe titolo di riceverle. Per questo, gli strumenti di scansione e protezione delle email vanno integrati in una strategia di sicurezza che comprenda strumenti di data loss prevention, il cui scopo è effettivamente quello di limitare la fruizione dei dati agli aventi diritto.

Organizzare percorsi di Security Awareness

Moltissimi attacchi che riguardano l’email potrebbero essere evitati affiancando a misure tecniche di protezione un po’ di sana diffidenza. Si pensi, a titolo d’esempio, al BEC: quando un CEO non è solito richiedere bonifici immediati, non sarebbe il caso di verificare la legittimità della richiesta con una semplice telefonata, fosse anche dall’altra parte del mondo? Per questo, una strategia di email security non può prescindere da comportamenti virtuosi da parte degli utenti, che si ottengono solo organizzando percorsi efficaci di Security Awareness.