Indipendentemente da quale sia la dimensione dell’organizzazione, oggi tutte le imprese sono soggette ad attacchi informatici. E’ pertanto fondamentale non abbassare mai la guardia in tema di cybersecurity, la cui strategia deve essere un ciclo in continuo miglioramento e porre sempre maggiore attenzione all’approccio da parte delle aziende che raccolgono, elaborano e conservano i dati degli utenti.
A confermarlo è l’ennesimo caso di data breach: l’operatore del cybercrime Netsec ha infatti messo in vendita 34mila credenziali Ibm e offre 15mila credenziali di impiegati Sap su un forum underground. A riportare la notizia è Yoroi, il cui team di threat intelligence, dopo avere verificato il campione messo in offerta, lancia un alert anche nel nostro paese sui pericoli relativi a questa scoperta. Nel campione sono infatti presenti indirizzi aziendali di impiegati operanti in Italia oltre che in Marocco, Spagna, Stati Uniti e di altri paesi.
Il campione in vendita è composto sia da indirizzi email validi di impiegati di Ibm e Sap sia delle relative password in forma codificata. Seppure non disponibili in chiaro, il semplice possesso di queste password consente di effettuare una serie di attacchi sia diretti che mediati dall’ingegneria sociale.
Le password sottratte sono in forma di hash, la stringa alfanumerica generata a partire dalla password tramite particolari algoritmi crittografici che consentono di “offuscare” la password vera e propria e portarla ad una lunghezza uniforme, indipendentemente dalla dimensione del valore di partenza. Seppure con un più elevato livello di sicurezza, anche le password così codificate possono essere superate con specifiche tecniche di attacco e sfruttate per impersonificare specifiche utenze, e utilizzate da attori malevoli per eseguire codice o accessi abusivi a sistemi informativi.
“Purtroppo il digitale che ci offre tante opportunità rende possibile anche a piccoli gruppi criminali di compromettere le difese di giganti industriali con poche decine di ore di lavoro – commenta Marco Ramilli, Ceo di Yoroi – Gruppo Tinexta -. Ora è necessario comprendere meglio l’importanza dei dati e la profondità dell’eventuale compromissione. Sap è presente su numerose organizzazioni a livello globale, è assolutamente necessario comprendere se e quali ricadute vi possono essere”.
“Siamo a conoscenza di un comunicato pubblicato su internet riguardante le presunte credenziali dei dipendenti Ibm – fanno sapere dalla società – e stiamo indagando. Ricordiamo che l’autenticazione a più fattori è una delle misure di sicurezza richieste dalle procedure operative Ibm per l’accesso ai sistemi. Non risulta che sia stato effettuato un accesso inappropriato ai sistemi Ibm o dei clienti”.
Yoroi, strategie di prevenzione
In relazione a questi ultime notizie, Yoroi indirizza al mercato alcune raccomandazioni e consigli per prevenire attacchi di tale tipologia.
Alzano il livello di difesa, l’hardening dei sistemi, l’introduzione di sistemi di protezione all’avanguardia e l’installazione di moduli software contro attività di hash dumping, che aumentano la difficoltà per l’attaccante che cerca la compromissione di host e l’ottenimento di hash.
Yoroi suggerisce di minimizzare i tipi di logon per account privilegiati e prediligere metodi non interattivi per la gestione amministrativa degli host, che hanno invece lo scopo di ridurre la presenza di hash salvati sulle macchine che potrebbero essere compromesse da un attaccante. In parallelo è opportuno assegnare agli amministratori solo i diritti che necessitano per il loro operato. Intercettare attività relative all’uso di tecniche di attacco specifiche o a tutte le azioni preventive che un attaccante compie per effettuarlo, può inoltre facilitare la localizzazione dell’attaccante e il conseguente contenimento dell’attacco.
Un importante consiglio è infine quello di mantenere alto il livello di consapevolezza degli impiegati e dei clienti, avvisandoli periodicamente delle minacce in corso oltre che affidarsi a team di esperti per salvaguardare la sicurezza del perimetro cyber.
“E’ ormai evidente che siamo tutti soggetti ad attacchi. Però sono accadimenti come questi che continuano a mostrarci quanto la sicurezza informatica sia un ciclo atto al continuo miglioramento. Non possiamo mai ritenerci completamente sicuri. Ma bisogna insistere con un continuo lavoro, attento e meticoloso, possibile con occhi vigili e tecnologie abilitanti”, sottolinea Ramilli.
© RIPRODUZIONE RISERVATA
