Con l’insorgere del COVID-19, gli attaccanti si stanno avvantaggiando del caos in cui si sono trovate le aziende a causa dal lavoro da remoto, sfruttando la diminuzione di difese che ne è derivata. Scopriamo come difendere l’allargato perimetro aziendale quando gli utenti lavorano da casa.
Tantissime aziende anno dovuto modificare in fretta la propria organizzazione, passando da uffici con impiegati in presenza a una forza di lavoro completamente in remoto. Purtroppo gli attaccanti si stanno moltiplicando, avvantaggiandosi sia dello sconvolgimento che della debolezza dovuti al lavoro da casa. Le priorità in termini di sicurezza impostate a inizio anno sono state drasticamente riviste, per andare a fronteggiare questa nuova situazione. Ma che cosa rende vulnerabile una forza di lavoro da remoto e come si possono soddisfare i requisiti di sicurezza che questo tipo di ecosistema richiede? Consideriamo questi tre fattori:
#1 Aumento del numero di dipendenti in remoto
Uno dei passaggi più difficili di questa transizione è quello di garantire la sicurezza nel momento in cui tutti i dipendenti si trovano fuori dal network on premise. Dato che quasi tutti si trovano in remoto, assistiamo a un picco di utilizzi per RDP e VPN della rete aziendale. Affidandosi ora in tantissimi a RDP e VPN, gli attaccanti hanno circoscritto il loro campo d’azione a queste connessioni, alla ricerca di vulnerabilità per poter lanciare attacchi.
In più l’enorme quantità di nuove connessioni presenta problemi specifici. Mettere in sicurezza ognuna di queste connessioni individuali è una sfida complessa, specialmente se i team della sicurezza non possono verificare o controllare come gli impiegati gestiscono le proprie reti.
#2 Aumentata superficie d’attacco
Quando il perimetro aziendale si allarga fino a includere le abitazioni degli utenti, si aprono anche anche infiniti vettori d’attacco. Coloro che lavorano da casa probabilmente non sanno che i loro router casalinghi possono essere mal configurati o senza patch, diventando così un target ideale per gli hacker.
I router non sono gli unici elementi che vengono collegati alla rete e che non possono essere controllati dai team della sicurezza. Alcuni impiegati utilizzano i propri dispositivi per connettersi alla rete e probabilmente hanno caricato applicazioni che non sono state approvate dalla divisione IT. In più, qualsiasi strumento connesso al wifi in casa di un dipendente è ora coinvolto: giochi, stampanti, tablet e smart Tv, solo per nominarne alcuni. Dato che tutte queste applicazioni e tutti questi dispositivi diventano shadow IT, i team della sicurezza non possono fare nulla per queste potenziali minacce. Anche nel caso in cui ogni singolo dispositivo fosse protetto e aggiornato, l’utilizzo dell’ennesimo nuovo strumento rappresenterebbe un altro possibile punto di ingresso.
#3 Aumento del malware e degli attacchi ransomware.
I threat actor sono tra coloro che davvero prosperano in tempi di forte cambiamento. Di solito le compagnie al centro di queste crisi diventano i loro principali bersagli. Attacchi ransomware continui sono molto diffusi: sfruttano il fatto che le aziende siano impegnate su più fronti per esfiltrare massicce quantità di dati. Gli attaccanti possono anche approfittare della disperazione delle organizzazioni che, pur di continuare le loro attività, probabilmente pagheranno il riscatto.
Aggiungiamo che il numero di attacchi phishing aumenta decisamente, utilizzando l’amplificazione delle emozioni che si verifica in condizioni particolari quali il lavoro da remoto. Un’accentuata ansietà può indurre le persone a essere meno attente, cliccando su email che normalmente avrebbero classificato come spam, specialmente se questa mail è realizzata in modo da sembrare un’informazione importante, relativa a eventi che coinvolgono il destinatario.
Estendere il monitoraggio e l’individuazione di minacce
Con un rete che cresce così in fretta, sembra impossibile riuscire a occuparsi delle minacce senza disporre di un esercito di persone per il monitoraggio. Fortunatamente, le organizzazioni non sono completamente disarmate, quando si tratta di queste nuove sfide. La precoce rilevazione di minacce può identificare le attività malevole all’interno di una rete senza dover aumentare le dimensioni del team della sicurezza. Invece di monitorare la rete le moderne soluzioni di sicurezza possono semplicemente osservare il traffico, cercare e confermare la presenza di attività malevole per essere sicuri che azioni tempestive vengano intraprese nel momento stesso dell’identificazione.
Sebbene la situazione attuale data dalla pandemia di COVID-19 sembri temporanea, abbiamo comunque osservato un cambiamento di priorità per le divisioni sicurezza delle aziende. Anche quando gli impiegati saranno tornati al lavoro in presenza – all’interno dell’azienda – il panorama lavorativo potrebbe non essere più lo stesso e il lavoro da remoto potrebbe continuare. Aggiornare le politiche di sicurezza per gestire il rischio della forza lavoro da remoto, rivedendo i processi e immettendo nuovi strumenti nel sistema aumenterà la flessibilità dell’organizzazione, assicurandovi che siete pronti per qualsiasi scenario.
Core Network Insight monitora e analizza il traffico di rete per evidenziare minacce critiche in tempo reale su qualsiasi dispositivo all’interno della tua infrastruttura. Più motori di rilevamento forniscono prove definitive e individuano la posizione specifica di un’infezione, consentendo ai team di sicurezza di rispondere in modo efficiente, ridurre rapidamente il tempo di permanenza e prevenire la perdita di dati.