Puntuale come ogni anno IBM Security ha rilasciato i risultati del “Cost of Data Breach”, il report che, basandosi sull’analisi accurata delle violazioni di dati subite da oltre 500 organizzazioni mondiali, esamina l’impatto finanziario di questo fenomeno sulle aziende. Secondo il Report, nel contesto italiano ogni violazione ha un costo mediano di 2.9 milioni di euro e, come per altri paesi, il valore è destinato ad aumentare nel corso del tempo.
Il report ha inoltre evidenziato che il furto e la compromissione delle credenziali, oltre alle configurazioni errate dei server cloud, rappresentano le vulnerabilità più comuni, che causano quasi il 40% dei cyberattacchi. Lo studio di IBM rivela infatti che nel 2019 oltre 8,5 miliardi di record sono risultati vulnerabili e che in 1 caso su 5 gli attaccanti si sono serviti di e-mail e password non adeguatamente protetti per sferrare i propri attacchi.
Il fattore umano è l’anello debole della filiera di sicurezza
Questi risultati ci dimostrano ancora una volta che, nonostante i consistenti investimenti delle aziende in infrastrutture di sicurezza in grado di fronteggiare il cyber crime, molto spesso le organizzazioni devono fare i conti con una problematica che le affligge da sempre: il fattore umano. Quest’ultimo rappresenta infatti, molto spesso, l’anello debole della filiera della sicurezza. Le aziende possono infatti investire nella miglior tecnologia al mondo per mettere al sicuro i propri asset, ma la disattenzione, la superficialità e uno scarso livello di awareness dei propri dipendenti sono gli ingredienti che più spesso si trovano alla base di numerosi incidenti cyber che nascono da password poco sicure, facili da forzare o dal cosiddetto fenomeno del password reuse, ovvero il riutilizzo della stessa chiave d’accesso per numerosi siti e servizi online.
È oggettivamente complesso riuscire a ricordarsi decine o centinaia di credenziali diverse, ma specialmente il password reuse (una “pratica” che seguiamo tutti) rappresenta un rischio non soltanto per la sfera personale ma anche per l’azienda alla quale le persone appartengono. Ogni sito dove ci registriamo può essere compromesso e c’è un rischio oggettivo che quella password finisca nelle mani di un attaccante.
Considerato che lo username molto spesso è l’indirizzo e-mail utilizzato per la registrazione, è immediato per gli attaccanti provare ad accedere con le medesime credenziali compromesse ad altri sistemi/servizi: ovviamente non effettuano questi “tentativi” a mano ma mediante degli script / bot molto evoluti.
A distanza di qualche ora dalla compromissione hanno già “testato” il funzionamento di tutte le credenziali compromesse su centinaia di servizi… comprese le piattaforme di posta, i servizi cloud e VPN aziendali. Nel momento in cui l’attaccante vuole condurre un attacco “mirato” a una specifica azienda è comune iniziare proprio dagli archivi di data breach: identificano (ad esempio tramite Linkedin) i dipendenti “interessanti” dell’azienda target e ricercano la presenza di informazioni, in primis credenziali, nei data breach.
Sfruttando poi le convenzioni (ad esempio l’indirizzo email è spesso nome.cognome@azienda.com) e i limiti della mente umana (è comune usare la stessa password “radice” e modificarla aggiungendo dei numeri sequenziali), grazie alle informazioni ottenute nei data breach, aumentano drasticamente la possibilità di ottenere un accesso non autorizzato.
Una piccola (in realtà non così piccola) superficialità nella scelta della password o il fenomeno del password reuse possono quindi trasformarsi in una vera e propria “catastrofe”: basti pensare alla mole di dati sensibili (non solo inerenti all’azienda stessa ma anche su clienti e partner) che possono essere contenuti in una casella di posta elettronica aziendale.
Oltre al password reuse, un’altra problematica con cui le organizzazioni si trovano a dover fare i conti è l’utilizzo da parte dei propri dipendenti di password deboli, comuni e che spesso sono già state violate. Per poterla ricordare velocemente e facilmente, l’utente sceglie brevi e semplici stringhe numeriche o nomi propri, come dimostrano le periodiche classifiche online relative alle password meno sicure e più usate.
Strumenti per la verifica di account violati
Fortunatamente nel panorama attuale, esistono numerosi siti e tool che permettono alle organizzazioni di verificare in pochi secondi e gratuitamente se i propri account aziendali o personali sono stati violati. Uno tra i più popolari è sicuramente “Have I Been Pwned?” (la cui traduzione in italiano potrebbe suonare come un “Sono stato fregato?”), fondato nel 2013 dall’esperto di sicurezza online Troy Hunt, ci permette di sapere che al momento gli “Pwoned sites” sono 473 e gli account compromessi superano i 10 miliardi… dunque le probabilità che vi sia anche il vostro sono molto alte!
Per sapere se effettivamente è così, è sufficiente accedere al sito e inserire il proprio indirizzo e-mail nella barra di ricerca in homepage per scoprire se questo è associato ad un account compromesso, specificando anche quando e come questo è avvenuto. Il meccanismo del sito è piuttosto semplice ed è basato sulla verifica della presenza dello specifico indirizzo e-mail o della password nel database (costantemente aggiornati) dei data breach “noti”.
Inoltre, per gli utenti che decidono di iscriversi al sito, esiste la funzione di notifica “Notify me”, grazie alla quale è possibile ricevere un messaggio automatico dal sistema HIBP nel caso in cui il proprio username o indirizzo di posta elettronica dovesse essere finito nelle mani di qualche attaccante ed essere vittima di furto di qualche data breach. Nella sezione “Who’s been pwned” è possibile invece visualizzare una sorta di “archivio” dell’entità e delle dimensioni di tutte le violazioni di dati registrate fino a quel momento.
Un altro interessante (e, ancora una volta, gratuito!) tool è Password Exposure Test, messo a disposizione sul proprio sito dal nostro Partner KnowBe4. Il software è in grado di verificare in pochi secondi il livello di sicurezza di ogni password presente nell’Active Directory aziendale, restituendo un report dettagliato (e facilmente scaricabile) in cui vengono evidenziati quali account non hanno superato il test e le singole vulnerabilità che sono state riscontrate. L’analisi viene effettuata prendendo in considerazione ben 12 diverse vulnerabilità tra cui:
- Weak Password: il test esegue un match tra le password presenti nella vostra AD e quelle contenute nel “Weak Password Dictionary” di KnowBe4, una raccolta di password molto comuni, spesso utilizzate ed estremamente facili da scoprire per gli attaccanti.
- Breached Password: il PET esamina la presenza di password associate a un indirizzo e-mail del vostro dominio che è stato vittima di un data breach. Come viene eseguito il match? Il test prende in esame un database di breached data che contiene oltre un miliardo di password violate e cerca eventuali corrispondenze con quelle degli account del vostro AD.
Best practices
- Porre estrema attenzione alla “password quality” e alla password security.
- Monitorare la qualità e l’indice di compromissione delle credenziali aziendali (magari utilizzando gli strumenti sopra citati).
- Sfruttare al massimo un secondo fattore di autenticazione (messo molto spesso a disposizione dai Cloud Provider come Google, Microsoft etc.).
- Evitare il password reuse e utilizzare password diverse per ogni servizio con consapevolezza dei limiti della mente umana.. e delle frontiere della pigrizia mentale adottando strumenti per salvare in maniera sicura le credenziali.
