E-mail, anello debole della sicurezza in azienda

Il 2022 è stato l’anno peggiore di sempre per quanto riguarda la sicurezza informatica. È quanto emerge dall’analisi di Clusit, l’Associazione Italiana per la Sicurezza Informatica, pubblicata nel “Rapporto Clusit 2023 sulla sicurezza ICT in Italia” presentato all’inizio di marzo. L’annuale indagine di Clusit indica che, durante lo scorso anno, la crescita dei cyber attacks nel mondo ha registrato un aumento del 21% rispetto al 2021. 188, in numero assoluto, sono stati gli attacchi sferrati verso il nostro Paese (+169% confrontato all’anno precedente), con il 7,6% andato a segno (3,4% nel 2021).

Il panorama globale e italiano

Lo studio di Clusit rileva che, negli ultimi cinque anni, accanto a un incremento degli attacchi informatici (cui contribuisce anche l’attuale conflitto tra Russia e Ucraina), si evince un inasprimento della gravità degli stessi: nel 2022, a livello globale, i danni di categoria elevata o critica sugli obiettivi colpiti, vale a dire con una ripercussione rilevante sull’immagine, l’aspetto economico, sociale e geopolitico, si sono verificati nell’80% dei casi (in Italia, 83%). Le vittime privilegiate? Nel mondo, sono per il 22% i cosiddetti “multiple targets” (gli obiettivi molteplici non specifici), mentre nel nostro Paese sono il settore governativo (20%) e il comparto manifatturiero (19%). Quanto alle tecniche criminali, invece, è il malware a prevalere a livello mondiale (37%), così come in Italia (53%) dove, nel 95% dei casi, si sono verificati impatti gravi o gravissimi.

È interessante notare che, mentre nel nostro Paese gli attacchi di phishing e social engineering (8%) e gli attacchi Distributed Denial of Service (4%) hanno avuto un effetto dannoso minore rispetto al resto del mondo, gli incidenti basati su vulnerabilità note, seppur contenuti (6%), indicano - secondo i ricercatori di Clusit - la persistente inefficacia dei processi di gestione delle vulnerabilità e degli aggiornamenti di sicurezza nelle organizzazioni italiane. Tuttavia, il Rapporto sottolinea altresì che, nonostante l’intensificarsi degli eventi di sicurezza e l’elevata diversificazione delle tecniche di attacco, nel 2022 le rilevazioni condotte in Italia rispetto agli impatti di questi eventi sono rimaste pressoché invariate, sinonimo di una progressiva consapevolezza da parte delle imprese verso i rischi informatici.

La sicurezza della posta elettronica

Senza dubbio, la frequenza con cui continuano a verificarsi incidenti dovuti al malware invita a riflettere. Questo software dannoso, creato per accedere segretamente a un dispositivo e diffuso di solito via Internet o tramite sistemi di posta elettronica, pone l’attenzione sull’importanza del principale mezzo di comunicazione per organizzazioni e aziende. Proprio per la sua semplicità d’uso e la sua diffusione capillare, l’e-mail è infatti il canale preferenziale per condurre attacchi informatici: le imprese inviano e ricevono migliaia di e-mail al giorno, rendendo la posta elettronica uno degli anelli più deboli nell’architettura di difesa di un’impresa e spesso errori umani, disattenzioni o comportamenti rischiosi, come ad esempio il trasferimento di dati ad account personali per il lavoro a distanza, aprono la porta a potenziali pericoli cyber.

Il Rapporto Clusit ribadisce che la posta elettronica è il primo punto di ingresso per le nuove famiglie e varianti di malware: i criminali si stanno specializzando nello sviluppo di dropper (il codice malevolo allegato all’e-mail che si occupa di installare il malware vero e proprio) che possano evadere le tecniche di rilevamento più diffuse e ciò evidenzia come fondamentale l’utilizzo di misure di sicurezza in grado di rilevare le minacce zero-day.

La situazione fotografata dal Rapporto Clusit relativa al nostro Paese indica inoltre l’aumento, in generale, del livello di sofisticazione degli attacchi a fronte di un’apparente diminuzione del numero di messaggi malevoli o indesiderati. Si pensi che, nel 2022, alcuni gruppi di criminali informatici avevano addirittura creato riproduzioni molto fedeli di servizi legittimi di sicurezza di vari vendor al fine di dare credibilità ai propri attacchi.

Non solo. Oltre a una maggiore cura e professionalità e, dunque, a una tendenza sempre più consolidata alla specializzazione degli autori di campagne di ransomware, l’indagine ha registrato al contempo l’utilizzo della “double extorsion” da parte degli attaccanti. Questo significa che i dati vengono esfiltrati prima di essere crittografati dal malware e i criminali chiedono il riscatto sia per fornire la chiave per decifrare i dati, sia per non pubblicare i dati esfiltrati. In poche parole, le vittime dell’attacco sono costrette a pagare il riscatto per proteggere la privacy dei propri dati e prevenire conseguenze negative per la propria reputazione.

In Italia cresce poi la tendenza all’invio di link malevoli per attacchi di phishing o malware utilizzando servizi legittimi come OneNote o altri servizi di Microsoft e Google, piattaforme di storage cloud (Amazon, ad esempio) e di altri fornitori di servizi di object storage, piattaforme per l’e-mail marketing oppure siti internet legittimi che sono stati compromessi. Questa tecnica, basata sull’utilizzo di account di posta legittimi per spedire i link dannosi, rende più difficile il loro rilevamento e relativo blocco per i sistemi di sicurezza.

Sul fronte delle strategie di difesa, il Rapporto Clusit indica infine un incoraggiante +30% rispetto al 2021 nell’adozione, da parte delle organizzazioni italiane, del DMARC. DMARC (Domain-based Message Authentication, Reporting and Conformance) è uno standard di autenticazione delle e-mail che aiuta a prevenire la falsificazione del mittente (spoofing) e il phishing, fornendo maggiore sicurezza e trasparenza nell’invio e nella ricezione della posta elettronica. Esso offre altresì un meccanismo per la generazione di report circa il modo in cui il proprio flusso di posta viene trattato dai servizi destinatari, nonché sui tentativi di invio di e-mail sospette o non autorizzate dal dominio del proprietario. Ecco perché il crescente utilizzo di questa tecnologia viene accolto come segnale che le imprese italiane si stanno impegnando a realizzare un ambiente più sicuro per le comunicazioni via e-mail. È certo, infatti, che le minacce informatiche continueranno a rappresentare, anche in futuro, una sfida per la sicurezza dei sistemi di posta elettronica e le organizzazioni dovranno continuare a investire in questa direzione per proteggersi.