Andrew Rose (nella foto), President CISO EMEA di Proofpoint, analizza alcuni dei rischi informatici attuali e in via di sviluppo e come combatterli con un approccio alla sicurezza incentrato sulle persone.
Se la pandemia ha costretto le organizzazioni e i loro dipendenti ad adattarsi rapidamente al lavoro remoto, spetta allora ai CISO garantire che ciò avvenga tenendo conto della sicurezza per evitare che questa evoluzione possa essere sfruttata dai cyber criminali.
Sono numerosi i responsabili della sicurezza che hanno investito molto in strumenti tecnologici di controllo, come firewall e sistemi di rilevazione delle intrusioni, che si sono rivelati tendenzialmente efficaci nonostante richiedano molta manutenzione e aggiornamenti. Questo ha cambiato il modo di operare dei cyber criminali, poiché la tecnologia non è più il modo più semplice per accedere in azienda.
Quello che stiamo vedendo ora è uno spostamento importante dell’attenzione verso l’ingegneria sociale, ormai il principale vettore di attacco. Se un attaccante può rubare le credenziali di un utente legittimo, sarà in grado superare ogni tipo di controllo tecnologico e accedere a dati preziosi.
I criminali oggi tendono a concentrarsi sulle persone, e non più sulla tecnologia
Lo vediamo anche nei modelli di attacco, in cui quasi il 100% richiede all’utente di intervenire o di agire per avere successo. Non si tratta più di trovare il punto debole nel firewall perimetrale, ma un membro dello staff che faccia clic.
Molte organizzazioni hanno adottato il lavoro da remoto, e per questo hanno dovuto considerare come migliorare le attività e la collaborazione a distanza. L’adozione del cloud è stata molto rapida, tanto che sono in molti a non essere abituati alla nuova tecnologia, e questo dà agli hacker l’opportunità di lanciare attacchi come il phishing delle credenziali. Molti dipendenti usano i loro computer personali, e non quelli aziendali, ai quali possono mancare controlli di sicurezza di alto livello, dando ai criminali un ulteriore e significativo vantaggio.
Circa il 94% di tutti gli attacchi alla sicurezza sfrutta le e-mail, come ad esempio quelli di tipo Business Email Compromise (BEC) ed Email Account Compromise (EAC). I CISO ne sono consapevoli e sono preoccupati, ma in realtà è una minaccia molto più pericolosa di quanto essi stessi non si rendano conto, perché le difese dell’accesso sono davvero basse per un cyber criminale.
Non serve tecnologia sofisticata, né molte informazioni
Non c’è bisogno di sapere come violare l’ultimo firewall, basta essere in grado di inviare e-mail.
Il tasso di successo complessivo è relativamente alto, quindi diventa un vettore di attacco attraente ed è inoltre possibile che un cyber criminale commetta un crimine e lo mantenga a un livello piuttosto basso, stando lontano dalla stampa e fuori dai radar delle forze dell’ordine, offrendogli al contempo una vita relativamente soddisfacente. Di conseguenza, quello che stiamo vedendo è solo la punta dell’iceberg in termini di minaccia, ma nel complesso, è una grande preoccupazione perché un’enorme quantità di denaro può essere rubata attraverso questi attacchi.
Gartner prevede che questa minaccia raddoppi ogni due anni, mentre l’FBI ha stimato la perdita causata negli ultimi tra anni a 26 miliardi di dollari, quindi, è un grande rischio su cui i CISO devono essere più concentrati.
In termini di reputazione, la situazione diventa veramente preoccupante. Se un fornitore contattasse un cliente per informarlo del mancato pagamento di una fattura e quest’ultimo confermasse invece di averla pagata su un altro conto, avendo seguito proprio le sue indicazioni? Sarebbe davvero una situazione spiacevole. Se un’e-mail legittima di un’azienda avvisasse i clienti di effettuare i pagamenti su un conto alternativo, come ci si può comportare?
Bisogna stare molto attenti a non privare il cliente del diritto di recesso e a non infastidirlo chiedendogli denaro che crede di aver già pagato, e ammettere che il livello di sicurezza non è all’altezza.
È una corsa agli armamenti senza fine. Sono molti i modi in cui clienti e fornitori comunicano tra loro, e l’e-mail resta il principale. Di conseguenza, l’e-mail è il veicolo usato nella maggior parte di questi attacchi. Machine Learning e Intelligenza Artificiale possono essere applicati per essere sicuri di poter rilevare gli attacchi in continua evoluzione e impedire che raggiungano gli utenti, i quali potrebbero seguire le istruzioni dell’attaccante.
Non bisogna poi dimenticare la formazione sulla consapevolezza della sicurezza, per far sì che tutti gli utenti siano in grado di riconoscere gli attacchi e sapere come agire. Gli aggressori continuano a spostare l’obiettivo e ad avanzare, tutti di conseguenza devono poterlo fare.
Migrare al cloud fa crescere gli attacchi di social engineering
Non è solo il cloud. Consideriamo la tempesta perfetta che si sta verificando; ci sono elementi come la pandemia e l’ansia che ne deriva, legata alle pressioni finanziarie e all’insicurezza del lavoro. Questo dà ai cyber criminali il grande vantaggio, in questo momento, di poter creare situazioni emotive in cui la gente spegne la logica, clicca e apre subito un allegato, perché è preoccupata.
Il cloud intensifica questo fenomeno. Quando ci si sposta nel cloud, i dati escono dal perimetro aziendale, quindi bisogna fare ancora più attenzione.
Se si commette un errore, come quello di lasciare un database non protetto, la configurazione sbagliata non sarà più condivisa solo internamente, ma aperta a tutti, fuori dal perimetro. Se un attaccante riesce a impossessarsi di credenziali e identità, riuscirà a superare anche i sistemi di crittografia e le autorizzazioni di accesso. Per questo è fondamentale ricordare che ora le persone diventano il nuovo perimetro aziendale.
Il problema è che l’utilizzo delle tecniche di ingegneria sociale per rubare le identità dà ai cyber criminali accesso diretto ai dati e possono quindi monetizzarli e usarli per il proprio profitto, o contro l’azienda. Oltre il 99% degli attacchi richiede l’interazione umana, perciò gli attaccanti hanno bisogno che qualcuno clicchi su un link o apra un allegato.
Pertanto, i dipendenti possono svolgere un ruolo importante nella difesa di un’organizzazione.
Come può il CISO trasmettere una cultura di sicurezza in azienda?
È necessario iniziare dall’alto. Se il CEO non rappresenta un buon esempio in materia di sicurezza, nessun altro lo sarà. Servirà poi condividere tutte le azioni adeguate da compiere, capire perché siano importanti e valutare cosa potrebbe succedere se non si eseguissero, rinforzando la comunicazione con un flusso continuo di informazioni. Le persone desiderano comportarsi in modo corretto, ma spesso si concentrano solo sul lavoro, allontanandosi dalle migliori pratiche di sicurezza. Rafforzare i messaggi è il modo per far cambiare lentamente il vento e costruire una forte cultura della sicurezza.