NEWS ALIAS

Le minacce più insidiose, lo sappiamo, sfruttano ampiamente il contributo “umano”. Per inconsapevolezza o semplice superficialità, spesso è proprio attraverso la posta elettronica – quel messaggio su cui non si sarebbe mai dovuto fare click a introdurre in azienda il malware più pestifero.

E infatti la posta è utilizzata non solo per rubare credenziali importanti, ma è alla base anche dell’attivazione dei ransomware più pericolosi. Ora dall’Incident Response Report di F-Secure emerge proprio come l’Inbox, la casella di posta sia tra i punti deboli per la sicurezza del perimetro ma soprattutto come le aziende non riescano effettivamente a rilevare velocemente e con precisione gli attacchi e gli incidenti di sicurezza portati attraverso questo canale.

Può sembrare strano, ma così come la posta era difficile da proteggere venti anni fa, lo è ancora oggi. Sono migliorate le tecnologie, ma anche quelle a disposizione degli attaccanti.

Il report dice che oltre un terzo di tutti gli attacchi inizia con un’email di phishing e con allegati insidiosi e malevoli e poiché si basa su effettive investigazioni in risposta agli incidenti l’allarme è concreto. Gli attaccanti sfruttano sì le vulnerabilità nei servizi Internet (21 percento degli attacchi), ma il phishing via email è la tecnica preferita nel 34 percento delle violazioni.

Tom Van de Wiele, Principal Security Consultant di F-Secure, spiega: “Sfruttare le vulnerabilità del software in scenari drive-by è tipico degli attacchi opportunistici, ma violare le aziende via email è attualmente il metodo di gran lunga più comune. Ci sono svariati modi in cui gli attaccanti possono usare le email, e questi attacchi sono diffusi perché quasi ogni azienda si affida alle email per comunicare”.

Il consiglio è sempre il medesimo ed è sempre praticamente inosservato. Bisognerebbe riflettere di più prima di scaricare un allegato o fare clic su un link, ma di fatto sono i ritmi stessi di lavoro a impedire questa riflessione.

Finisce che le minacce dall’interno il Report evidenzia come abbiano pesato per un buon 20 percento sugli incidenti reali di sicurezza, e gli esperti di incident response sono stati contattati dopo che il perimetro è stato violato in quasi l’80 percento dei casi. L’azione più comune dopo la violazione, compiuta dagli attaccanti è quella di diffondere malware, per ottenere soldi, a scopo di spionaggio o semplicemente per mantenersi aperta una via di accesso per attacchi in futuro.

Si potrebbe pensare che il 13 percento delle investigazioni che si risolve in un falso allarme sia un dato favorevole, come a dire che ci si mette in azione in quasi nove casi su dieci per un buon motivo. E invece il dato è preoccupante perché significa che le aziende non hanno in verità la capacità di rilevare con precisione cosa accada, con relativo spreco di risorse.

Per saperne di più rimandiamo al Report integrale, scaribabile a questo indirizzo