La pericolosità del cybercrime sta nel fatto che produce minacce per la cybersecurity in continua evoluzione. Tuttavia, esiste una costante nel comportamento dei cybercriminali: gli attacchi che sfruttano la posta elettronica. Da una parte le email si confermano il principale strumento di comunicazione aziendale, dall’altra sono anche il primo vettore di attacco sfruttato per violare la sicurezza degli ambienti IT. La posta elettronica, se gestita in modo errato, diventa l’ingresso principale per allegati pericolosi e tentativi di phishing. A fronte di questa situazione, è necessario implementare delle soluzioni di email security adeguate e integrate con l’opportuna formazione dei collaboratori, per mettere al sicuro gli account aziendali.
Email security, perché gli hacker attaccano via mail
La mancata progettazione in ottica cybersecurity della posta elettronica è ancor oggi uno dei motivi principali di vulnerabilità strutturale dell’intera infrastruttura IT. Il protocollo SMTP, ancora oggi utilizzato frequentemente per le email in uscita, è uno dei più obsoleti di Internet ed è stato creato senza le opportune valutazioni sulla sicurezza: la priorità a suo tempo era garantire la semplicità per gestire decine di connessioni al secondo.
Questa visione semplicistica si è tradotta spesso in vulnerabilità, per diversi motivi:
- ogni email può essere intercettata e il suo contenuto letto da un hacker, che si “intromette” tra mittente e ricevente. Le email, spesso, non vengono criptate, quindi possono essere lette da tutti;
- un messaggio email viene registrato circa quarantacinque volte lungo il percorso tra mittente e destinatario, su diversi server distribuiti in rete. L’hacker che si posiziona su questo nodo può riuscire a leggere i messaggi email;
- manca l’autenticazione del mittente: vulnerabilità sfruttata per gli attacchi phishing.
Un attacco sempre più utilizzato dagli hacker è quello relativo all’Email Account Compromise (EAC) che utilizzando varie tattiche, come password spray, phishing e malware, compromette gli account, ottenendo l’accesso a caselle di posta legittime.
Spesso questo può essere parte di un attacco kill chain più lungo che coinvolge vari utenti, diversi da quello apparentemente attaccato. La posta elettronica viene usata nella fase di delivery come mezzo preferenziale per far arrivare un attacco a destinazione, sia esso tramite un file allegato, un URL o tramite un tentativo di frode.
Secondo una ricerca Gartner, fino al 2023 gli attacchi EAC continueranno a raddoppiare ogni anno, provocando danni superiori ai 5 miliardi di dollari globali.
Minacce email, ecco gli attacchi che sfruttano la posta
I tipi di attacchi che sfruttano la posta elettronica sono molteplici e spesso si combinano tra loro per dar vita a una minaccia molto più potente ed efficace.
Parliamo di:
- Allegati e URL malevoli che veicolano exploit e malware. In questo modo si mette a repentaglio la business continuity e l’hacker può sottrarre dati oppure ottenere l’accesso a un sistema remoto.
- Tecniche di phishing che cercano di far compiere agli utenti azioni come il download/apertura di un file, l’apertura di un link, richieste di pagamento fraudolente. Lo spray phishing è un attacco che fa leva sulla quantità di destinatari molto elevata senza particolare attenzione alla qualità del messaggio inviato. Invece, particolarmente pericoloso è lo spear-phishing o tecnica dell’Impersonificazione, che avvalendosi dell’intelligenza artificiale genera messaggi imitanti lo stile di scrittura dei contatti personali. Per fare ciò l’hacker usa diversi metodi:
- Mail inviate con un dominio di posta modificato
- Mail contenenti il nome mittente modificato e/o che sfruttano il fatto che gli smartphone visualizzano solo nome e cognome non tutto il dominio nella visualizzazione rapida
- Mail contenenti domini con nomi simili a quello fidato.
L’impatto causato da un attacco di spear-phishing si basa spesso su un’infezione malware della rete, con conseguenti perdite monetarie causate da bonifici, ma anche indirettamente, con lesioni alla reputazione.
Lo spear phishing provoca spesso anche il furto di credenziali o di account email per dare vita a ulteriori attacchi dello stesso genere in tempistiche diverse.
In sostanza, se gli attacchi email sono in continua evoluzione, i protocolli email sono, di conseguenza, sempre più obsoleti. Ogni organizzazione dovrebbe quindi implementare la giusta soluzione di email security per proteggersi dagli attacchi kill chain su tutti i device e per ogni infrastruttura di posta elettronica.
Cisco Secure Email, insieme ad un’adeguata formazione per tutto il personale aziendale, rappresentano dei tasselli fondamentali nella nostra proposta di Security LifeCycle.
