Tra le password più utilizzate nell’ultimo anno continuano a comparire combinazioni alfanumeriche banali e di uso comune. Ci credi che nel 2021 la password più gettonata, usata da oltre 100 milioni di persone in tutto il mondo, è stata 123456? A seguire c’è chi ha pensato di accorciare questa sequenza di numeri optando per 12345 o di allungarla arrivando fino al numero 9. Non mancano altre password estremamente semplici come, 111111, 123123 o addirittura “password” e “qwerty”. Questi dati, all’apparenza “divertenti”, sono in realtà esplicativi di un problema diffuso: la scarsa consapevolezza in materia di sicurezza informatica.
Essere consapevoli oggi può fare la differenza nell’affrontare e prevenire gli attacchi informatici, partendo proprio dall’utilizzo di password efficaci. Vediamo insieme come crearle in maniera corretta.
Anzitutto, è necessario creare una password il più lunga possibile (almeno 12 caratteri), che includa numeri, simboli e lettere minuscole e maiuscole. Questo perché, quanto più lunga è una password, tanto più tempo occorrerà al malintenzionato per provare tutte le possibili combinazioni per trovare quella giusta (tecnica nota come brute force).
Con le attuali potenze di calcolo, per esempio, un aggressore potrebbe indovinare una password di otto caratteri in meno di un giorno, mentre una password lunga 12 caratteri richiederebbe due settimane. Per una password lunga 20 caratteri sarebbero invece necessari 21 secoli.
La risposta è no! Purtroppo gli hacker dispongono, infatti, di strumenti sofisticati, che sono in grado di indovinare le password sulla base di parole di uso corrente e modelli comuni, come scrivere la prima lettera in maiuscolo o aggiungere un punto esclamativo alla fine. Non solo, se ci si affidasse a frasi anche complesse ma note, per esempio un proverbio, l’indovinare le prime parole renderebbe immediato al malintenzionato l’intuire la password intera (carpire un “è meglio un”, permetterebbe di azzeccare quasi sicuramente il resto: “un uovo oggi che una gallina domani”).
Per rendere una password più resistente a tali strumenti è necessario quindi aumentarne la casualità, creando magari combinazioni di parole senza alcun senso. Un altro modo per creare delle password efficaci è utilizzare un generatore di password, un software che permette di generare password velocemente e a random.
Come detto, per proteggere i nostri account nella maniera corretta dobbiamo usare password complesse, cioè lunghe a sufficienza e casuali; ma molte persone, per evitare di doverle ricordare a memoria, adottano la pericolosa abitudine di riutilizzare sempre la stessa per tutti i propri account; chiaro che, se un malintenzionato ne entra in possesso, questi è poi in grado di accedere a tutti gli account della vittima. Gli aggressori sfruttano spesso questa condizione.
Ma come ricordarle allora, senza cadere nel vecchio errore di trascriverle su un post-it, sulla nostra agenda o nelle note del nostro smartphone?
La soluzione migliore è quella di utilizzare un password manager, ovvero un software che permette di gestire tutte le password dei nostri account, custodite in una “cassaforte” (vault) che è accessibile attraverso un’unica password centrale, quella del password manager stesso, che è l’unica da ricordare; una volta inserita, si ottiene l’accesso a tutte le altre, che possono essere utilizzate per il caso in oggetto, magari sfruttando l’operazione di “copia-incolla”.
Stando al rapporto Clusit “nel 2021 gli attacchi nel mondo sono aumentati del 10% rispetto all’anno precedente e sono sempre più gravi”.
Gli attacchi crescono in quantità e qualità e per la prima volta dopo anni si evince che gli attaccanti non mirano più a multiple targets, bensì a target mirati e ben specifici.
Al giorno d’oggi in cui il digital permea la nostra quotidianità, risulta necessario comprendere che la sicurezza non è un prodotto, cioè un qualcosa che acquistiamo come black-box per proteggerci, ma è un processo, un insieme di strategie e soluzioni atte a garantire un alto livello di sicurezza.
Agli albori Internet è stato costruito con una visione ottimistica e quindi senza tener contro della sicurezza della rete. Oltre a ciò, ci sono tanti altri elementi che favoriscono una bassa sicurezza in generale: ad esempio l’alta competitività che porta ad un basso “time-to-market” finalizzato ad un ROI alto (Return on Investiment), oppure ad uno scarso testing del software o peggio, un design iniziale che non tenga in considerazione di aspetti di sicurezza che ad oggi nessuna software house può evitare.
Per ottenere un buon livello di sicurezza, ogni elemento della catena dev’essere forte: i dati ci confermano che l’anello debole non sono gli strumenti informatici, ma proprio le persone.
Secondo Verizon, il 91% degli attacchi informatici utilizza le mail come vettore d’attacco.
