Le più recenti minacce alla sicurezza informatica e come rilevarle e mitigarle

Le minacce alla sicurezza informatica sono in continua evoluzione ed è essenziale che le aziende e gli individui rimangano informati sulle ultime minacce e su come proteggersi da esse. Secondo un recente studio IBM del Ponemon Institute, “per il 83% delle aziende, non è se avverrà una violazione dei dati, ma quando”. Inoltre, più rapidamente è possibile rilevare e mitigare una minaccia, meglio è. Cicli di vita delle violazioni più brevi potrebbero farvi risparmiare milioni. Infatti, secondo IBM, il costo medio di una violazione dei dati è stato di 4,35 milioni di dollari nel 2022, e questo numero continua ad aumentare. In questo articolo, esamineremo alcune delle minacce alla sicurezza informatica più significative che le organizzazioni stanno attualmente affrontando e come rilevarle e mitigarle al fine di proteggere i clienti, il tuo marchio e i tuoi profitti.

Ransomware

Una delle minacce più significative per la sicurezza informatica oggi è il ransomware. Cos’è il ransomware? Il ransomware è un tipo di malware fornito dagli autori degli attacchi tramite vari vettori, tra cui lo sfruttamento delle vulnerabilità delle applicazioni o il phishing tramite e-mail. Crittografa i dati di una vittima sui loro dispositivi o server compromettendo la disponibilità dei loro dati e chiedendo il pagamento in cambio della chiave di decrittografia. Negli ultimi anni, gli attacchi ransomware sono diventati più sofisticati e mirati, con gli autori degli attacchi che spesso si concentrano su settori o organizzazioni specifici. Questo tipo di attacco è cresciuto del 41% nell’ultimo anno! Per proteggersi dal ransomware, è fondamentale eseguire regolarmente backup di dati importanti e mantenere tutti i software e i sistemi aggiornati con le patch di sicurezza più recenti. È anche importante implementare servizi avanzati di protezione API e applicazioni Web (WAAP) per tutte le applicazioni web-facing per mitigare qualsiasi vulnerabilità delle applicazioni che può essere utilizzata dagli autori degli attacchi come backdoor nei sistemi e nei dati critici tramite compromessi diretti o movimenti laterali.

Phishing

Un’altra minaccia significativa sono gli attacchi di phishing. Cos’è il phishing? Il phishing è un tipo di attacco di social engineering che mira a indurre le vittime a fornire informazioni sensibili o a installare malware tramite link nefasti, solitamente forniti sotto forma di e-mail di spam. Questi attacchi stanno diventando sempre più sofisticati e sono spesso personalizzati per specifici individui o organizzazioni. Per proteggersi dal phishing, è essenziale informare i dipendenti sui pericoli del phishing e su come individuare un’e-mail di phishing. Prendete in considerazione la possibilità di eseguire campagne di phishing interne per identificare i punti deboli in qualsiasi parte della vostra organizzazione. Le organizzazioni dovrebbero inoltre prendere in considerazione l’esecuzione di scansioni di posta elettronica esterne e di altre procedure consigliate per contrassegnare correttamente le e-mail provenienti da entità esterne. Anche altre tecnologie (ad esempio, isolamento remoto del browser (RBI) e microsegmentazione) possono contribuire a proteggere dal malware scaricato dalle e-mail di phishing impedendo l’accesso al resto del sistema.

Attacchi DDoS

La terza minaccia significativa è rappresentata dagli attacchi DDoS (Distributed Denial of Service), che vengono utilizzati per sovraccaricare un sito web o una rete di traffico, rendendolo non disponibile per gli utenti legittimi. Gli attacchi DDoS possono essere lanciati da un gran numero di dispositivi compromessi, noti anche come botnet, che sono infettati da malware. La natura distribuita della botnet rende difficile rintracciare l’origine dell’attacco. Gli attacchi DDoS si ottengono comunemente sfruttando il protocollo a livello di rete o di trasporto (ad esempio, ICMP flood, UDP flood o TCP flood) in cui enormi volumi di pacchetti vengono inviati per saturare una rete. Tuttavia, gli attacchi DDoS alle applicazioni, sotto forma di flood HTTP appositamente predisposto, progettati per sovraccaricare chirurgicamente un’applicazione sensibile o un backend, sono in aumento. Infatti, secondo il DBIR (Data Breach Investigations Report) di Verizon del 2022 , la minaccia numero uno per la sicurezza è un attacco DDoS (46% degli attacchi) – e cresce ogni anno. Questo è il motivo per cui è fondamentale avere una protezione olistica dall’intero spettro degli attacchi DDoS.

Nel giugno dello scorso anno, Edgio ha fermato due grandi attacchi DDoS per i nostri clienti. Il secondo dei quali è stato di 355,14 milioni di pacchetti al secondo (Mpps), che lo ha collocato al 44% dei più grandi attacchi DDoS divulgati pubblicamente di sempre. Per proteggersi dagli attacchi DDoS, le aziende possono utilizzare una soluzione di protezione DDoS a spettro completo, come la soluzione edge-based di Edgio, per mitigare gli attacchi di livello 3, 4 e 7 attraverso la loro massiccia rete edge e gli attacchi Direct-to-origin tramite soluzioni di scrubbing DDoS basate su GRE BGP Anycast. Scoprite di più su come ridurre le vulnerabilità e difendere il vostro marchio dagli attacchi DDoS in un articolo scritto in precedenza qui.

