Acronis, 12 best practice per garantire la sicurezza IT

I passi da compiere per rendere le organizzazioni davvero resilienti.

Secondo l’ultimo report Acronis Cyberthreats, gli attacchi ransomware sono aumentati del 23% nel primo trimestre del 2024. I ransomware rimangono infatti lo strumento malware preferito dai criminali informatici per arricchirsi minacciando le aziende con azioni di esfiltrazione di dati, blocco delle attività e appropriazione di dati sensibili. E l’avvento di strumenti di intelligenza artificiale generativa (GenAI) come ChatGPT ha ulteriormente migliorato l’efficacia e la portata delle minacce e ha reso più semplice anche per criminali informatici alle prime armi sferrare un attacco.

Tutti trend che hanno un costo sempre maggiore per le aziende: l’indagine “Cost of a Data Breach 2024” di IBM ha confermato che il costo medio di una violazione dei dati è passato da 4,55 milioni di dollari nel 2023 a 5,53 milioni di dollari nel 2024.

In questo scenario da un lato gli standard e le soluzioni di cybersecurity continuano a evolvere; dall’altro le autorità e le assicurazioni stanno raccomandando o richiedendo l’implementazione di un piano di resilienza informatica. Ciò è previsto anche dall’entrata in vigore la scorsa settimana in Italia della Direttiva Europea Nis2.  Ma perché le organizzazioni diventino resilienti in modo efficace occorre che siano altrettanto abili nel respingere il più possibile gli incidenti e nel riprendersi rapidamente quando le difese falliscono.

Affinché ciò avvenga, Denis Cassinerio, Senior Director & General Manager South EMEA di Acronis (nella foto in alto), indica le 12 best practice individuate dagli analisti del vendor:

Implementare misure anti-malware potenziate dall’apprendimento automatico e dall’AI

Ciò consentirà di identificare in modo adattivo le minacce in base al loro comportamento. Inoltre, in questo modo, l’EDR consente ai difensori di correlare i potenziali indicatori di compromissione (IOC) in modo più efficace su più endpoint; contenere rapidamente gli attacchi; indagare sugli incidenti per identificare eventuali vulnerabilità che hanno consentito l’attacco e rimediare a tali punti deboli contro attacchi futuri.

Aumentare i livelli di sicurezza della posta elettronica e il filtraggio degli URL

Le e-mail rimangono il vettore più diffuso: ben il 27,6% di tutte le e-mail ricevute sono spam e l’1,5% contiene malware o collegamenti di phishing, secondo il nostro ultimo report sulle minacce. Studio che evidenzia anche che il numero degli attacchi via e-mail sono aumentati nei primi sei mesi dell’anno di quasi il 300% e ben il 26% degli utenti ha riscontrato tentativi di phishing tramite URL dannosi.

Dotarsi di più strumenti che aumentano la visibilità delle risorse IT e dei flussi di dati

Gli strumenti di inventario IT e di prevenzione della perdita di dati (DLP) possono fornire una migliore visibilità delle procedure normali e anomale di archiviazione e spostamento dei dati e rilevare così attività sospette e bloccare potenziali esposizioni.

Eliminare le esposizioni della rete esterna e interna

Le vulnerabilità della Rete sono un altro vettore di attacco comune. Le aziende dovrebbero adottare misure di base come disabilitare il protocollo Microsoft Remote Desktop Protocol (RDP) tranne dove necessario; distribuire i firewall e sistemi di prevenzione delle intrusioni; limitare l’accesso VPN a specifiche posizioni geografiche; limitare o vietare l’accesso alle risorse aziendali dai dispositivi personali e segmentare le reti interne per contrastare la propagazione del ransomware.

Gestire con attenzione le password e i diritti di accesso

Secondo il Verizon Data Breach Investigations Report 2024, le credenziali rubate hanno contribuito al 24% di tutte le violazioni segnalate e le credenziali sono state compromesse nel 50% degli attacchi di phishing. Per combattere queste tattiche, le aziende dovrebbero implementare l’autenticazione a più fattori, soprattutto sui sistemi con dati sensibili; cambiare sempre il login delle impostazioni di fabbrica e tutte le password dopo un attacco riuscito; adottare il principio privilegio minimo per i diritti di accesso soprattutto per le banche dati e le infrastrutture più critiche e concedere privilegi limitati nel tempo o una sola volta, ove possibile.

