Milano, 6 febbraio 2020 – Di questi tempi, stiamo assistendo a momenti di crescente tensione a livello mondiale con forti implicazioni nel cyberspazio. Fortinet®, leader mondiale nelle soluzioni di cyber sicurezza integrate e automatizzate, offre alcuni spunti e accorgimenti generali, sempre validi e molto semplici, che ogni organizzazione dovrebbe mettere in pratica per prepararsi a qualsiasi cyberattacco e proteggere i propri asset digitali.
Dato che gli attacchi informatici scalabili, in grado di avere un impatto rilevante, richiedono una pianificazione e uno sviluppo significativi, lo scenario più probabile è quello in cui vengono sfruttate alcune tecniche già esistenti, come il ransomware e gli attacchi denial of service. Tuttavia, non possiamo escludere la possibilità di attacchi di Sleeper Agent, ovvero impianti dannosi inseriti nei sistemi critici in tempi non sospetti, per poi essere attivati da remoto durante una crisi.
La cosa più importante è essere preparati nel caso in cui si verifichi un evento di questo tipo. Tra i potenziali obiettivi troviamo siti governativi, realtà commerciali di alto profilo e infrastrutture critiche. Dal momento che le aziende hanno a che fare quotidianamente con i cybercriminali, ogni azione intrapresa per affrontare una minaccia incombente dovrebbe essere parte integrante di qualsiasi strategia per la sicurezza.
Sei accorgimenti che possono essere adottati fin da subito
Segmentare la rete: le risorse critiche dovrebbero essere ripartite in domini ben protetti, dovrebbe essere implementata anche una segmentazione intent-based per assicurare che i dispositivi, gli asset e i dati che si spostano di continuo dentro e fuori la rete siano allocati dinamicamente al segmento più adatto sulla base delle policy. Una policy di segmentazione efficace garantisce che un errore in un dominio non abbia alcun effetto dannoso nelle altre aree della rete.
Mantenere opzioni di comunicazione ridondanti: è essenziale mantenere una comunicazione sempre aperta con gli elementi distribuiti del proprio network. I tradizionali modelli WAN sono estremamente vulnerabili agli attacchi DDoS. Le SD-WAN, con la loro capacità di mettere in sicurezza il network, d’altro canto, permettono alle aziende di cambiare dinamicamente i percorsi di comunicazione in base a una varietà di fattori, inclusa la disponibilità.
Salvaguardare i dati critici: data l’alta frequenza di attacchi ransomware, ogni impresa dovrebbe eseguire un backup regolare dei propri dati critici per poi custodirli anche offline. Tali dati dovrebbero poi essere controllati periodicamente per sincerarsi che non siano infettati da malware. In aggiunta, una buona pratica è eseguire esercitazioni regolari per garantire che i dati di cui è stato effettuato il backup possano essere rapidamente ridistribuiti nei sistemi critici e nei dispositivi e garantire che le reti possano tornare alla normalità nel minor tempo possibile.
Fare leva su integrazione e automazione: un approccio che preveda l’utilizzo di una piattaforma unica per integrare i dispositivi per la sicurezza garantisce che essi possano condividere e correlare la threat intelligence così come partecipare in modo fluido come parte integrante di ogni risposta coordinata a una minaccia. Inoltre, l’Endpoint Detection & Response (EDR) e la Security Orchestration Automation & Response (SOAR) offrono l’abilità di individuare rapidamente, orchestrare e rispondere automaticamente a un attacco.
Esaminare le comunicazioni elettroniche: l’e-mail resta il vettore di attacco più comune per chi ha l’obiettivo di infettare dispositivi e sistemi con il malware. Oltre al training rivolto agli utenti, affinché siano in grado di individuare gli attacchi di phishing, e rispondere, occorrono gateway di posta elettronica sicuri che possano identificare e ispezionare in un ambiente sicuro gli allegati potenzialmente malevoli, come ad esempio una sandbox. Allo stesso modo, è necessario impiegare firewall di nuova generazione che esaminino le comunicazioni interne crittografate, alla ricerca del software dannoso e impianti “command-and-control”.
Iscriversi a feed dedicati alla threat intelligence: questo tipo di servizi, insieme all’appartenenza a enti regionali o di settore, permettere di essere sempre aggiornati sugli ultimi vettori d’attacco e malware. Utilizzando questa tipologia di intelligence e integrandola in una piattaforma di sicurezza integrata, le organizzazioni possono evidenziare gli indicatori della presenza di minacce – segnali della presenza di software dannosi che hanno maggiori probabilità di avere un impatto sulla rete e sul settore – non solo per bloccarli quando rilevati, ma per impedire loro di entrare nella rete.
La cybersecurity è un lavoro di squadra Affinché la difesa da un determinato attacco informatico sia efficace, tutti devono lavorare in team per prevenire, rilevare e rispondere. Tutto ciò deve essere combinato con un’efficace strategia di cyber response che coinvolga i membri critici del gruppo per proteggere le risorse, riprendersi rapidamente da un attacco utilizzando dati di backup e risorse isolate e ottenere così il supporto delle agenzie governative.