ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.

I QUADERNI DI FASTWEB

#9
LA POSTA ELETTRONICA SICURA
COME RENDERE SICURO IL PRINCIPALE CANALE DI
COMUNICAZIONE PER IL TUO BUSINESS

1

INTRODUZIONE

La posta elettronica è, ad oggi, ancora un canale di comunicazione essenziale per il business e certamente il più utilizzato nonostante la crescita di canali alternativi come i social network ed i servizi chat o instant messaging. Oggi esistono infatti circa 3.8 Miliardi di utenti E- mail e il numero è destinato a crescere fino a 4.3 Mld entro il 2022 (1). La posta elettronica è dunque uno degli elementi chiave per la produttività di un'azienda, ma pone dei rischi concreti alla sicurezza dei dati aziendali e alla continuità del business dal momento che rappresenta anche il primario vettore di infezione da malware (virus informatici). Il 42% delle infezioni registrate avvengono tramite posta elettronica, ed è proprio su questo trend che lo sviluppo attuale dei Malware sta proliferando: 92 minacce su 100, infatti, utilizzano la posta come canale di contatto (2).

Gli attacchi veicolati tramite E- mail stanno assumendo forme sempre più articolate, dal classico Ransomware, che cripta i dati dei PC aziendali richiedendo un riscatto per renderli di nuovo disponibili, fino alle tecniche di impersonificazione più sofisticate che possono sfociare in truffe vere e proprie, molto ben organizzate (3). Il problema che pone questo fenomeno e i rischi associati devono essere quindi gestiti con cura da CIO e CEO delle aziende al fine di minimizzare l'impatto sul business.
Figura 1 - Distributore dei principali vettori d'infezione da malware
2

