Come difendersi dai cybercriminali

Quasi il 60 per cento delle minacce informatiche sfrutta un dominio comune e la maggior parte dei botnet fa leva su un’infrastruttura già esistente. Ecco cosa rivela il Report Threat Landscape di Fortinet sulla cybersecurity

Ogni giorno la community dei cybercriminali replica strategie e metodologie di Stati, device e network in continua evoluzione. Ecco perché le organizzazioni devono ripensare i propri piani per affrontare sfide e rischi in ambito cyber security. Per difendersi è fondamentale quindi fare leva su velocità e connettività del cyberspazio, con un approccio fabric alla sicurezza, attuando una segmentazione micro e macro, sfruttando il machine learning e l'automazione come elementi costitutivi dell'intelligenza artificiale.
Fortinet, azienda specializzata nelle soluzioni di cyber sicurezza integrate e automatizzate, ha così analizzato lo stato dell’arte mettendo in luce alcune misure di cui tener conto nella lotta al cybercrime.

Monitorare costantemente i tentativi di accesso
I cybercriminali mettono in atto gli attacchi in diversi giorni della settimana, ma è durante la settimana lavorativa che vanno più a segno raggiungendo addirittura un rapporto di 3 a 1 rispetto al week end. I criminali informatici lavorano per massimizzare le opportunità durante la settimana, quando l’attività sul web è più elevata. Ciò è principalmente dovuto al fatto che l'attività di diffusione di un exploit spesso richiede a qualcuno di intraprendere un'azione come, ad esempio, quella di fare clic su un messaggio di phishing.

L’importanza delle tecnologie condivise e del content management
L’infrastruttura gioca un ruolo fondamentale quando viene utilizzata per mettere in atto la diffusione di particolari rischi informatici. Alcune minacce infatti fanno leva sull’utilizzo di un’infrastruttura comune rispetto a una unica o dedicata.
Quasi il 60% delle minacce ha come denominatore comune almeno un dominio, il che indica che la maggior parte delle botnet sfrutta un’infrastruttura consolidata.
Anche il controllo e la gestione del content management sono fondamentali.
È ormai assodato che gli hacker tendono ad adottare comportamenti che permettano loro di massimizzare le opportunità, come passare da una minaccia all'altra in cluster, mirando alle vulnerabilità. Analizzando le tecnologie nel mirino dei criminali informatici, ad esempio, si scopre che le piattaforme web dove è più massiccia la presenza online di utenti e imprese continuano a essere prese di mira, anche quando sono associate a plugin di terze parti. Questo conferma l’importanza di applicare immediatamente le patch ed essere consapevoli che il mondo degli exploit è in continua evoluzione.

Attivare difese personalizzate contro il ransomware
Nonostante gli attacchi oggi siano più mirati, il rischio costituito dal ransomware è ben lontano dall'essere scomparsa dai radar. Al contrario, gli attacchi multipli dimostrano come siano stati personalizzati per raggiungere target particolarmente importanti e per fornire agli hacker un accesso privilegiato alla rete.
Le minacce mirate richiedono difese più personalizzate per garantire una protezione da metodologie sofisticate di attacco.

Sfortunatamente, gli hacker possono usare una vasta gamma di strumenti legittimi per raggiungere il proprio obiettivo e mascherarsi. Per massimizzare i propri sforzi operano utilizzando gli stessi modelli di business delle loro ‘vittime’ e i metodi di attacco continuano a svilupparsi anche dopo il primo accesso. Nel perpetrare un attacco, i cyber criminali utilizzano sempre più strumenti dual-use oppure che siano già preinstallati sui sistemi. Questa tattica di "Living off the Land" (LoTL) consente loro di nascondere le loro attività all’interno di processi legittimi e rende più difficile rilevarli. Tali tool rendono inoltre anche l'attribuzione degli attacchi molto più difficile.

Mantenere una intelligence dinamica e proattiva
Oggi più che mai è necessaria un'intelligence delle minacce dinamica, proattiva e disponibile su tutta la rete distribuita per migliorare la capacità di un'organizzazione non solo di difendersi adeguatamente dalle minacce, ma anche di prepararsi all'evoluzione e all'automazione degli attacchi richiede. Tale approccio può essere utile per identificare le tendenze, evidenziando l'evoluzione dei metodi di attacco, e per individuare le priorità di cyber hygiene in base agli obiettivi degli hacker. La capacità di intervenire sulla gestione delle minacce si riduce significativamente se non può essere attuabile in tempo reale su ogni dispositivo. Solo una security fabric ampia, integrata e automatizzata può fornire protezione per l'intero ambiente di rete.