Una delle prime lezioni che i criminali informatici imparano è "se non è rotto, non aggiustarlo". Ecco perché phishing continua a essere uno dei vettori di attacco iniziali più frequenti: un utente vede un'e-mail "urgente" da qualcuno di cui si fida, clicca su un link e i malintenzionati accedono a sistemi e dati che non dovrebbero.
Ma se la sicurezza informatica è alle prese con il phishing da decenni, ciò non significa che la tattica non si sia evoluta. Come un ceppo di COVID in evoluzione, gli attori delle minacce stanno apportando al phishing nuove rughe che lo rendono più efficace sui bersagli e più dannoso per le organizzazioni.
Uno dei più recenti sviluppi è il phishing-as-a-service (PHaaS) che, come dice il nome, consente ai criminali informatici di esternalizzare le campagne di phishing a professionisti qualificati. Un'altra evoluzione è il cloud account takeover (CATO), che consente agli attori delle minacce di accedere agli account cloud di un'organizzazione.
Considerando che il phishing è stato il vettore di attacco iniziale più frequente e che è costato alle organizzazioni una media di $4,76 milioni di dollari Per ogni violazione, tutto ciò che le organizzazioni possono fare per limitare la loro esposizione al phishing può contribuire a proteggere i loro profitti e a rimanere al sicuro.
Analizziamo quindi PhaaS, CATO, cosa li rende così efficaci e le misure che le organizzazioni possono adottare per stare al sicuro da entrambi.
Come nel caso del ransomware-as-a-service, si sa che un vettore di minaccia è diventato un problema quando i criminali informatici possono esternalizzare una determinata tattica. È quello che sta accadendo con PHaaS, che consente agli attori delle minacce di appaltare e automatizzare i cyberattacchi.
Il phishing e il PHaaS tendono a utilizzare tattiche di social engineering per rendere più difficile la loro individuazione. È il motivo per cui gli obiettivi ricevono così tante e-mail "urgenti" "dal" CEO, dal CFO o da altri dirigenti: è più probabile che le persone rispondano più rapidamente e con meno cautela se il capo del loro capo dice loro di agire.
Inoltre, le campagne PHaaS non si limitano alle caselle di posta elettronica tradizionali. Gli aggressori stanno ora prendendo di mira i servizi di posta elettronica basati sul cloud, sfruttando piattaforme come Microsoft 365 o Google Workspace. Con la crescente dipendenza da strumenti e servizi di produttività basati sul cloud, gli attacchi CATO possono avere conseguenze devastanti per le organizzazioni.
A peggiorare le cose, spesso le campagne PHaaS si rivolgono deliberatamente a dirigenti di livello C. In una recente campagna CATO che utilizzava Evil Proxy, 39% delle vittime si trovavano nell'area C-suite.
È stato anche riferito che altri account vengono ignorati a favore del CEO o del CFO, ed è facile capire perché. Gli alti dirigenti hanno spesso accesso a dati sensibili ed esercitano un'influenza significativa all'interno di un'organizzazione. Di conseguenza, gli aggressori adattano i loro tentativi di phishing per concentrarsi su questi obiettivi di alto valore, aumentando le probabilità di successo di un attacco CATO.
I dirigenti di alto livello sono anche i primi candidati per gli attacchi di spear-phishing, in cui gli aggressori creano messaggi altamente personalizzati per indurre le vittime a rivelare informazioni sensibili o a cliccare su link dannosi. La posta in gioco è più alta quando sono coinvolti i dirigenti, il che rende imperativo per le organizzazioni adottare misure proattive per proteggere la propria leadership.
Per combattere la crescente minaccia di attacchi CATO e PHaaS, le organizzazioni possono rivolgersi a soluzioni di autenticazione moderne come il protocollo Fast Identity Online (FIDO). FIDO offre un modo sicuro e semplice per verificare l'identità degli utenti, riducendo il rischio di attacchi di phishing.
L'autenticazione basata su FIDO si basa sulla crittografia a chiave pubblica, che aumenta la sicurezza eliminando la necessità di password. Al contrario, gli utenti si autenticano utilizzando un dispositivo hardware registrato in modo sicuro: al momento dell'autenticazione, agli utenti viene richiesto di toccare il dispositivo per soddisfare il fattore "qualcosa che si possiede". MFA. Ciò significa che, anche se un aggressore carpisce le credenziali di un utente, non sarà in grado di rispondere alla sfida di autenticazione se non è in possesso del dispositivo.