EVOLUZIONE DEGLI ATTACCHI E-MAIL

Accanto al "sempreverde" Phishing in tutte le sue varianti (ovvero l'invio di E-mail camuffate per renderle verosimili e poter carpire alle vittime informazioni sensibili), si affiancano tecniche sempre più sofisticate per portare a termine delle vere e proprie truffe o per installare nelle infrastrutture informatiche delle vittime dei software malevoli (malware) che a loro volta sottraggono dati/informazioni oppure le rendono inutilizzabili o sfruttano illegittimamente capacità di calcolo e memoria. Di seguito sono illustrati alcuni esempi significativi.
ATTACCO DI TIPO "BUSINESS E-MAIL COMPROMISE"
Gli attacchi di tipo Business E-mail Compromise funzionano utilizzando un mix di ricerche e tecniche di social engineering per far credere alla vittima che chi scrive è una persona conosciuta con la quale normalmente la vittima stessa si interfaccia per questioni di business (ad esempio un fornitore, un dirigente d'azienda o anche un esponente delle forze dell'ordine): lo scopo è quello di ottenere informazioni o chiedere di compiere qualche azione specifica che porta poi ad attacchi successivi o alla truffa vera e propria. I Cyber Criminali utilizzano solitamente indirizzi E-mail molto simili a quelli noti alle vittime o addirittura direttamente gli indirizzi stessi che possono essere facilmente ottenuti tramite la violazione del dominio originale o l'acquisto sul dark web. Nella Figura 2 viene illustrato un tipico esempio di truffa vera e propria che ha l'obiettivo di sottrarre direttamente del denaro all'azienda vittima. Nonostante sembri apparentemente semplice impedire questo genere di attacchi adottando, ad esempio, qualche regola di buon senso o applicando un controllo più approfondito della richiesta (contattando per esempio il richiedente con canali diversi da quelli usati per la richiesta stessa), questa tipologia di attacchi continua a causare ingenti perdite alle aziende (4) e rappresenta un fenomeno in costante crescita.
1
Un Cyber Criminale impersonifica un account E- mail aziendale per richiedere, ad esempio, una variazione degli estremi di pagamento di un fornitore.
2
L'ente ricevente procede alle variazioni richieste considerando legittimo e storicamente attendibile il richiedente.
3
Il Cyber Criminale riceve la somma di denaro al posto del destinatario originale e la ricicla.
Figura 2 - Schema di un attacco di tipo "Business E-mail Compromise"
ATTACCO CON MALWARE AVANZATI
I malware avanzati rappresentano una minaccia in forte evoluzione ed espansione: sono tipicamente costituiti da codici malevoli non riconosciuti dai comuni antivirus: questi ultimi infatti operano sul riconoscimento delle cosiddette "signature", ovvero di tracce di codice malevolo identificabili perchè preventivamente individuate e distribuite in campo dai fornitori di antivirus. Un tipico esempio di malware avanzato è costituito dai Ransomware, ovvero malware che criptano i dati aziendali rendendoli inutilizzabili a meno del pagamento di un riscatto.
I malware avanzati, generalmente, sono introdotti come allegati alle E-mail o sono direttamente scaricati dalle vittime ignare da link malevoli contenuti nelle E-mail stesse: in entrambi i casi allegati e link sono ritenuti erroneamente innocui dagli utilizzatori del servizio E-mail.
Nella Figura 3 è descritta a titolo d'esempio la tecnica di diffusione del malware tramite gli allegati che vengono scambiati con le E- mail stesse.
Dal momento che i documenti (PDF, Word...) prevalentemente scambiati con le E-mail, possono contenere direttamente del codice definito "attivo" o oggetti "embedded", per esempio Macro o Java Script, i Cyber Criminali sfruttano questa possibilità per nascondere il codice malevolo che viene poi eseguito all'apertura del documento per installare il malware vero e proprio o rubare dati. In particolare, nel 37% degli incidenti di sicurezza (6), sono stati usati JavaScript per veicolare il malware.
1
Un Cyber Criminale invia un messaggio di posta elettronica ad un account aziendale con un allegato Word contenente codice malevolo.
2
Il computer vittima riceve il messaggio, apre il documento e viene infettato dal malware con esso veicolato.
3
Il Cyber Criminale tramite il malware ha il controllo del computer attaccato e può rubare informazioni o prendere il controllo di ulteriori nodi della rete.
Figura 3 - Schema di un attacco realizzato con "Allegati Malevoli"
I malware avanzati in generale superano facilmentei controlli degli antivirus tradizionali e arrivano ad infettare il PC da cui sono aperti.
Una volta infettato il PC, il malware avanzato può agire in diversi modi, ad esempio criptando il disco e chiedendo un riscatto nel caso di Ransomware/ Cryptoloker o eseguendo direttamente operazioni di mining di cripto valuta in modo silente nel caso di virus miner (ovvero quei virus che sfruttano in incognito l'infrastruttura informatica per produrre cripto valute).
Quest'ultimo tipo di infezione in particolare arriva a compromettere gravemente le prestazioni dell'infrastruttura informatica aziendale perchè utilizza, per i propri scopi fraudolenti, memoria e capacità di calcolo necessarie al funzionamento delle applicazioni aziendali.
Nella Figura 4 sono schematizzate le principali fasi di un attacco con Malware avanzati.
1
Un Cyber Criminale invia un messaggio di posta elettronica ad un account aziendale con un Ransomware allegato.
2
Il computer vittima viene infettato e i file vengono criptati al fine di renderli inaccessibili all'utente se non con la chiave di decriptazione in mano all'attaccante.
3
Il Cyber Criminale riceve la somma di denaro (in cripto moneta). Nei casi migliori consegna la chiave di decriptazione all'utente, ma solitamente questo non avviene.
Figura 4 - Schema di un attacco con "Malware Avanzati" - Il caso Ransomware
Questo genere di attacchi è molto facile da implementare perchè sono disponibili risorse e strumenti per costruire il payload (il Malware vero e proprio) e adattarlo alle esigenze del cyber criminale che non ha quindi bisogno di essere un programmatore esperto, ma si affida a consulenze e servizi disponibili nel dark web a pagamento. L'obiettivo di questo tipo di attacchi tende a spostarsi dall'utente finale ai server che contengono dati (file server, database...) al fine di chiedere riscatti più consistenti vista la tipologia di dato presente in questi server aziendali (5). Gli impatti derivanti dalla perdita o compromissione di questo tipo di dato vanno ben al di là del valore dei dati stessi poichè possono anche causare alle aziende problemi di compliance con le regolamentazioni vigenti (es. GDPR) con conseguenze estremamente rilevanti sul business in termini di danno di immagine (a causa ad esempio dell'obbligo della notifica di violazione) e di danno economico (a causa delle possibili sanzioni).
3

