Spesso, le violazioni alle PMI non finiscono sui principali notiziari e questo ha contribuito ad alimentare la credenza che non siano un obiettivo primario degli attaccanti. In realtà, le piccole e medie imprese sono tra gli obiettivi più semplici dei criminali informatici che ne traggono vantaggio.
Secondo uno studio condotto nel 2022, il 76% delle aziende di piccole e medie dimensioni intervistate è stata colpita da almeno un attacco informatico nel 2021, registrando un aumento del 55% rispetto a quanto dichiarato nel 2020.
Il 63% delle PMI intervistate nella 2022 CrowdStrike SMB Survey ha invece dichiarato di aver dovuto affrontare un numero sempre maggiore di minacce informatiche avanzate, quali attacchi ransomware e basati sull’identità.
Queste minacce si verificano in diverse modalità. Il 2022 Verizon DBIR ha scoperto che intrusioni di sistema, tecniche di ingegneria sociale e abuso di account privilegiati rappresentano il 98% delle violazioni che colpiscono le piccole aziende. Inoltre, le credenziali rappresentano il 93% dei dati compromessi negli attacchi alle PMI.
Uno studio condotto della CNBC su oltre 2.000 piccole imprese ha confermato come sempre più aziende del settore temono di essere colpite da un attacco informatico, con il 61% di piccole aziende – con più di 50 dipendenti – preoccupate di finire nel mirino di uno attacco informatico entro il prossimo anno.
Attacchi basati sull’identità, l’antivirus non basta più
I cyber attacchi possono creare sulle PMI anche un’enorme pressione finanziaria, alimentando le preoccupazioni di uno scenario macro-economico già teso.
Un recente studio ha sottolineato come il 60% delle PMI prese di mira è stata costretta a chiudere i battenti a distanza di sei mesi dall’attacco.
Sebbene molte PMI abbiano familiarità con le minacce informatiche, e possano aver installato software antivirus basici per tutelarsi da questa tipologia di attacchi.
In realtà, però, lo scenario delle minacce è molto più complesso e sofisticato rispetto a qualche anno fa. I criminali informatici continuano ad evolvere le loro strategie ad un ritmo senza precedenti per aggirare i tradizionali strumenti di sicurezza, rendendo i comuni sistemi antivirus (AV) sempre meno efficaci per la protezione delle PMI.
I nuovi attacchi che aggirano l’autenticazione multi-fattore
Molti avversari utilizzano metodi di ingegneria umana per infiltrarsi nei sistemi IT delle aziende. Nel corso del 2022 si è verificato un aumento degli attacchi basati sull’identità e abbiamo assistito allo sviluppo di sofisticate tecniche prive di file che aggirano le tradizionali difese di autenticazione multi-fattore (MFA).
Gli avversari informatici stanno andando oltre il furto di credenziali, usando tecniche come il pass-the-cookie, il Golden SAML (Security Assertion Markup Language) e l’ingegneria sociale con MFA Fatigue per compromettere le identità.
Secondo i dati sulle minacce di CrowdStrike del 2022, il 71% delle violazioni evita del tutto l’utilizzo di malware, per eludere i software antivirus legacy basati sull’identificazione di firme di malware noti.
Nel 2023 l’evoluzione delle tecniche degli avversari non mostrerà alcun segno di rallentamento. Ma con budget e personale limitato, è indispensabile che le PMI sfruttino al meglio le risorse e il tempo a propria disposizione per essere sempre un passo avanti, anche rispetto agli avversari più astuti.
Un buon attacco è un’ottima difesa. Le PMI non dovrebbero concentrarsi soltanto sulla rilevazione delle minacce, ma anche sulla prevenzione. Molte PMI decidono infatti di adottare un approccio basato su servizi gestiti per aggirare il problema relativo a tempo, risorse e competenze limitate.
Le buone prassi per proteggere al meglio gli asset aziendali
Ecco di seguito alcune best practice che possono avere un forte impatto sul livello di difesa delle aziende di piccole e medie dimensioni:
- Educare i dipendenti: l’intera forza lavoro dovrebbe essere consapevole dei diversi tipi di minacce alla sicurezza informatica e degli attacchi di ingegneria sociale che potrebbero trovarsi ad affrontare durante le attività lavorative. Tra questi, il phishing, lo smishing e l’honey trapping.
- Rafforzare l’autenticazione multi-fattore: l’identità è una componente critica degli attacchi informatici e la MFA fornisce un ulteriore livello di difesa che rafforza la sicurezza, assicurandosi che si tratti del dipendente e non di un attacker.
- Eseguire backup regolari dei dati critici: è importante eseguire backup dei dati in Cloud, soprattutto nel caso in cui si verifichi una violazione a danno di una piccola azienda.
La nuvola fornisce migliore accessibilità e visibilità dei backup, riducendo i tempi di inattività. È importante sapere che i cybercriminali possono crittografare i backup qualora dovessero ottenere l’accesso ai sistemi, pertanto è necessario mettere in atto una solida strategia di difesa. - Mantenere aggiornate le patch del software: le violazioni dei dati spesso hanno inizio quando un attaccante informatico sfrutta una vulnerabilità priva di patch. Mantenere il software aggiornato consente di bloccare il vettore.
La CISA (U.S. Cybersecurity and Infrastructure Security Agency) ha un elenco aggiornato delle falle di sicurezza conosciute e sfruttate. - Blindare gli ambienti Cloud: proteggere i drive Cloud come Box o Google Drive implementando la MFA e aderendo al principio del minimo privilegio garantisce ai dipendenti di avere accesso soltanto alle risorse necessarie a compiere le proprie attività lavorative.
- Implementare e testare la rilevazione e la risposta alle minacce: prendersi del tempo per analizzare gli ambienti e i comportamenti degli utenti in caso di attività malevole o anormali.
Essere aggiornati sulle minacce, sulle tecniche e sugli indicatori di attacco. Definire, documentare e testare come si verifica una risposta agli incidenti. Pianificare il “quando”, non il “se”.
Attacchi basati sull’identità, come costruire una solida postura di sicurezza
Nel momento in cui questi elementi base sono stati soddisfatti, è bene considerare la difesa “Intel-driven” per supportare il rilevamento e la risposta.
Comprendere gli autori delle minacce non è necessariamente complesso o dispendioso in termini di tempo, purché alla base ci sia un’adeguata Threat Intelligence. L’attribuzione consente ai team di sicurezza di comprendere la loro reale posizione di rischio, definendo chi potrebbe attaccarli e come, oltre ad adattare la strategia di sicurezza.
La cybersecurity rappresenta una grande sfida per le PMI, ma è possibile costruire una solida postura di sicurezza e proteggere l’ambiente dalle minacce odierne, anche con risorse limitate.
Ripensare la propria strategia di sicurezza e aggiornare le proprie difese può fare una grande differenza nella capacità di superare un attacco informatico se, o quando, si verifica un incidente.