La sicurezza informatica è una delle priorità assolute per qualsiasi organizzazione, indipendentemente dalle sue dimensioni o dal settore di attività. Questa crescente attenzione è alimentata dalla sempre più sofisticata e mutevole natura delle minacce informatiche, che rappresentano una costante sfida per la protezione dei dati sensibili e delle risorse aziendali.
Oggi, più che mai, gli hacker cercano di penetrare nei sistemi informatici aziendali o di ottenere accesso alle informazioni aziendali, sfruttando abilmente il fattore umano, sia attraverso sofisticate tecniche di “Social engineering” (per approfondire: https://www.newcomm.it/cyber-security/lucy-security-human-firewall/), ossia attraverso l’inganno e la manipolazione psicologica, sia attraverso gli attacchi zero click e zero day che sfruttano falle nella protezione degli endpoints ossia dei dispositivi utilizzati per accedere alla rete aziendale. Gli attacchi zero click in particolare sono difficili da individuare e rappresentano un rischio significativo per tutte le organizzazioni e gli individui.
Che cos’è un attacco zero-click e come avviene
In un attacco zero click, vengono lasciate poche tracce, se non addirittura nessuna, sfuggendo così al rilevamento sia da parte del lavoratore ignaro sia dell’organizzazione colpita. Cerchiamo quindi di capire come funzionano gli attacchi zero-click, perché sono difficilmente rilevabili e quali sono le migliori pratiche per mitigare i rischi per i singoli individui e per le aziende.
Gli attacchi zero-click vengono eseguiti senza alcuna interazione da parte della vittima, a differenza degli attacchi di phishing, che si basano sul Social Engineering per trarre in ingannano gli utenti. Questa tipologia di attacchi può infettare un dispositivo (soprattutto i dispositivi mobili) senza che l’utente faccia click su di un collegamento malevolo, apra un allegato o installi un programma indesiderato. Sono particolarmente pericolosi proprio perché difficili da individuare e prevenire, inoltre consentono agli hacker di rimanere all’interno del sistema violato, senza essere scoperti, per un periodo molto prolungato, consentendogli di accedere a dati, intercettare comunicazioni o pianificare ulteriori azioni malevoli.
Come si verificano gli attacchi zero click?
- I criminali informatici riescono a sfruttare le vulnerabilità delle applicazioni e dei sistemi operativi dei dispositivi, in particolare i dispositivi mobili, grazie alle app di messaggistica.
- Il codice malevolo si nasconde facilmente all’interno di e-mail, messaggi di testo, file PDF, immagini e testo.
- Una volta ottenuto l’accesso, il codice viene attivato e infetta il dispositivo con uno spyware per accedere ai dati, e-mail, telefonate, messaggi di testo, accessi al sistema.
Le vittime inconsapevoli sono quindi sfruttate dai criminali informatici, che possono contare sull’accesso alla totalità dei dati dei loro dispositivi (comprese le app per password). Non è necessaria l’interazione dell’utente per lanciare un attacco zero-click; inoltre, qualsiasi traccia di attività dannosa o intrusione è praticamente invisibile. Una volta eseguito l’attacco, gli autori delle minacce iniziano a raccogliere informazioni sull’utente.
Le violazioni dei dispositivi e la compromissione dei dati possono includere:
- Raccolta di informazioni sull’utente, tra cui posizione, cronologia di navigazione, contatti, foto, messaggi e sostanzialmente qualsiasi altra informazione contenuta nel dispositivo.
- Installazione di software di sorveglianza (spyware) per ascoltare le conversazioni.
- Copia e Crittografia dei file e richiesta di riscatto.
Nel dicembre 2023, ad esempio, ricercatori hanno scoperto due vulnerabilità di sicurezza in Microsoft Outlook che, una volta combinate, consentivano ai criminali informatici di eseguire codice arbitrario sui sistemi interessati senza richiedere all’utente di compiere alcun click.
Recentemente è stato scoperto un exploit spyware zero click per iPhone nel programma iMessage di Apple. L’exploit era stato installato su dispositivi di membri del Parlamento europeo, legislatori, giuristi, giornalisti e membri di organizzazioni civili per violarne i dati.
Tre anni fa, WhatsApp è stata colpita da un attacco zero click attivato da una telefonata persa. Anche in questo caso ha consentito agli aggressori di caricare spyware nei dispositivi.
Gli attacchi zero-click sfruttano il più delle volte una vulnerabilità zero-day, ossia una qualunque vulnerabilità di un software o di un sistema operativo non nota ai suoi sviluppatori o nota ma non gestita. Queste vulnerabilità sono estremamente pericolose e hanno un forte impatto sulla sicurezza informatica delle aziende. La loro criticità è evidente: chiunque sia a conoscenza della debolezza di un software, ignota ai suoi stessi creatori, potrà utilizzarla a proprio favore per condurre attacchi hacker. Quando gli sviluppatori vengono a conoscenza della vulnerabilità e realizzano patch per risolverla, molto probabilmente l’attacco è già stato compiuto.
Come proteggersi da un attacco zero-click?
Gli attacchi zero-click sono progettati per aggirare la sicurezza degli endpoint, cosa che li rende particolarmente pericolosi per quelle organizzazioni che consentono ai collaboratori di utilizzare i propri dispositivi e di accedere al sistema informatico aziendale.