DIFENDERSI È POSSIBILE

Difendersi dalle minacce veicolate tramite il servizio E-mail è divenuta oggi una priorità per poter garantire continuità al business e minimizzare così i rischi per le aziende; è necessario quindi adottare una strategia che si basi su due elementi.
TECNOLOGIE

È indispensabile utilizzare soluzioni tecnologiche adeguate alle minacce da fronteggiare ovvero garantire un aggiornamento costante della propria infrastruttura tecnologica.
COMPETENZE

Un team altamente specializzato (tipicamente un SOC - Security Competence Center) messo a disposizione dai gestori di soluzioni di sicurezza informatica (MSSP - Managed Security Service Provider) è in grado di gestire le varie tecnologie in campo e di mantenere un costante aggiornamento sulle evoluzioni delle minacce e delle relative contromisure.
Questi elementi sono componenti essenziali di un approccio integrato e devono essere quindi considerati e sviluppati nel tempo contemporaneamente: un errore che è possibile commettere infatti può essere quello di privilegiare, ad esempio, l'aspetto puramente tecnologico con ingenti investimenti trascurando invece quello delle competenze che è indispensabile per sfruttare la tecnologia. In quest'ottica può essere utile rivolgersi a fornitori di servizi di sicurezza gestita (MSSP - Managed Security Service Provider) che garantiscono, sia l'adeguamento tecnologico che la disponibilità di competenze adeguate, attraverso la fornitura di servizi gestiti.
4

STRATEGIA DI DIFESA

Per consentire agli utenti di usufruire in sicurezza del servizio E-mail, è necessario realizzare un livello di protezione in grado di implementare preventivamente le funzioni di analisi e pulizia del flusso E-mail stesso: in particolare tale livello di protezione ha la funzione principale di disinnescare gli oggetti malevoli prima che entrino nell'infrastruttura aziendale, lo stesso deve essere in grado anche di implementare i controlli base antispam e antivirus oltre a varie funzionalità più avanzate per assolvere allo scopo in modo efficace. Le principali funzioni che un efficace strato di protezione del servizio E- mail deve realizzare sono illustrate di seguito e schematizzate nella Figura 5.
1
Flusso E-mail in ingresso all'azienda, E-mail malevole e normale traffico E-mail.
2
Layers di protezione:

Antispam/ Antivirus

Business E-mail Compromise

Content Disarm and Reconstruction

Sandbox
3
I messaggi E-mail leciti vengono consegnati agli utenti sui server aziendali o sui servizi E-mail in cloud.
Figura 5 - Schema di protezione delle E- mail
ANTISPAM E ANTIVIRUS

Un layer di sicurezza di base che implementi in modo efficace il blocco dello spam e dei virus noti è fondamentale per scremare la maggior parte dei messaggi indesiderati. Fondamentale è affidarsi a soluzioni testate da laboratori indipendenti che misurano in modo regolare ed indipendente l'efficacia di tali filtri di protezione.
ANTI "BUSINESS E-MAIL COMPROMISE"

Una soluzione in grado di identificare i tentativi di impersonificazione mappando quelli che sono gli utenti sensibili di un'azienda analizzando le informazioni relative all'indirizzo E-mail e le intestazioni dei messaggi. Tutto questo al fine di rilevare l'uso di tale tecnica di compromissione in modo manuale o in modo dinamico ed automatico.
SANDBOX E ADVANCED THREAT PROTECTION

