Ogni anno le maggiori aziende perdono sui 4 milioni di dollari a causa di attacchi di credential stuffing, stando ai risultati di una ricerca commissionata al Ponemon Institute da Akamai Technologies e presentata a Barcellona in occasione di “Edge” il tradizionale appuntamento annuale del gruppo americano svoltosi quest’anno per la prima volta in Europa.
Il credential stuffing consiste nell’uso truffaldino di ID e password da parte di organizzazioni criminali che, una volta entrate in possesso dei dati di accesso a un account, penetrano siti, applicazioni, servizi approfittando anche del fatto che, ad esempio nelle Vpn aziendali, le stesse credenziali aprono meccanicamente diverse porte. Una volta entrati nel muro aziendale, i criminali possono operare fraudolentemente o rubare informazioni confidenziali fino a quando non scatta l’allarme. A volte troppo tardi per riuscire ad evitare danni anche gravi. E non solo di immagine.
Secondo i rilevamenti di Ponemon, ogni azienda è vittima in media di undici attacchi di credential stuffing al mese col coinvolgimento di oltre mille user. Gli effetti si fanno sentire sia in termini di servizio sia monetari: blocco delle applicazioni (in media 1,2 milioni di dollari di danni), perdita di clienti (1,6 milioni di mancati incassi), intervento dell’IT security (1,2 milioni di costi aggiuntivi).
“Ormai ci siamo abituati all’idea che user ID e password rubate vengano commercializzate nel dark web – osserva Jay Coley, senior director Security Planning and Strategy di Akamai Technologies – Ma gli attacchi sono in crescita esponenziale e rappresentano una minaccia sempre più forte, anche se non sempre se ne ha adeguata consapevolezza”.
Le organizzazioni criminali (ma anche Stati e aziende concorrenti poco scrupolose) fanno ricorso crescente ai botnet, macchine che scandagliano e agiscono continuamente nel web moltiplicando i danni di una appropriazione di identità riuscita. “L’hacker individuale, in cerca magari solo di un po’ di gloria personale, è ormai marginale rispetto al peso delle organizzazioni nella cybercriminality. E questo vale anche per l’Europa. Il problema rischia di aggravarsi con la trasformazione digitale delle imprese che le esporrà sempre più sul web”, osserva Richard Meeus, director of Security Technology and Strategy Emea di Akamai.
Già ora, in realtà, la catena produttiva, commerciale e di relazione di moltissime aziende è sempre più esposta nella Rete. Dalla ricerca di Ponemon risulta che nella fase di produzione ogni azienda si interfaccia mediamente con 26,5 website di clienti moltiplicando così i potenziali punti di accesso a disposizione dei bot per rompere i muri di sicurezza aziendale. Le aziende devono infatti offrire login di accesso a differenti tipi di interlocutori, inclusi clienti con connessioni da desktop e laptop (87%), mobile web brouser (65%), terze parti (40%) e mobile app user (36%).
Un fenomeno di vulnerabilità viene dagli stessi dipendenti che potrebbero vedere attaccate le loro device (dal pc portatili agli smartphone) fornendo in tal modo porte spalancate per superare i firewall aziendali. La crescente mobilità operativa del personale non fa che accrescere i rischi delle difese aziendali di essere penetrate.
I tradizionali firewall si stanno dimostrando sempre più valicabili. Al punto che Forrester è arrivata a definire i perimetri di difesa aziendali “pittoreschi, se non addirittura pericolosi”. Tanto più quando la dimensione delle reti aziendali diventa globale con servizi sempre più decentrati nel cloud.
Non sorprende, dunque, che a Barcellona abbiano tenuto banco le soluzioni di “Zero Trust Security” che Akamai sta proponendo ai suoi clienti in abbinata con le soluzioni di edge cloud per il delivery dei contenuti su Internet. Invece di creare un firewall attorno ai server aziendali, è la filosofia di Akamai, si tratta di costruire un’interfaccia di difesa non attorno ad uno specifico server ma tra il device che chiede di accedere ad un’applicazione ed il luogo dove sono conservati i dati. In questa maniera il device non ha mai un accesso diretto a dove sono conservati i dati.
Se ne parla da tempo, ma ora la “zero trust security” sembra imboccata con decisione, tanto che Akamai sta mettendo a punto sistemi di controllo che arrivano ad individuare, grazie al movimento dello smartphone o del mouse, se ad agire è un uomo o un bot minaccioso. Ma persino a capire, pur se per ora siamo in fase di studio, se a mandare gli input è veramente la persona autorizzata a quell’operazione o qualche altro individuo che si spaccia per essa. Problematiche che si faranno ancora più critiche con la diffusione dell’Internet of Things e di miliardi di oggetti connessi.
Non sorprende che all’interno del business di Akamai il settore della sicurezza sia “quello che cresce di più” come ha annunciato a Barcellona il ceo e cofondatore Tom Leighton.
