Conoscere la provenienza dei tentativi di accesso

Gli attacchi informatici nel campo della geopolitica giocano un ruolo sempre più importante. Il 2020 è stato un anno intenso durante il quale la pandemia è diventata oggetto di campagne di disinformazione e si sono verificati gravi incidenti a causa di gruppi vicini a poteri stranieri. Uno dei casi più eclatanti del 2021 risale solo a poco tempo fa: il governo tedesco ha rivelato di avere "notizie certe" secondo cui i recenti attacchi informatici sferrati contro gli Stati membri dell'Unione europea sarebbero opera di "attori" russi legati al GRU e ai servizi segreti russi.

Questa campagna informatica è stata soprannominata "Ghostwriter" e, secondo un comunicato stampa rilasciato dal Consiglio europeo, avrebbe preso di mira "numerosi parlamentari, autorità governative, politici, rappresentanti della stampa e membri della società civile dell'UE". Gli hacker avrebbero sfruttato e-mail di phishing per rubare le credenziali, accedere ai sistemi e appropriarsi di informazioni sensibili.

Gruppi di minacce persistenti avanzate (APT)

In uno scenario come questo, proteggere le credenziali degli utenti diventa ogni giorno più importante, soprattutto se si considera che le password aziendali violate sul dark web sono aumentate del 429% rispetto al marzo scorso.

Tuttavia, al di là di queste massicce lacune in cui i malintenzionati mettono in vendita enormi moli di dati, casi come Ghostwriter dimostrano che i gruppi APT connessi allo Stato e altamente mirati rappresentano anche un serio rischio per la sicurezza delle credenziali di un'organizzazione.

Questi hacker dispongono delle risorse per indagare individualmente sulle loro potenziali vittime e sui rispettivi ambienti di lavoro. Dopo aver eseguito questa ricerca preliminare, si avvalgono di tecniche basate sul social engineering, come lo spear phishing, in cui mirano a confondere il bersaglio fingendosi un collega, un membro del team IT o persino un superiore (nella cosiddetta "frode del CEO"). Così facendo, riescono a ingannare la vittima per ottenere le sue credenziali, anche se è esperta in pratiche di sicurezza informatica.

Poiché tali minacce sofisticate provengono dall'estero, c'è da chiedersi come le organizzazioni e gli Stati possano proteggersi per contrastare le violazioni e gli attacchi criminali sferrati da determinate aree geografiche? Una delle risposte a questa domanda è l'autenticazione a più fattori con la geolocalizzazione.

MFA con policy di rischio geofence

I politici, le autorità e le altre persone interessate dalla campagna Ghostwriter avrebbero potuto evitare l'accaduto se le loro organizzazioni avessero implementato strumenti di sicurezza informatica capaci di fornire specifiche misure di geofencing contro i tentativi di accesso dalla Russia, considerati i precedenti.

Queste misure devono però essere combinate con soluzioni avanzate di autenticazione a più fattori (MFA) che offrono funzionalità di autenticazione basata sul rischio per garantire che chi inserisce le credenziali di accesso sia un utente o un dipendente autorizzato.

A tal proposito, WatchGuard AuthPoint offre un livello di sicurezza avanzato utilizzando l'autenticazione basata sul rischio per determinare i fattori durante il processo decisionale. Ad esempio, gli amministratori possono attivare policy di rischio geofence (in tutta facilità tramite WatchGuard Cloud) per consentire l'accesso solo in aree geografiche autorizzate, anche se viene eseguito su dispositivi apparentemente legittimi.

L'aspetto positivo dell'autenticazione basata sul rischio è che tiene conto dei fattori di rischio nel processo decisionale relativo all'autenticazione. Il metodo va oltre l'autenticazione statica, consentendo agli amministratori di creare regole che modificano il comportamento dell'autenticazione, a volte facilitandola se il rischio è basso, oppure richiedendo azioni aggiuntive per verificare che l'utente sia quello corretto, bloccando l'accesso se il rischio è troppo elevato anche se è stata fornita una password temporanea corretta.

Aggiungere valore se sei un fornitore di servizi gestiti (MSP)

I partner WatchGuard possono offrire ai propri clienti una maggiore sicurezza nei processi di autenticazione attraverso notifiche push che includono la geolocalizzazione, permettendo così sia agli amministratori che agli utenti di conoscere l'esatta provenienza della richiesta. Questo riduce notevolmente la probabilità che gruppi APT stranieri riescano ad accedere ai sistemi, anche se in passato ne hanno rubato le credenziali.