Quando è stata l'ultima volta che avete subito un phishing? Poco fa? Prima, oggi? Ieri? Probabilmente è stato più di recente di quanto pensiate, con il phishing che regna come la attacco più comune legato alle credenziali secondo il Verizon 2024 Data Breach Investigations Report e con 3,4 miliardi di e-mail di spam riferito di uscire tutti i giorni.
Una domanda ancora più interessante: Quando è stato il prima Quando sei stato vittima di un phishing? Dieci anni fa? Venti? Di più? Se eravate in giro e online nel 2000, potreste anche essere stati attaccati dal Verme ILOVEYOU, uno schema di phishing molto precoce che ha bloccato i sistemi di posta elettronica di AT&T e del Pentagono, tra gli altri.
Tutto ciò ci porta alla domanda veramente importante: Perché diavolo sta succedendo ancora e cosa ci vuole per fermarlo?
Finora non avevamo il giusto paradigma di sicurezza per combattere efficacemente il phishing. Ma la buona notizia è che ora ce l'abbiamo: Zero Trust.
Il phishing persiste per diversi motivi: è facile da fare, è difficile da combattere e rende molto bene. La metodologia di mascheramento è incredibilmente semplice: basta fingere di essere qualcun altro e, così facendo, ingannare la vittima per indurla a fornire le credenziali di accesso che consentiranno di accedere a dati preziosi e ad altre risorse.
Come Charlie Brown si affida a Lucy Le vittime del phishing sembrano essere perennemente indotte a commettere lo stesso passo falso. Questo perché i metodi degli autori sono in continua evoluzione. Per esempio, I primi tentativi di phishing avvenivano in genere tramite e-mail; ora è altrettanto probabile che includano messaggi di testo e altre forme di comunicazione. Il continuo cambiamento di forme e metodi rende sempre più difficile per i destinatari riconoscere i tentativi di phishing. vari schemi di phishing per quello che sono, anche quando il destinatario è qualcuno che dovrebbe saperlo bene.
Finché gli schemi di phishing continueranno a funzionare, le organizzazioni continueranno a perdere denaro e i cattivi attori continueranno ad arricchirsi. L'ultimo valore medio delle violazioni causate dal phishing? $4,76 milioni, Secondo il Cost of a Data Breach Report 2023 di IBM.
Ma c'è una strada che porta a un risultato diverso, ed è quella della fiducia zero.
Dopo tutti questi anni in cui gli attacchi di phishing hanno colpito le organizzazioni per milioni di dollari, stiamo assistendo a un cambiamento nel modo in cui ci difendiamo dal phishing, dal ransomware, dagli attacchi alla catena di approvvigionamento e da altre minacce, un cambiamento che fa ben sperare in difese più efficaci contro il phishing.
In questo cambiamento, Zero Trust sta emergendo come uno dei modi più efficaci per migliorare la sicurezza, andando oltre i tradizionali paradigmi basati sul perimetro per combattere le minacce in modo più efficace.
Come affermato nel documento di Gartner® rapporto "Risposta rapida: Quali sono i principi fondamentali di Zero Trust?": "La fiducia zero è un paradigma. Sostituisce la fiducia implicita con una valutazione continua del rischio e dei livelli di fiducia, basata sull'identità e sul contesto".
Nel paradigma della sicurezza Zero Trust, la verifica dell'inaffidabilità di qualcuno o qualcosa non è più un evento unico che si verifica solo in risposta a un tentativo di accesso o a un altro evento potenzialmente rischioso. Le organizzazioni devono invece verificare l'affidabilità costantemente. Si tratta di abbandonare l'idea di "fidarsi, ma verificare" come base per la sicurezza e di abbracciare invece il concetto di "mai fidarsi, sempre verificare".
Oggi, alcune delle organizzazioni di massima sicurezza del mondo, che fanno parte direttamente o indirettamente del governo, richiedono Zero Trust per migliorare la loro sicurezza. Il memorandum esecutivo dell'Ufficio statunitense per la gestione e il budget (OMB) M-22-09 definisce una strategia federale di architettura Zero Trust per il governo. In Europa, la direttiva NIS2, che è la legislazione europea sulla sicurezza informatica, incorpora la strategia Zero Trust. I sette principi della Fiducia Zero-come definito dal National Institute of Standards and Technology degli Stati Uniti (NIST).