Exploit Zero-Day

Alcuni degli incidenti di sicurezza di più alto profilo degli ultimi due anni sono stati causati da vulnerabilità zero-day dovute alla prevalenza di una moltitudine di software open source o SaaS popolari utilizzati in molte aziende (ad esempio Apache, WordPress, Drupal, Confluences, ecc.). Secondo MITER, nel 2022 sono stati divulgati più di 25.000 nuovi CVE, un aumento del 24% a/a rispetto al 2021, e si prevede che le nuove vulnerabilità continueranno a crescere a due cifre. Molte di queste includono famose vulnerabilità zero-day (ad esempio Log4j, Spring4shell e Apache Struts) che hanno colpito numerose organizzazioni e sono responsabili di alcune delle più grandi violazioni di dati (ad esempio, la violazione Equifax). È importante che le organizzazioni dispongano delle soluzioni e delle capacità giuste per consentire loro di ottenere rapidamente visibilità sugli exploit zero-day e mitigarli. Le aziende devono implementare una protezione WAAP (Web Application and API Protection) ad alta capacità che rileva non solo le vulnerabilità più comuni, ma che consente anche di creare patch virtuali per mitigare rapidamente gli exploit zero-day. Le aziende dovrebbero inoltre assicurarsi di mantenere aggiornato tutto il software con le patch di sicurezza più recenti.

Minacce persistenti avanzate

Un’altra minaccia per la sicurezza informatica è costituita da Advanced Persistent Threats (APT), metodi utilizzati dagli autori degli attacchi per infiltrarsi in una rete e stabilire una presenza a lungo termine per raccogliere informazioni sensibili o compromettere l’integrità del sistema. Gli APT sono spesso attacchi mirati e sofisticati lanciati da attori statali-nazionali o da altri aggressori altamente qualificati. Questi attacchi possono essere perpetrati violando la parte più debole del sistema di un’organizzazione che è meno ben mantenuto (cioè non generatrice di entrate o un sito web informativo). Questi punti deboli derivanti da obiettivi apparentemente meno importanti consentono all’utente malintenzionato di ottenere potenzialmente l’accesso backdoor ad altri servizi critici.

Per proteggersi dagli APT, è fondamentale disporre di una solida segmentazione della rete e monitorare regolarmente le attività insolite o sospette. È anche importante implementare soluzioni di sicurezza olistiche e garantire che tutte le applicazioni presenti in Internet, indipendentemente da quanto siano “preziose”, siano protette per prevenire i movimenti laterali.

Attacchi bot

Infine, una delle principali minacce per il business è costituita dagli attacchi bot. Oggi gran parte del traffico Internet proviene da client automatizzati, ovvero bot. Alcuni di questi bot sono essenziali per il funzionamento di un’azienda online (ad es. Bot SEO, bot di monitoraggio, chatbot e bot dei social media), tuttavia, ci sono anche grandi quantità di bot dannosi che potrebbero causare gravi danni a un’organizzazione. Alcuni degli attacchi più comuni eseguiti dai bot dannosi includono il credential stuffing, gli attacchi DDoS alle applicazioni, lo scraping dei dati, l’esaurimento delle scorte e le frodi ai buoni regalo. Secondo IBM, il costo medio del credential stuffing per un’organizzazione è stato di 4,55 milioni di dollari nel 2022, e, secondo l’FBI, il 41% degli attacchi informatici ai settori finanziari proviene dal credential stuffing, progettato per ottenere l’accesso non autorizzato agli account utente e alle loro informazioni finanziarie.

A causa della prevalenza degli attacchi bot, ogni azienda dovrebbe disporre di una soluzione avanzata per la gestione dei bot nel proprio arsenale di sicurezza informatica. Una soluzione avanzata per la gestione dei bot consente a un’organizzazione di rilevare e monitorare i bot validi e di mitigare gli attacchi sopra menzionati. Le soluzioni avanzate di gestione dei bot devono utilizzare un modello di apprendimento automatico che combina modelli di firma e comportamentali per rilevare e identificare i bot dannosi.

In che modo le aziende possono rilevare e mitigare gli attacchi informatici?

Anche se il panorama delle minacce continua a evolversi, ci sono ancora diverse cose che potete fare, come accennato in questo articolo, per proteggere la vostra azienda dagli attacchi informatici:

• Adottare una protezione di sicurezza olistica utilizzando soluzioni di sicurezza abilitate per la periferia che sono ampiamente scalabili e migliorano sia la sicurezza che l’osservabilità del traffico di rete e delle applicazioni, sia le prestazioni e l’affidabilità delle applicazioni.
• Mantenete aggiornati tutti i software e i sistemi con le patch di sicurezza più recenti e implementate servizi avanzati di protezione API e applicazioni Web (WAAP) per tutte le applicazioni presenti sul Web per mitigare qualsiasi vulnerabilità delle applicazioni che può essere utilizzata dagli autori degli attacchi come backdoor nei vostri sistemi e dati critici.
• Proteggete la vostra rete, le vostre applicazioni e l’origine utilizzando una soluzione di protezione DDoS basata sull’edge.
• Contrastare gli attacchi Direct-to-origin con una soluzione di scrubbing DDoS dedicata ad alta capacità.
• Implementare una soluzione avanzata di gestione dei bot per rilevare e monitorare il traffico bot e mitigare quelli dannosi.
• Istruire e formare i dipendenti per contribuire a proteggere da attacchi come le truffe di phishing.
• Prendi in considerazione un SOC 24 x 7 per integrare le tue operazioni di sicurezza e migliorare la capacità di risposta della tua azienda in materia di sicurezza.