Prevedere un programma di sensibilizzazione alla sicurezza

Ridurre il numero di clic su allegati e collegamenti dannosi nelle e-email, chat, social può portare a significative riduzioni del rischio. Come? Stimolando i dipendenti a tenere le antenne alzate su questi veicoli molto pericolosi, per esempio inviando loro regolarmente false e-mail di phishing e predisponendo corsi di aggiornamento per chiunque cada nello stratagemma, amministratore delegato incluso.

Implementare la scansione automatizzata e programmatica delle vulnerabilità e la gestione delle patch

Le aziende in generale faticano a installare tempestivamente le patch software dei propri fornitori di tecnologia, lasciandole senza in media per oltre 88 giorni.

Ridurre il numero di agenti sugli endpoint e sulle console

Le organizzazioni normalmente implementano nel tempo le proprie soluzioni di sicurezza informatica e protezione dei dati e ciò avviene in modo frammentario, determinando una proliferazione di agenti remoti sugli endpoint e sulle console di gestione presso il desk operativo IT e quindi questo genera lacune e conflitti.

Utilizzare i framework di sicurezza come il NIST

Le aziende dovrebbero trarre vantaggio dai framework di sicurezza informatica più diffusi (e gratuiti) come il NIST per consultare le loro preziose linee guida.

Implementare un solido regime di protezione dei dati

Le aziende devono partire dal presupposto che un attacco prima o poi avrà successo e sforzarsi di migliorare il regime di protezione dei dati come ultima linea di difesa. Il ripristino dei dati da un backup recente può consentire la rapida ripresa delle operazioni commerciali senza pagare un riscatto, ma gli aggressori spesso tentano di individuare, crittografare o eliminare archivi di backup e disattivare misure di backup. Pertanto, le imprese dovrebbero conservare più copie crittografate di backup su supporti diversi e in posizioni separate; condurre regolari test dal vivo del loro piano di backup; scansionare i backup alla ricerca di malware e vulnerabilità senza patch e risolvere tali problemi prima di ripristinare i sistemi e implementare l’archiviazione immutabile degli archivi di backup per contrastare le tattiche di eliminazione dei backup.

Valutare l’implementazione di un programma di ripristino di emergenza

I servizi di disaster recovery consentano la ripresa immediata delle operazioni utilizzando applicazioni e dati replicati (off-site o nel cloud), servizi che oggi sono molto più convenienti e semplici da gestire, anche per le piccole imprese.

Definire un piano di risposta agli incidenti, testalo e aggiornarlo regolarmente

Questo piano dovrebbe contenere alcune componenti essenziali: un elenco di nomi e numeri dei contatti interni ed esterni in formato cartaceo, un canale di comunicazione interno di ripiego affidabile nel caso in cui sistemi come la posta elettronica diventino inutilizzabili, un piano di comunicazione che identifichi chi deve essere informato e da chi e quando e individui chi ha la leadership esecutiva e quali i team, a cominciare dal legal, vanno coinvolti. Inoltre, dovrebbe includere misure per raccogliere dati forensi che possano essere utilizzati dopo un incidente, non solo per richiedere un risarcimento all’eventuale broker assicurativo, ma anche per identificare le vulnerabilità che hanno consentito la violazione, porvi rimedio e aggiornare di conseguenza il piano di risposta.

Non va infine sottovalutato che per contrastare la crescente sofisticazione e frequenza di questi incidenti, le aziende di ogni settore e dimensione, devono valutare di concentrare i propri sforzi su processi e tecnologie che riducano la complessità crescente e supportino il personale IT con l’uso dell’intelligenza artificiale, dell’automazione e dell’integrazione. Oltre a contenere i rischi aziendali di questa tipologia di attacchi, questi investimenti miglioreranno anche la capacità di un’azienda di soddisfare i requisiti di conformità normativa, a cominciare dalla già citata Nis2.

 


A cura della redazione

Office Automation è da 38 anni il mensile di riferimento e canale di comunicazione specializzato nell'ICT e nelle soluzioni per il digitale, promotore di convegni e seminari che si rivolge a CIO e IT Manager e ai protagonisti della catena del val...

Office Automation è il periodico di comunicazione, edito da Soiel International in versione cartacea e on-line, dedicato ai temi dell’ICT e delle soluzioni per il digitale.


Soiel International, edita le riviste

Officelayout 198

Officelayout

Progettare arredare gestire lo spazio ufficio
Luglio-Settembre
N. 198

Abbonati
Innovazione.PA n. 56

innovazione.PA

La Pubblica Amministrazione digitale
Luglio-Agosto
N. 56

Abbonati
Executive.IT n.5 2024

Executive.IT

Da Gartner strategie per il management d'impresa
Settembre-Ottobre
N. 5

Abbonati