Ransomware

Break the Attack Chain: le mosse decisive

Share with your network!

Nella nostra serie di blog “Break the Attack Chain” abbiamo esaminato in che modo gli autori delle minacce violano le nostre difese e si spostano lateralmente all’interno delle reti per aumentare i privilegi e prepararsi a colpire. Siamo ora giunti all’ultima fase della catena d’attacco, che richiede di allargare un po’ il discorso.

La maggior parte degli autori di minacce esterni segue le stesse strategie, ma non si tratta dei nostri unici avversari. Nella realtà odierna, spesso la fuga di dati è imputabile al personale. Oltre il 40% dei dipendenti ammette di aver sottratto dati al momento di lasciare l’azienda. Inoltre, più della metà delle perdite di dati di origine interna è imputabile alla negligenza di dipendenti che commettono errori nella gestione della sicurezza.

Quindi, se da un lato è importante individuare e bloccare i criminali informatici che vogliono esfiltrare i nostri dati, dall’altro dobbiamo anche prestare attenzione agli utenti interni, perché, indipendentemente dalle loro intenzioni, sono altrettanto capaci di divulgare dati sensibili.

In questa terza e ultima puntata discuteremo di come in genere le aziende subiscono perdite di dati e di come possiamo proteggere le informazioni dai rischi di ogni tipo.

Comprendere i meccanismi della perdita di dati

Come in ogni fase della catena d’attacco, dobbiamo innanzitutto comprendere le minacce prima di poter mettere in atto le dovute misure di difesa. Prendiamo ad esempio il caso di un criminale informatico che segue la tipica catena d’attacco. Anche se non si tratta propriamente di un attacco interno, tuttavia spesso è favorito da dipendenti negligenti o malintenzionati.

Gli utenti espongono i dati e mettono a rischio se stessi e l’azienda in vari modi, ad esempio creando password non sicure, riutilizzando credenziali, non rispettando le best practice di sicurezza e cliccando su link o allegati dannosi. Tutte queste azioni offrono ai criminali informatici una via d’accesso alla rete aziendale, da dove possono eseguire lo spostamento laterale e l’escalation dei privilegi.

Incidenti di questo tipo sono estremamente comuni, tanto che gli utenti negligenti o compromessi sono responsabili di oltre l’80% delle perdite di dati di origine interna. I restanti casi sono invece imputabili a utenti aziendali malintenzionati. Le minacce interne possono essere rappresentate da un dipendente scontento che cerca di creare problemi, da un utente compromesso da criminali informatici o, caso sempre più frequente, da un dipendente in procinto di lasciare l’organizzazione.

Nella maggior parte dei casi, l’esfiltrazione dei dati segue uno schema a tre fasi:

  • Accesso. Gli utenti malintenzionati o compromessi cercheranno di sottrarre quante più informazioni possibile. Per farlo, effettueranno un elevato numero di operazioni di download o di copia dalle unità aziendali, oppure esporteranno grandi quantità di dati da interfacce web o applicazioni client.
  • Occultamento. In genere, sia i criminali informatici che gli utenti interni malintenzionati sanno quali sono i tipi di attività che possono far scattare allarmi e prenderanno provvedimenti per passare inosservati. Strategie comuni sono la modifica dei nomi e delle estensioni dei file, l’eliminazione dei registri e della cronologia di navigazione e la crittografia dei file.
  • Esfiltrazione. Una volta acquisiti gli obiettivi e coperte le tracce, i criminali informatici procedono con l’esfiltrazione dei dati, che eseguono copiando i file su un cloud personale o su un dispositivo di archiviazione rimovibile e condividendoli con account email personali o temporanei.

Proteggersi dall’interno

Come abbiamo visto nella nostra serie di webinar, mentre la fase iniziale della catena d’attacco si concentra sugli autori di minacce al di fuori dell’organizzazione, le altre due fasi riguardano soprattutto ciò che avviene dentro di essa.

Pertanto, le misure di difesa efficaci devono agire dall’interno verso l’esterno. È necessario individuare e contrastare le attività sospette prima che i dati superino le misure di protezione interne e diventino esposti. Naturalmente, i dati non possono lasciare l’organizzazione da soli.

Utenti compromessi, negligenti o malintenzionati svolgono un ruolo chiave in qualsiasi incidente di perdita di dati. Ecco perché i tradizionali strumenti DLP non sono più efficaci come un tempo: si concentrano sul contenuto di un incidente, per cui affrontano solo un terzo del problema.

Una soluzione di difesa completa contro la perdita di dati deve invece includere funzionalità di classificazione dei contenuti e opzioni di analisi delle minacce e dei comportamenti degli utenti. Proofpoint Information Protection è l’unica soluzione che offre tutto questo in un’unica interfaccia unificata e nativa nel cloud.

Grazie a queste informazioni, i team addetti alla sicurezza possono identificare gli utenti che accedono ai dati e li trasferiscono, oltre a sapere quando, dove e perché lo fanno. Inoltre, aggiungendo informazioni di threat intelligence, Proofpoint Information Protection è in grado di collegare le minacce veicolate tramite email a quelle diffuse nel cloud e in altri ambienti.

Questo livello di visibilità è fondamentale per proteggersi dalle minacce informatiche. Quanto più si conoscono i propri dati e le persone che possono accedervi, tanto più si è in grado di interrompere la catena d’attacco.

Ma Proofpoint Information Protection non si limita a individuare le attività sospette, bensì rileva e blocca attivamente i tentativi di exploit dei dati. Ecco perché è utilizzato da oltre il 45% delle aziende Fortune 100 per:

  • Proteggere i dati sensibili e la proprietà intellettuale
  • Impedire che i dati escano dall’azienda quando i dipendenti la lasciano
  • Ottenere misure di difesa contro gli utenti malintenzionati, negligenti e compromessi

Per saperne di più

Guarda il nostro webinar completo per scoprire come contrastare dall’interno i rischi per le informazioni.

Scopri di più su Proofpoint Information Protection, l’unica soluzione che offre funzionalità di classificazione dei contenuti e opzioni di analisi delle minacce e dei comportamenti degli utenti su diversi canali in un’interfaccia unificata e nativa nel cloud.