A tal proposito si definiscono come “social engineering” l’insieme di tecniche utilizzate dagli hacker per manipolare la psicologia umana e indurre l’utente a eseguire certe azioni. Purtroppo per noi, questi sistemi di attacco sono semplici da implementare, economici e allo stesso tempo molto remunerativi.
Una forma molto usata di social engineering è il “phishing” per il quale gli utenti vengono spinti ad agire senza pensare alle conseguenze sfruttando e-mail, siti web clonati, ecc…
Esistono diverse tipologie di Phishing in base a come viene sfruttato il fattore umano:
Secondo Proofpoint, in media, il budget di sicurezza informatica investito dalle aziende per la parte e-mail costituisce l’8% del totale, ma il problema è che le mail costituiscono il principale vettore d’attacco.
In generale, chi difende ha come focus principale la parte di networking; invece, gli attaccanti hanno come target principale le persone!
In generale un attacco informatico, qualunque sia il vettore iniziale ha una precisa kill chain (un modello di cyberattacco a più fasi):
I cybercriminali fanno leva su due fronti: la paura e il senso di urgenza. Un copione molto frequente è ad esempio informare gli utenti che il loro account è stato bloccato o verrà sospeso se si ignora l’e-mail. La paura porta gli utenti presi di mira a non far caso ai segnali rivelatori di un tentativo di phishing in atto, dimenticandosi di ciò che hanno imparato sul phishing. Di tanto in tanto perfino gli amministratori e gli esperti di sicurezza cadono vittime del phishing.
Solitamente, la stessa e-mail di phishing viene inviata a più persone possibile, perciò i saluti iniziali sono spesso generici.
Vediamo nel dettaglio alcuni consigli per aumentare il nostro livello di attenzione verso questo tipo di e-mail:
In generale non esiste una bacchetta magica per proteggerci da attacchi di phishing, ma una combinazione di buon senso, scetticismo, soluzioni hardware e software e training continuo aiutano ad innalzare il livello di sicurezza e di filtraggio per questi attacchi. In sintesi, applicare un «sano sentimento di diffidenza» (C. Migliorati, Sabaf). E quindi:
Come Fasternet nell’ultimo anno e mezzo abbiamo lavorato su un campione di circa 3400 utenti avviando campagne di formazione mirate e continue secondo l’approccio del “continuous learning”. Analizzando i dati ottenuti dalle campagne di phishing simulato si evince che il 59,40% delle persone ha aperto la mail e il 22,18% ha fatto click sul link potenzialmente malevolo.
Inoltre, si evince che per ciascuna azienda od organizzazione c’è sempre qualcuno che clicca sul link potenzialmente malevolo. Si trae che in media il 22,12% dei dipendenti di un’azienda fa click sul link contenuto in una mail di Phishing.
Analizzando invece i punteggi medi degli utenti a fronte del primo assessment in confronto con quello di un anno dopo, si registra un trend di miglioramento medio del 27%. Questo implica che effettuando un percorso di formazione continua e mirata a tutti gli utenti, la superficie d’attacco sfruttabile da un attaccante risulta minore già dopo un anno.
Le email costituiscono il canale di comunicazione primario per quanto concerne il mondo digitale. Il successo è dovuto a diversi fattori, tra cui la sua economicità e facilità d’utilizzo da parte degli utenti, nonché all’immediatezza di trasmissione.
Le email, però, presentano varie criticità in termini di sicurezza informatica: non garantiscono, ad esempio, la veridicità di mittente e destinatario o dell’orario di trasmissione, nonché permettono il ripudio da parte del destinatario di quella comunicazione.
Da questi fattori è nata l’esigenza di una forma di comunicazione simile, ma che potesse avere validità giuridica: la PEC (Posta Elettronica Certificata).
La PEC è simile alle tradizionali raccomandate postali, ma in forma completamente digitale e assicura agli utenti la certezza, il valore legale, l’invio e la consegna, o la mancata consegna, dei messaggi e-mail al destinatario.
La PEC garantisce, quindi, l’integrità del messaggio inviato, il non ripudio e l’attendibilità di mittente e destinatario tramite l’utilizzo della firma digitale.
La PEC, tuttavia, non garantisce la confidenzialità dei dati trasmessi poiché i messaggi non vengono cifrati, ma vengono comunque trasmessi in chiaro. Inoltre non è esente da attacchi informatici, in quanto sempre più spesso anche le PEC vengono sfruttate come vettore d’attacco iniziale allo stesso modo delle più tradizionali e-mail.
Read more
Ad oggi, nel mondo, il 62,5% della popolazione utilizza internet e quindi, ovviamente, dei dispositivi informatici. Sono numeri che, come potete immaginare, continueranno a crescere in maniera consistente già nei prossimi anni.
Se da un lato cresce di giorno in giorno il numero di persone che accedono ed usufruiscono di internet, in parallelo, inevitabilmente, cresce il numero di attacchi informatici sferrati. Anche questo trend, chiaramente, prevede un andamento al rialzo ed è quanto mai importante muoversi per prevenire possibili (ma a questo punto meglio dire probabili) attacchi.
