In una recente indagine dei ricercatori di Barracuda sono state esaminate circa 3.500 organizzazioni al fine di comprendere gli schemi delle minacce e le procedure di risposta, ed è stato riscontrato che un’organizzazione media, con 1.100 utenti, subisce circa 15 attacchi alla sicurezza via email al mese e, in media, le conseguenze di ogni singolo attacco di phishing andato a segno impattano su 10 dipendenti.
È stato inoltre riscontrato che il 3% dei dipendenti clicca sui link presenti nelle email pericolose, esponendo l’intera azienda ai crimini informatici. Questi numeri apparentemente contenuti sono in realtà allarmanti, perché agli hacker basta un singolo clic o risposta alla mail per mettere a segno il loro attacco.
Inoltre, i ricercatori di Barracuda hanno identificato alcune azioni che possono fare la differenza dopo il recapito della mail. Ad esempio, è emerso che le aziende che formano adeguatamente i propri dipendenti registrano un aumento del 73% nella precisione di segnalazione delle email dopo due soli cicli di formazione.
Di seguito, l’analisi dettagliata degli schemi delle minacce e delle procedure di risposta identificate dai ricercatori di Barracuda, assieme alle misure che è possibile adottare per migliorare la risposta delle aziende alle minacce email dopo il recapito dei messaggi.
La minaccia
Minacce email ‘post-delivery’ – Le operazioni svolte per gestire le conseguenze di una violazione della sicurezza e le minacce che si manifestano dopo il recapito dei messaggi vengono comunemente denominate ‘incident response’. Una risposta efficace all’incidente deve riuscire ad arginare velocemente la minaccia, in modo da arrestare la propagazione degli effetti dell’attacco e ridurre al minimo i potenziali danni.
Gli attacchi email in evoluzione espongono le aziende a un rischio notevole. Oggi, gli hacker utilizzano tecniche di social engineering sempre più sofisticate e le minacce email diventano sempre più difficili da rilevare sia dai controlli automatici sia dagli utenti. Non esistono soluzioni di sicurezza capaci di prevenire il 100% degli attacchi. Inoltre, gli utenti finali non sempre segnalano le email sospette, per mancanza di formazione o per negligenza e quando lo fanno, spesso la segnalazione non è precisa e determina uno spreco di risorse IT. Senza una strategia efficiente di risposta agli incidenti, molte minacce rischiano di passare inosservate finché non diventa troppo tardi.
I dettagli
In base all’analisi effettuata dai ricercatori di Barracuda sugli incidenti subiti da circa 3.500 aziende, un’azienda media con 1.100 utenti subisce circa 15 incidenti di sicurezza email al mese. In questo caso, un “incidente” è costituito da un’email pericolosa che è riuscita a superare le soluzioni di sicurezza e a raggiungere gli utenti. Gli incidenti identificati devono essere classificati in base alla priorità e quindi analizzati per determinarne l’ambito e il grado di pericolosità. Se costituiscono una minaccia, è necessario intraprendere un’azione correttiva.
Si possono utilizzare diversi metodi per identificare le minacce email allo scopo di adottare le misure correttive dopo il recapito dei messaggi. Gli utenti possono segnalarle e i team IT possono avviare un rilevamento interno delle minacce, oppure possono affidarsi a una community formata da altre aziende che provvede a rimediare agli effetti degli attacchi. I dati sulle minacce sventate condivisi tra le aziende sono in genere più affidabili di quelli riportati dagli utenti.
Le ricerche hanno inoltre evidenziato che la maggior parte degli incidenti (67,6%) viene scoperta grazie alle indagini interne per il rilevamento delle minacce effettuate dal team IT. Queste indagini possono essere avviate in molti modi diversi. Le procedure più comuni includono la ricerca nei log dei messaggi o la ricerca di parole chiave o mittenti specifici fra i messaggi già recapitati. Un ulteriore 24% degli incidenti viene rilevato grazie alle email segnalate dagli utenti, l’8,1% viene scoperto dalla threat intelligence fornita dalla community e il restante 0,4% è riconducibile ad altre fonti, come il rilevamento automatico degli incidenti o gli incidenti rilevati in precedenza.
Le aziende dovrebbero sempre invitare gli utenti finali a segnalare le email sospette, ma questo rischia di generare un flusso di segnalazioni troppo oneroso da gestire per i team IT. Per aumentare la precisione delle segnalazioni degli utenti, può essere utile una formazione costante sulla sicurezza. Dalla ricerca di Barracuda è emerso che, nelle aziende che forniscono una formazione adeguata, la precisione di segnalazione delle email da parte degli utenti aumenta del 73% dopo due soli cicli di formazione.
Il 3% degli utenti clicca sui link contenuti nei messaggi email dannosi
Una volta identificata e confermata la presenza di email pericolose, gli amministratori IT devono indagare per determinare l’ambito e gli effetti potenziali dell’attacco. Senza gli strumenti adeguati, l’identificazione di tutti gli utenti aziendali che hanno ricevuto messaggi pericolosi può richiedere moltissimo tempo. Secondo la ricerca di Barracuda, ogni singolo attacco di phishing andato a segno colpisce in media 10 dipendenti.
