Il problema della sicurezza e della protezione di dati, applicazioni, credenziali è sempre più di frequente in cima alla lista delle preoccupazioni non solo di Cso e Ciso ma anche dei Ceo. E negli ultimi mesi, con un utilizzo intensivo del lavoro da remoto, e un innalzamento dei livelli di attenzione anche da parte del cybercrime – pronto a sfruttare i temi legati alla pandemia per procedere poi con attacchi mirati – sono cresciuti i rischi cui sono esposte le aziende.
Allo stesso tempo, le minacce mirate, come malware, ransomware, phishing ed esfiltrazione dei dati, sono in costante evoluzione e sono in grado di individuare eventuali falle nei sistemi di sicurezza delle aziende. Molte minacce, per esempio sfruttano il DNS (Domain Name System) per estrarre dati sensibili dalle organizzazioni e renderle ancora più vulnerabili.
Come si sa la maggior parte delle azioni eseguite in Internet partono con una richiesta DNS (Domain Name System), che di fatto traduce i nomi di dominio in indirizzi IP. Questo facilita la vita degli utenti ed agevola la possibilità di accedere in modo rapido alle informazioni, ricordando nomi invece che numeri, ma proprio questa caratteristica espone a una serie di rischi. Il Dns in sé non è dotato di “intelligence” e, di conseguenza, risolve le richieste sia dei domini innocui che di quelli dannosi.
I criminali informatici fanno leva su questa vulnerabilità, per esempio sfruttano il DNS ricorsivo (rDNS) per lanciare campagne di malware e ransomware dannose, ma anche attacchi di phishing e procedure di esfiltrazione dei dati ai danni delle aziende. In uno scenario come quello attuale in cui gli utenti, con i loro device, le applicazioni ed i dati sono chiamati ad operare al di fuori del tradizionale perimetro aziendale e della zona di controllo, la superficie aziendale soggetta agli attacchi è destinata ad espandersi sempre più.
L’approccio Zero Trust, anche in questi casi è particolarmente importante tanto più ad una disamina dei rischi cui sono esposti utenti e dispositivi tramite le richieste DNS in uscita. Dal momento che ogni richiesta Web proveniente dall’azienda inizia con il DNS, proprio il DNS è il punto di controllo perfetto per assicurare visibilità a livello aziendale nelle richieste Web e per applicare policy di sicurezza. E dato che la convalida avviene prima dell’avvenuta connessione IP, intervenendo in questa fase le minacce possono essere arrestate preventivamente nella kill chain di sicurezza, quindi lontano dal “perimetro” aziendale.
Quando viene individuato un attacco o una vulnerabilità, i team IT hanno l’inevitabile compito di implementare un piano di difesa, in modo rapido e a livello aziendale ma, senza una soluzione basata sul cloud, questo potrebbe implicare importanti sforzi per cercare la soluzione software più adeguata o manutenere le appliance hardware necessarie, e non tutte le aziende hanno a disposizione risorse e soprattutto le competenze adeguate per farlo.
Non solo, nonostante vengano allocate risorse per monitorare e analizzare costantemente i registri DNS, può risultare difficile, per esempio per una piccola azienda, identificare comunque le minacce a partire da un basso numero di richieste, motivo che spinge correttamente ad adottare sempre di più i servizi cloud. E’ necessario inoltre valutare anche un altro aspetto. Oggi le minacce mirate continuano ad evolversi mano a mano che le aziende reagiscono agli attacchi. I criminali informatici utilizzano sempre più il DNS ricorsivo (rDNS) per penetrare nei perimetri di sicurezza, facendo leva sulle vulnerabilità infrastrutturali.
Un semplice esempio: quando un dispositivo nella rete viene infettato, solitamente il malware reinvia una richiesta al server C2C (Command and Control) per ricevere ulteriori istruzioni. Dal momento che il traffico Dns non è filtrato ed è aperto, le query dannose non vengono verificate, ed eludono le misure di sicurezza a livello di rete. Attraverso questo “tunneling DNS”, gli attaccanti esfiltrano informazioni sensibili e proprietà intellettuale.
Strettamente collegato alla protezione del DNS abbiamo visto è anche il problema del phishing. Indubbiamente il primo passo da compiere in proposito è legato alla formazione del personale, ma non è sufficiente.
Il phishing resta ad oggi la minaccia interna più frequente e diffusa che le aziende si trovano a combattere. Stime Akamai rivelano come il 93% delle violazioni della sicurezza IT siano la conseguenza diretta di una qualche forma di phishing ed il 34% di tutti gli attacchi di phishing è espressamente rivolto alle aziende. Di fatto, quindi, ogni giorno i dipendenti più o meno consapevoli dei rischi, mettono a disposizione di utenti malintenzionati informazioni personali e aziendali sensibili.
Tra l’altro in un contesto critico, perché il panorama del phishing si è nel frattempo evoluto. Sono disponibili per pochi dollari kit industrializzati per attacchi di phishing, che non sfruttano più solo la posta elettronica ma anche i social network e altri canali di distribuzione ancora, e cresce lo spear phishing. Gli utenti poi accedono generalmente ai social network e alle applicazioni di messaggistica attraverso i dispositivi mobili, che costituiscono, in genere, l’anello più debole nella struttura di sicurezza di un’azienda, anche perché vengono utilizzati soprattutto “fuori da quel perimetro della rete aziendale” che di fatto non esiste più.
Ben emerge anche in questo contesto come siano le soluzioni per la sicurezza basate sul cloud le uniche a potere riuscire a monitorare tutte le attività della rete aziendale, indipendentemente dal tipo di dispositivo o dall’origine di una richiesta. Sono in grado di aggregare traffico eterogeneo e generano informazioni globali in tempo reale subito utilizzabili. Come spiega Akamai, osservando l’impatto delle campagne di phishing su più aziende, la protezione basata sul cloud riesce ad identificare proprio quelle tendenze che una singola azienda potrebbe non essere in grado di rilevare.
Per questo Akamai propone come servizio di protezione proattiva per il business dalle minacce mirate Enterprise Threat Protector che permette di identificare, bloccare e mitigare in maniera proattiva minacce che arrivano da campagne di phishing, kit di phishing, malware, ransomware, esfiltrazione di dati che sfruttano il DNS e attacchi zero-day avanzati. Di fatto Enterprise Threat Protector agisce come un Secure Internet Gateway e permette ai responsabili della sicurezza IT aziendale di offrire agli utenti, da qualsiasi dispositivo e su qualsiasi rete una connessione sicura a Internet ovunque, eliminando la complessità associata ai sistemi di sicurezza tradizionali. Ne parliamo in un contributo dedicato.
Non perdere tutti gli approfondimenti della Room Akamai Protect Your Business
© RIPRODUZIONE RISERVATA