Rendere l'autenticazione facile e sicura è fondamentale per favorire l'adozione da parte degli utenti di un'organizzazione. La tecnologia alla base dei dispositivi FIDO li rende estremamente utili per resistere anche alla più complessa campagna di phishing.
Molte organizzazioni hanno resistito a investire in FIDO poiché la tecnologia funziona solo via web, come ad esempio su applicazioni cloud e servizi SaaS. Questa limitazione lascia indietro molte delle applicazioni e delle risorse critiche on-premise di cui le aziende hanno bisogno per continuare a funzionare. Investire tempo, sforzi e budget su una tecnologia che non funziona ovunque è problematico per molte organizzazioni.
RSA ha risolto questa sfida con una serie di soluzioni:
- RSA Authenticator App 4.5 fornisce una passkey device-bound certificata FIDO2 sui dispositivi mobili degli utenti, aiutando le organizzazioni a migliorare l'adozione, a migliorare l'esperienza utente, a incrementare la produttività e ad accelerare la maturità Zero Trust.
- Il Serie RSA iShield Key 2 è dotato di supporto FIDO2, PIV, HOTP e di un modulo crittografico certificato FIPS 140-3. Gli autenticatori hardware sono conformi all'Executive Order 14028, all'OMB M-22-09 e all'OMB M-24-14 e possono aiutare il settore pubblico e privato a semplificare e rendere sicura la gestione delle credenziali.
- Il RSA DS100 è un autenticatore hardware che fornisce sia password monouso (OTP) per le risorse in sede che FIDO per le risorse connesse a Internet. Un dispositivo di questo tipo non solo protegge gli account basati su cloud, ma anche i sistemi legacy on-premise che possono affidarsi a metodi di autenticazione meno recenti come l'OTP.
La capacità di colmare il divario tra i moderni servizi cloud e i sistemi legacy è fondamentale per molte organizzazioni. Implementando una soluzione FIDO ibrida come RSA DS100, RSA Authenticator App o RSA iShield, le organizzazioni possono garantire una sicurezza coerente in tutti gli account e le applicazioni. In questo modo, anche se alcuni sistemi sono in grado di effettuare sfide solo con metodi OTP, sono comunque protetti.
Per essere sempre un passo avanti rispetto a minacce come CATO e PHaaS è necessario un approccio proattivo alla cybersecurity. Ecco alcune best practice che le organizzazioni possono adottare per ridurre il rischio:
- Formazione e sensibilizzazione dei dipendenti: Una formazione regolare sulla sicurezza è fondamentale per aiutare i dipendenti a riconoscere i tentativi di phishing ed evitare di cadere nelle tattiche di social engineering.
- Implementazione dell'MFA: L'MFA aggiunge un ulteriore livello di protezione, rendendo molto più difficile il successo degli aggressori, anche se le credenziali sono compromesse.
- Conduzione di regolari controlli di sicurezza: Le revisioni regolari dei controlli di accesso, delle autorizzazioni e delle configurazioni degli account per i servizi cloud sono importanti per identificare le vulnerabilità che gli aggressori potrebbero sfruttare.
- Implementare un approccio di sicurezza a più livelli: La sicurezza a livelli comprende più meccanismi di difesa in diversi punti della rete.
- Aggiornamento regolare dei protocolli di sicurezza: Le minacce informatiche si evolvono rapidamente, pertanto l'aggiornamento regolare dei protocolli e delle politiche garantisce l'allineamento con le più recenti best practice di sicurezza.
Che si tratti di PHaaS, di rivolgersi ai dirigenti di livello C, di CATO o di qualsiasi altra cosa. la prossima ruga che i criminali informatici lanciano contro le organizzazioni, è fondamentale che la sicurezza informatica sia sempre un passo avanti.
L'implementazione di un dispositivo FIDO ibrido che protegge sia i sistemi basati su cloud che quelli legacy on-premise è un passo importante per garantire una sicurezza completa alla vostra organizzazione. Abbracciando metodi di autenticazione senza password e rimanendo vigili contro l'evoluzione delle minacce, le organizzazioni possono salvaguardare la propria azienda da attacchi CATO, phishing e altri rischi. Ricordate, quando si tratta di sicurezza informatica, la prevenzione proattiva è sempre meglio del recupero reattivo.