Soluzione in grado di verificare la presenza di malware evoluti o sconosciuti (Es. tipo 0 day/ APT) emulando quello che è il comportamento dell'utente finale in un ambiente virtuale. Un'analisi comportamentale dell'oggetto malevolo viene eseguita al fine di classificarlo o meno come oggetto malevolo e decidere se consegnarlo o meno al destinatario.
CONTENT DISARM AND RECONSTRUCTION

Una funzionalità che consente di separare il contenuto attivo dei documenti più noti (PDF, Word...) e consegnare all'utente finale un documento sanitizzato che non è più in grado quindi di portare il codice malevolo per cui era stato concepito. La versione originale del documento è comunque mantenuta al fine di consentirne il recupero, qualora l'utente valuti sicuri il suo contenuto e il mittente.
Per combattere efficacemente un nemico subdolo ed insidioso come quello costituito dagli attacchi portati tramite E-mail è dunque indispensabile, da un lato, utilizzare piattaforme di sicurezza evolute ed espressamente progettate per proteggere questo fondamentale canale di comunicazione e, dall'altro, affidarsi a soggetti, i Managed Security Service Provider (MSSP), in grado di sfruttarne in pieno le potenzialità. Alcuni MSSP, che sono anche fornitori di servizi di telecomunicazioni, dispongono infatti di piattaforme e servizi di protezione delle E-mail per le aziende, anche integrati nelle proprie reti e, generalmente, forniti in modalità cloud, in modo da poter garantire il massimo livello di protezione.
6

GLOSSARIO

Business Applications: si intendono le tipiche applicazioni utilizzate all'interno di un'azienda al fine di gestire il proprio business; esempi sono DropBox, Office 365, Salesforce.

Criptazione: si definisce il processo di offuscamento delle informazioni in forma non comprensibile. L'operazione di deoffuscamento (de-criptazione) delle informazioni è possibile con l'opportuna chiave segreta.

CryptoJacking: software malevolo il cui scopo è lo sfruttamento delle risorse di sistema (CPU) al fine di produrre (mining) criptovalute.

Criptovalute: valuta paritaria, decentralizzata e digitale la cui implementazione si basa sui principi di crittografia per la convalida delle transazioni e la generazione della moneta in sè (esempi di criptovaluta sono i Bitcoin, Monero...)

Darknet Marketplaces: è un sito web commerciale che opera nella darknet il cui scopo è la promozione e vendita di prodotti illegali (armi, software hacking, droga...)

Malware: indica un software progettato al fine di disturbare le operazioni svolte da un computer, rubare informazioni sensibili, accedere a informazioni sensibili, sfruttare risorse del sistema.
Ransomware: è un tipo di malware che limita l'accesso del dispositivo che infetta, richiedendo un riscatto (ransom in Inglese) da pagare per rimuovere la limitazione.

Vulnerabilità non Note (0-days): è una qualsiasi vulnerabilità di sicurezza informatica non pubblicamente nota, definisce anche il programma - detto "exploit" - che sfrutta questa vulnerabilità per eseguire azioni non normalmente permesse nel sistema in questione.

Clear Web: La porzione di Internet accessibile da tutti ed indicizzata dai motori di ricerca.

Deep Web: La porzione di Internet non indicizzata da motori di ricerca e non accessibile pubblicamente, in quanto protetta da credenziali.