Per difendersi dagli attacchi zero-click, è importante adottare un approccio preventivo e proattivo alla sicurezza informatica basato su più livelli di protezione, in particolare è necessario adottare strategie quali:
- Utilizzare l’MFA (Multi-factor authentication): l’autenticazione multi-fattore aggiunge infatti un livello di sicurezza in grado di salvaguardare le organizzazioni dagli attacchi zero-click. Se un criminale informatico riesce a ottiene le credenziali attraverso una vulnerabilità nel software, l’MFA può impedirgli di utilizzare le credenziali per accedere al sistema informatico ed eseguire l’attacco.
- Eseguire aggiornamenti software regolari e applicare le patch: per ridurre il rischio di attacchi zero-click è fondamentale mantenere i software aggiornati e applicare le patch regolarmente. Gli sviluppatori rilasciano infatti frequentemente aggiornamenti per risolvere problematiche di vulnerabilità e gli utenti devono installarle tempestivamente per chiudere potenziali punti di ingresso agli hacker.
- Segmentare le reti: la segmentazione delle reti aziendali consente l’isolamento dei segmenti critici diminuendo la possibilità di movimento del malware e il suo potenziale impatto sul sistema informatico. Stabilendo rigidi controlli di accesso basati sui ruoli degli utenti, è possibile così limitare i danni in caso di attacco zero click.
- Implementare la sicurezza avanzata degli endpoint: le soluzioni di sicurezza degli endpoint hanno la capacità di rilevare e prevenire attacchi zero-click analizzando il comportamento del sistema, identificando attività anomale e bloccando i tentativi di eseguire codice sospetto.
FortiClient EMS: la soluzione di Fortinet per la protezione degli endpoints
FortiClient Enterprise Management Server (FortiClient EMS) è la soluzione di gestione della sicurezza scalabile e centralizzata degli endpoints (dispositivi). Attraverso FortiClient EMS è possibile amministrare in modo efficiente gli endpoints che accedono alla rete aziendale, condividendo in modo sicuro le informazioni e assegnando profili di sicurezza a ciascun dispositivo. FortiClient EMS è progettato per massimizzare l’efficienza operativa e la sicurezza e include funzionalità automatizzate per la gestione dei dispositivi e la risoluzione di criticità. Attraverso una suite di strumenti avanzati, FortiClient EMS offre così una protezione completa contro una vasta gamma di minacce informatiche inclusi gli attacchi zero click, consentendo alle aziende di mantenere i propri dati al sicuro e la propria rete protetta.
Le principali caratteristiche della soluzione FortiClient EMS sono:
- Gestione Centralizzata: è possibile gestire la sicurezza di tutti i dispositivi della rete da una singola console centralizzata. Questo semplifica notevolmente il processo di monitoraggio e controllo degli endpoints. E’ disponibile inoltre l’integrazione con Windows Active Directory.
- Protezione Multistrato: FortiClient EMS offre una protezione multistrato completa, che include antivirus, antimalware, firewall, protezione web. Ciò garantisce che i dispositivi siano protetti da ogni tipo di minaccia informatica. La funzione di web filtering monitora tutte le attività del browser web per applicare policy di web security e utilizzo accettabili.
- Accesso sicuro remoto (VPN ZTNA): Include tunnel sempre attivi e crittografati che supportano i controlli del livello, l’ammissione condizionale e la verifica continua di utenti e dispositivi.
- Controllo dispositivi USB: Questa funzionalità impedisce ai dispositivi USB non autorizzati di accedere all’host.
- Quarantena automatica dell’endpoint: la quarantena automatica dell’endpoint automatizza la risposta basata sulle policy quando viene attivata da eventi di sicurezza. Ad esempio, mette automaticamente in quarantena un endpoint sospetto o compromesso, per contenere i danni e prevenire gli attacchi.
- Aggiornamenti Automatici sulla sicurezza: grazie alla sua funzione di aggiornamento automatico, FortiClient EMS garantisce che tutti i dispositivi siano sempre protetti con le più recenti definizioni di virus e le ultime patch di sicurezza.
- Compatibilità e Scalabilità: FortiClient EMS è altamente compatibile con una vasta gamma di dispositivi e sistemi operativi, è facilmente scalabile per soddisfare le esigenze delle aziende di qualsiasi dimensione.
FortiClient EMS è progettato quindi per soddisfare le esigenze di sicurezza di piccole e grandi imprese, garantendo la protezione di tutti gli endpoints che accedono alla rete aziendale. Dopo aver installato il software sui dispositivi della rete, è possibile accedere alla console di gestione da qualsiasi browser web per monitorare lo stato di sicurezza, applicare policy di protezione e gestire gli aggiornamenti.
Conclusioni
Investire in soluzioni di sicurezza avanzata è essenziale per proteggere i dati aziendali e il sistema informatico da attacchi hacker. Con la sua gestione centralizzata, protezione multistrato e monitoraggio in tempo reale, FortiClient EMS offre protezione e sicurezza degli endpoints, indispensabile per mantenere l’azienda al sicuro e protetta dalle minacce informatiche.
Grazie alla partnership con Fortinet, siamo in grado di gestire soluzioni di sicurezza informatica, adatte a soddisfare un’ampia gamma di modelli di business e organizzazioni.