Ci si potrebbe chiedere come le direttive governative di alto livello su Zero Trust descritte sopra si applichino alla lotta al phishing, nello specifico. Il Gartner rapporto sostiene che: "I responsabili della sicurezza e della gestione del rischio possono standardizzarsi su cinque principi fondamentali per far progredire la strategia zero-trust della loro organizzazione". Riteniamo che alcuni di questi principi fondamentali siano direttamente rilevanti per le iniziative anti-phishing:
"Stabilire l'identità". Per soddisfare questo principio di Zero Trust, il rapporto Gartner rileva che le organizzazioni hanno bisogno di "una politica organizzativa stabilita per 'chi deve avere accesso a cosa, quando e perché'".
Riteniamo che la politica sia una delle misure più efficaci che le organizzazioni possono adottare per migliorare la sicurezza generale e difendersi dal phishing in particolare. Con questa politica in vigore, gli utenti che subiscono un phishing hanno semplicemente meno probabilità di accedere a obiettivi di alto valore che i malintenzionati cercano di ottenere. Gli account vittima di phishing avranno anche meno possibilità di muoversi lateralmente e di trovare o richiedere nuovi diritti da sfruttare.
Il rapporto rileva inoltre che un altro requisito necessario per soddisfare questo principio è il "supporto tecnologico per l'implementazione di multifattori per l'autenticazione".
Poiché il phishing ha come obiettivo le credenziali, una soluzione come l'autenticazione a più fattori (MFA) di RSA potrebbe limitare notevolmente i danni che una singola credenziale compromessa potrebbe causare.
"Accesso limitato". Le organizzazioni non devono solo stabilire l'identità e determinare in anticipo i diritti di cui un determinato utente ha bisogno: devono anche cercare di limitare l'accesso quando possibile. Nel caso del phishing, la limitazione dell'accesso contribuirà a garantire che i malintenzionati non possano fare affidamento sulle credenziali di un utente per ottenere ciò che vogliono. È per questo che il rapporto Gartner raccomanda che, per avvicinarsi alla Zero Trust, "gli utenti o i sistemi dovrebbero avere accesso a una risorsa solo in base alla necessità di eseguire una funzione richiesta".
Allo stesso modo, il rapporto osserva che l'accesso limitato richiede "la riduzione delle zone di fiducia implicita e dei diritti concessi agli account utente". Riteniamo che un numero minore di persone con accesso ridotto e un numero maggiore di blocchi creino un ambiente in cui i malintenzionati non possono sfruttare più di tanto.
A sostegno di questo ambiente, Governance e ciclo di vita RSA fornisce un quadro di riferimento per la gestione degli accessi che si concentra non solo sulla conoscenza di ciò a cui gli utenti hanno accesso, ma anche su ciò a cui hanno accesso. fare con tale accesso.
"Fornire un accesso adattativo basato sul rischio". Se avete letto qualcosa su Zero Trust, saprete che una delle idee chiave alla base dell'architettura è "Mai fidarsi, sempre verificare". Ciò significa che le organizzazioni devono convalidare ogni richiesta di accesso sul momento prima di estendere ulteriori privilegi o accessi. L'idea della verifica continua è citata in questo punto del rapporto Gartner: "Passare da controlli una tantum del gate a una valutazione continua del rischio durante la sessione".
L'autenticazione basata sul rischio è essenziale per avvicinarsi a Zero Trust e prevenire il phishing, poiché i criminali informatici con credenziali falsificate cercheranno probabilmente di registrare un nuovo dispositivo, di lavorare da una nuova postazione o di tentare l'accesso al di fuori dell'orario di lavoro tipico dell'utente reale. RSA Risk AI possono rilevare questi segnali e contestare di conseguenza i tentativi di accesso. (E anche se un malintenzionato riesce a entrare inizialmente, la capacità di intelligence basata sul rischio limiterà il tempo di permanenza).
Se da un lato la prospettiva di combattere il phishing con Zero Trust è entusiasmante, dall'altro è importante notare che il phishing non è affatto l'unico fenomeno di cui ci si può occupare. solo vettore di minacce da cui le organizzazioni possono difendersi utilizzando Zero Trust.
###
Scaricate il rapporto Gartner, Risposta rapida: Quali sono i principi fondamentali di Zero Trust?
Gartner, Inc. Risposta rapida: Quali sono i principi fondamentali della fiducia zero?, Wayne Hankins, Charlie Winckless, Andrew Lerner. Pubblicato originariamente il 2 maggio 2024.
GARTNER è un marchio registrato e un marchio di servizio di Gartner, Inc. e/o delle sue affiliate negli Stati Uniti e a livello internazionale ed è usato qui con l'autorizzazione. Tutti i diritti sono riservati.