Cisco Secure Email
Il tema della email security viene affrontato da Cisco con una combinazione di soluzioni.
Cisco Secure Email è una soluzione storica di Cisco nel mondo mail security e top player da diversi anni nel Secure Email Gateway – Market Quadrant di Radicati. Questa soluzione è adatta alle organizzazioni di qualsiasi dimensioni e complessità ed è indicata sia per le realtà che necessitano di soluzioni best of breed, per un controllo completo e granulare sui flussi in transito, sia per le organizzazioni di medie dimensioni che vogliono attivare layer di sicurezza avanzati senza perdersi in troppe customizzazioni.
La possibilità di attivare l’appliance come cloud subscription, ne rende facile l’adozione senza andare ad impattare sull’infrastruttura aziendale in termini di consumo di risorse. Si adatta bene a tutte le tipologie di deployment e si integra con soluzioni di posta on-premise di qualunque tipo, in locale o in cloud.
Cisco Secure Email, le funzioni
La soluzione implementa un security mail gateway in grado di intercettare il flusso di posta tramite modifica dei record MX, una soluzione presente in diversi formati: appliance, virtual appliance e servizio cloud (appliance as a service).
Offre un set di configurazioni molto avanzate per gestire i flussi di posta in entrata e in uscita che prevedono un controllo granulare delle configurazioni dei motori security che includono:
- funzionalità di controllo avanzate del mittente verificando IP e record DNS del dominio mittente;
- funzionalità avanzate antispam e antivirus;
- funzionalità next generation antimalware che si integrano con la sandbox cloud ThreatGrid e che permettono di andare a pulire anche in retroazione le caselle di posta Exchange e Office 365;
- outbreak filters: integrazione con threat intelligence (Talos) per correlare le osservazioni locali con le campagne di attacco attive a livello globale e/o regionale al fine di indirizzare le campagne zero-day;
- content filters: possibilità di impostare filtri condizionali anche molto granulari che permettono per esempio l’analisi in tempo reale degli Url contenuti nelle mail o la rilevazione impersonificazioni
Cisco Secure Email Cloud Mailbox per Office 365
Cisco prevede anche una soluzione aggiuntiva specifica per le email nel cloud di Microsoft Office 365: Cisco Secure Email Cloud Mailbox.
Questa soluzione di sicurezza si integra via API e non richiede nessuna modifica nel flusso di posta e nei record MX.
La sua principale caratteristica è la semplicità d’uso e la rapidità con cui si configura e si rende operativa in un contesto O365 in produzione.
Essa comprende i layer di sicurezza sender reputation, antispam, antivirus, antimalware con integrazione della Sandbox.
L’elemento distintivo sta proprio nella semplicità delle configurazioni con meno granularità ma sicuramente con una maggior facilità d’uso e la possibilità di implementare sicurezza anche nei flussi di posta interni all’organizzazione.
Lantech Longwave propone questa soluzione per le organizzazioni che hanno O365 con due diverse declinazioni:
- nelle PMI per chi vuole una soluzione semplice, veloce e al contempo efficace;
- nelle organizzazioni “mature” termini di security che hanno adottato la soluzione mail gateway sul “perimetro” del proprio dominio di posta e vogliono visibilità e sicurezza anche per i flussi interni.
Email security, Lantech Longwave & Cisco
Lantech Longwave vanta da più di vent’anni una esperienza verticale sulle tecnologie network e network security Cisco con i massimi livelli di certificazione che il Vendor riconosce (CCIE/CCNP R&S, Security e Collaboration). Grazie al continuo sviluppo di competenze attraverso laboratori e training il nostro staff tecnico e di progettazione si mantiene sempre aggiornato allo stato dell’arte delle tecnologie e del design.
In particolare sul fronte email security Lantech Longwave realizza progetti per aziende Enterprise e Mid-Market con deployment in realtà con oltre 2500 caselle di posta. Il continuo aggiornamento sulle tecnologie Cloud e sulle integrazioni via API ci rende il Partner ideale con cui fare sicurezza anche in questi nuovi contesti.
Ma c’è di più: Lantech Longwave pone massima attenzione alle persone!
La formazione dei collaboratori aziendali per renderli consapevoli dei rischi della rete e dei potenziali pericoli presenti nelle caselle e-mail è una delle sfide che tutte le aziende devono affrontare.
Non è sufficiente implementare una soluzione tecnologica di cybersecurity senza creare la “cultura della sicurezza IT” in azienda.
La formazione del personale soprattutto attraverso le simulazioni di attacchi phishing, con il relativo monitoraggio dei comportamenti e le adeguate azioni correttive e formative per i singoli individui, sono un’attività fondamentale per tutte le realtà.
Abstract contenuti: Digital360.it