I primi software antivirus risalgono agli anni ’80 e la loro strategia difensiva è riconoscere le signature malevole al fine di bloccare i malware.
Al giorno d’oggi questa strategia è ancora largamente diffusa, ma di pari passo con lo sviluppo del Machine Learning e dell’intelligenza artificiale sono nate le soluzioni EDR (Endpoint Detection & Response) che, a differenza dei tradizionali sistemi antivirus, basano la loro strategia difensiva sull’individuazione di comportamenti malevoli.
Di conseguenza, non si tratta più di conoscere a priori cosa sia malevolo per poterlo bloccare ma si analizza il comportamento di qualsiasi software al fine di capire se sia malevolo oppure no.
Con una soluzione EDR si possono così bloccare malware sconosciuti (0-day), cosa che non sarebbe possibile con una soluzione tradizionale che invece ha bisogno delle signature di un malware individuato in precedenza.
Oltretutto, dobbiamo ricordare che i malware di oggi sono polimorfici, questo significa che ogni loro “copia” non sarà mai uguale alla precedente; quindi, anche per questo motivo, non possiamo più affidarci ai classici antivirus. Ogni espressione di uno stesso malware si presenta in n modi differenti e non è possibile basare la difesa dei propri dispositivi su algoritmi statici che necessitano di una conoscenza a priori del software identificato come malevolo.
Le soluzioni Endpoint Detection and Response sono pensate per monitorare continuamente gli endpoint ed intervenire via internet in caso di minacce. Questa costante “sorveglianza” avviene attraverso sensori e/o agent installati sugli endpoint che permettono di identificare attività malevole tra ciò che viene fatto dagli utenti. Le anomalie segnalate vengono inviate a un database per l’analisi e possono essere esaminate e approfondite dal team IT. Una soluzione EDR garantisce di fatto una protezione in tempo zero per qualsiasi software.
Read more
Riuscire a fare un bilancio positivo del 2021 non è facile, e l’impresa è resa ancor più complessa se l’aspetto sul quale ci si concentra è la cybersecurity. Il rapporto Clusit relativo appunto a quell’anno segnala che “Nel 2021 gli attacchi informatici nel mondo sono aumentati del 10% rispetto all’anno precedente, e sono sempre più gravi”.
Come avvengono questi attacchi? Anche in questo caso la risposta è chiara, limpida e poco rassicurante.
Risulta evidente che gli attacchi utilizzino come target principale le persone, come viene del resto confermato anche dalle statistiche di Proofpoint, azienda leader nel settore del Security Awareness, produttrice di quella che per 6 anni di fila è stata nominata la migliore soluzione di “Security Awareness Computer-Based Training” dal Magic Quadrant di Gartner.
Secondo l’azienda, infatti il 93% degli attacchi informatici sfrutta il fattore umano, o per meglio dire approfitta delle sue debolezze, e di questi attacchi ben il 96% viene sferrato attraverso una semplicissima mail.
A ciò si aggiunge un fatto ancor più preoccupante: la differenza di visione tra chi deve difendersi e chi attacca. Secondo Proofpoint, il budget di sicurezza informatica investito dalle aziende per mettere in sicurezza la parte e-mail costituisce in media l’8% del totale, ma è evidente che, se come abbiamo detto le mail costituiscono il principale vettore d’attacco, questo non può essere sufficiente.
Chi si occupa di sicurezza nelle aziende in generale si concentra principalmente sulla parte di networking, mentre chi attacca ha come target principale le persone!
No matter what technical controls your customers have, 99% of attacks are human-activated.
Questo non significa certo che non vada protetta la rete attiva e passiva di aziende e organizzazioni, ma deve essere chiaro che è indispensabile ed urgente mettere in cantiere tutto ciò che è necessario per proteggere l’utente finale che, di fatto, è il bersaglio più comune.
La protezione di qualsiasi asset, incluso quello “umano”, non può prescindere da un processo di valutazione dei rischi.
Il percorso da intraprendere può quindi essere così raffigurato:
Affinché gli utenti finali diventino la prima linea di difesa del cliente, raccomandiamo un approccio basato sulla formazione continua. Questo approccio ha consentito ai nostri clienti di ottenere una riduzione fino al 90% degli attacchi di phishing riusciti da infezioni selvagge e malware.
Inoltre, vengono in aiuto video, poster e articoli di sensibilizzazione per aiutare gli end user a utilizzare e ricordare ciò che gli è stato insegnato durante la formazione.
Measurement: una volta completati tutti gli step precedenti è importante valutare il completamento dei training degli utenti nonché ottenere report di business intelligence relativi agli score, ai trend di miglioramento e agli argomenti per i quali gli utenti hanno una più bassa conoscenza e quindi rappresentano una falla per la superficie d’attacco aziendale. Tutto ciò consente un vero miglioramento continuo, personalizzato e automatico.
Read more