Come se non bastasse, il 3% dei dipendenti clicca sui link delle email pericolose, esponendo l’intera azienda agli attacchi. In pratica, in un’azienda media con 1.100 dipendenti, ogni mese circa cinque utenti cliccano su un link contenuto in un’email pericolosa. A volte, addirittura rispondono alle email o le inoltrano, estendendo la portata dell’attacco all’interno e all’esterno dell’azienda. Questi numeri all’apparenza contenuti sono in realtà allarmanti. Agli hacker basta un clic o una risposta per portare a termine un attacco. In media, passano solo 16 minuti prima che un utente clicchi su un link pericoloso: per proteggere l’azienda è fondamentale intervenire rapidamente per identificare e risolvere il problema.
Le email pericolose rimangono per 83 ore nelle caselle degli utenti prima di essere eliminate
Il ripristino in seguito a un attacco email può richiedere moltissimo tempo e lavoro. Secondo i ricercatori di Barracuda, trascorrono in media tre giorni e mezzo, pari a 83 ore, fra il momento in cui l’attacco raggiunge le caselle email degli utenti e quello in cui viene rilevato da un team di sicurezza o segnalato dagli utenti e finalmente eliminato. Questo intervallo di tempo può essere notevolmente ridotto tramite una formazione mirata sulla sicurezza, che migliora la precisione della segnalazione degli attacchi da parte degli utenti, e l’implementazione di strumenti di correzione automatici, in grado di identificare e sventare automaticamente gli attacchi senza sottrarre tempo prezioso al personale di sicurezza.
Molti team di sicurezza utilizzano anche le informazioni dettagliate raccolte dagli incidenti risolti, per aggiornare le policy di sicurezza e prevenire gli attacchi futuri. Ad esempio, il 29% delle aziende aggiorna regolarmente la propria block list per bloccare i messaggi provenienti da aree geografiche o mittenti specifici. Tuttavia, solo il 5% delle aziende aggiorna la propria soluzione di sicurezza web in modo da impedire l’accesso ai siti dannosi da parte di tutti gli utenti dell’organizzazione. Questa carenza è dovuta alla scarsa integrazione tra incident response e sicurezza web.
Come proteggersi dalle minacce post-delivery
- Formare gli utenti in modo da migliorare la precisione delle segnalazioni e aumentare il numero degli attacchi segnalati
Un utente correttamente formato è in grado di prevenire gli effetti devastanti di un attacco email. La sensibilizzazione continua sul problema della sicurezza aumenta la probabilità che gli utenti segnalino le potenziali minacce al team IT, evitando di rispondere, cliccare o inoltrare il messaggio. La formazione degli utenti finali deve essere regolare, affinché abbiano sempre presenti le best practice di sicurezza e segnalino le minacce con precisione, evitando al personale IT di sprecare tempo prezioso ad analizzare messaggi indesiderati che non comportano alcun pericolo.
- Consultare una community come fonte di informazioni sulle minacce potenziali
La condivisione dei dati sulle minacce può contribuire notevolmente a impedire che nuove minacce compromettano i dati e gli utenti aziendali. Poiché molti hacker utilizzano la stessa tecnica per attaccare obiettivi diversi, è possibile che più aziende subiscano minacce email analoghe o addirittura identiche. Sfruttando i dati accumulati dalle altre aziende, anziché limitarsi alle informazioni sulle minacce raccolte nella rete interna di una singola organizzazione, è possibile sventare efficacemente gli attacchi su vasta scala. È importante scegliere una soluzione di incident response con accesso a dati condivisi sulle minacce per rilevarle efficacemente e segnalare i potenziali incidenti.
- Utilizzare strumenti di rilevamento delle minacce per analizzare più rapidamente gli attacchi
L’identificazione delle minacce potenziali, dell’ambito dell’attacco e di tutti gli utenti colpiti può richiedere ore, se non addirittura giorni. Le aziende dovrebbero implementare strumenti di rilevamento delle minacce che offrano visibilità sulla posta elettronica dopo il recapito dei messaggi. Questi strumenti consentono di identificare eventuali anomalie nei messaggi già recapitati, ricercare velocemente gli utenti interessati e determinare se questi ultimi hanno interagito con i messaggi nocivi.
- Automatizzare l’azione correttiva ove possibile
L’adozione di sistemi automatizzati per la risposta agli incidenti può ridurre notevolmente il tempo necessario per identificare le email sospette, eliminarle dalla posta di tutti gli utenti interessati e automatizzare i processi di difesa contro le minacce future. Implementando flussi di lavoro automatizzati, i clienti di Barracuda sono riusciti a ridurre i tempi di risposta fino al 95%, limitando il tempo a disposizione delle minacce per diffondersi e lasciando ai team IT più tempo da dedicare ad altre attività di protezione.
- Sfruttare l’integrazione
Oltre ad automatizzare i flussi di lavoro, le aziende devono anche integrare la propria soluzione di risposta agli incidenti con la protezione di email e web, al fine di prevenire ulteriori attacchi. Le informazioni raccolte dalla soluzione di risposta agli incidenti possono essere utilizzate anche per automatizzare la correzione e identificare le minacce correlate.