Dark Web: Un sottolivello del Deep Web accessibile unicamente tramite indirizzi e dati di accesso, solamente utilizzando Software appositi.
Fastweb
Con più di 2.4 milioni di clienti, Fastweb è uno dei principali operatori di telecomunicazioni in Italia. L'azienda offre servizi voce e dati, fissi e mobili, a famiglie e imprese. Puntando sull'innovazione Fastweb ha sviluppato una rete nazionale in fibra ottica di 46.600 chilometri, con oltre 4 milioni di chilometri di fibra, e oggi raggiunge con la tecnologia fiber-to-the-home o fiber-to-the-cabinet circa 8 milioni di abitazioni e aziende. Entro il 2020 Fastweb raggiungerà con la rete ultrabroadband 13 milioni di famiglie (ovvero il 50% della popolazione), di cui 5 milioni con tecnologia Ftth e velocità fino a 1 Gigabit e 8 milioni con tecnologia FttCab e velocità fino a 200 Megabit per secondo. La società offre ai propri clienti un servizio mobile di ultima generazione 4G e 4G Plus. Entro il 2020 il servizio mobile verrà potenziato grazie alla realizzazione di una infrastruttura di nuova generazione 5G. Fastweb fornisce servizi di tlc ad aziende di tutte le dimensioni e alla Pa, alle quali offre connettività e servizi ICT avanzati, come l'housing, il cloud computing, la sicurezza e la comunicazione unificata. La società fa parte del gruppo Swisscom dal settembre 2007.
Relativamente ai servizi Data Center e Cloud, Fastweb ha costruito un'infrastruttura dedicata ai clienti Enterprise, basata su un Data Center di ultima generazione certificato Tier IV da Uptime Institute. Realizzato secondo gli standard più esigenti in termini di sicurezza e affidabilità esso è in grado di ospitare anche applicazioni e servizi "mission critical" tra i quali vi sono quelli erogati dall'infrastruttura Cloud di Fastweb dedicata alle imprese.

Tale infrastruttura è infatti concepita per garantire continuità e performance alle applicazioni di business. In particolare la piattaforma cloud IaaS (Infrastructure as a service) di Fastweb garantisce la totale segregazione logica e applicattiva degli ambienti dedicati ai singoli Clienti in modo da ottenerne il completo isolamento.

Grazie ai motori di Orchestration e Automation sviluppati internamente su piattaforma "aperta" Open stack, i sistemi cloud di Fastweb sono in grado di allocare risorse in maniera scalabile e in tempo reale in funzione del carico e dell'uso applicativo del singolo cliente secondo il modello Software Defined Data Center (le componenti di computing, network, storage e security sono virtualizzate e orchestrate da un'unica piattaforma).

Tutta l'infrastruttura cloud è gestita da team specializzati in centri di competenza e nuclei operativi di gestione dedicati rispettivamente a Data Center, infrastruttura IT e Security, in grado di supportare i Clienti dalla fase di progetto a quella di attivazione ed esercizio.
Per quanto riguarda in particolare i servizi dedicati alla sicurezza, Fastweb rende disponibili alle aziende una serie di servizi e soluzioni di IT Security attraverso il modello di Managed Security Service Provider.
Approfondisci navigando le nostre sezioni dedicate:

Tale modello prevede infatti che ciascuna azienda mantenga la totale autonomia nella definizione della Governance dell'IT Security in termini di livelli di rischio e conseguenti priorità di protezione di sistemi e informazioni e demandi invece la gestione operativa dell'IT Security ad un operatore esterno dotato di processi, competenze specifiche e piattaforme tecnologiche adeguate.

Fastweb, oltre a mettere a disposizione un centro di competenza dedicato alla progettazione di soluzioni di IT Security, si è dotata anche di un Security Operation Center (SOC Enterprise) dedicato esclusivamente alla gestione dei servizi di sicurezza per le Aziende. Il SOC Enterprise di Fastweb opera in Italia con personale italiano erogando un servizio con copertura H24 7gg/ settimana; è dotato di processi conformi alle normative con le certificazioni "ISO 9001 - Quality Management" e "ISO 27001 - information Security Management", gestisce piattaforme di sicurezza multi-tecnologia sia presso le sedi dei Clienti che centralizzate nell'infrastruttura Cloud di Fastweb, anch'essa con le medesime certificazioni oltre alla conformità alla norma "ISO 27018 - Privacy on Public Cloud". Con il proprio SOC Enterprise Fastweb gestisce direttamente migliaia di apparati e piattaforme di sicurezza operative presso le Aziende Cliente.
Vuoi maggiori informazioni? Chiedi ai nostri esperti
© Fastweb SpA 2019 - P.IVA 12878470157
 

ISCRIVITI ALLA NEWSLETTER