Nel suo recente report Leadership Vision for 2024: security and risk management, Gartner ha dichiarato che “i responsabili di sicurezza e gestione del rischio devono passare a una strategia di cybersecurity incentrata sull’uomo.” Riteniamo che questo imperativo strategico sia perfettamente in linea con il nostro collaudato approccio alla cybersecurity. Il settore sta evidenziando il ruolo integrale che le persone svolgono negli attacchi informatici e le pone necessariamente al centro di una difesa efficace. Se accendere i riflettori sul rischio umano non può che essere positivo, resta da chiedersi perché questo fattore (rischio human-centric) sia venuto alla luce proprio ora. La risposta breve è che le prove sono schiaccianti. Quasi tre quarti di tutte le violazioni di dati coinvolgono un elemento umano. E non è difficile capire perché.
Nel suo report Gartner afferma che “il 67% delle persone utilizza le stesse password per più account; il 65% apre e-mail da fonti sconosciute sui dispositivi di lavoro e il 61% invia informazioni sensibili tramite e-mail non criptate”. Peggio ancora, “il 93% riconosce che queste azioni aumentano il rischio per l’azienda”. Il report State of the Phish 2024 di Proofpoint ha intervistato 7.500 utenti e rilevato che il 71% ha intrapreso azioni rischiose e il 96% di questi aveva ben chiaro cosa stesse facendo. Inoltre, l’85% dei professionisti della sicurezza ha dichiarato che la maggior parte dei dipendenti sa di essere responsabile della protezione, ma il 59% ha affermato di non esserlo affatto. Questi dati dimostrano che, in questo ambiente, la sicurezza incentrata sull’individuo è più una necessità che una scelta strategica. Il rischio human-centric va affrontato nella maniera adeguata.
Comprendere il rischio human-centric
Ormai molti conoscono il concetto di rischio human-centric. In breve, si tratta del rischio posto all’azienda dalle persone. Ma cosa significa in pratica? Il phishing potrebbe essere il primo a venire in mente, e a ragione. Da tempo è uno dei metodi preferiti dai criminali informatici che cercano di farsi strada all’interno delle imprese. Tuttavia, pur rimanendo popolare e altamente efficace, non è l’unico strumento incentrato sull’individuo. I rischi per le persone sono ovunque: dall’uso di credenziali rubate, dall’abuso di privilegi al malware, al ransomware, alla compromissione delle e-mail aziendali e a molte altre minacce cyber comuni. È possibile raggrupparli in quattro dimensioni del rischio umano per avere un quadro più chiaro del panorama delle minacce da affrontare attualmente.
Le quattro dimensioni del rischio umano
Minacce cyber, rischi all’identità, di impersonificazione e di perdita dei dati: sono tutte prevalenti lungo l’intera catena di attacco. L’e-mail resta il vettore di minaccia numero uno, il che significa che phishing, BEC e altri attacchi e-mail mirati all’individuo sono protagonisti della compromissione iniziale. Le identità umane sono un obiettivo per escalation dei privilegi e movimento laterale e le azioni umane sono una delle cause della perdita di dati.
Se si analizza il problema in questo modo, non c’è da stupirsi che Gartner lo consideri un imperativo strategico per le aziende. Il fattore umano non è un problema isolato, bensì è parte integrante di quasi tutti gli attacchi informatici e le società non vi investono in misura significativa rispetto al proprio livello di rischio e altri controlli.
Risolvere il problema umano
Usiamo la parola “risolvere” molto deliberatamente perché, pur essendo onnipresente e potenzialmente devastante, il problema del rischio umano è assolutamente risolvibile. Tuttavia, non esiste un’unica soluzione o rimedio per proteggersi dalle minacce incentrate sull’individuo. La mitigazione e la difesa richiedono una serie di capacità ampie e stratificate e se la posta elettronica rimane il primo punto di accesso in azienda, qualsiasi difesa efficace deve includere il blocco dei messaggi dannosi e il disarmo di questi attacchi.
La protezione dalle minacce via e-mail deve essere integrata con una difesa dalle impersonificazioni per analizzare il contenuto dei messaggi, i dati dei fornitori e la manipolazione degli indirizzi per individuare e scoraggiare lo spoofing. Dato che circa un terzo degli utenti invia e-mail sbagliate, qualsiasi soluzione deve avere anche capacità di evidenziare e bloccare tali incidenti.
Poiché l’escalation dei privilegi è ormai parte integrante del ransomware e della maggior parte degli attacchi avanzati, qualsiasi difesa efficace deve includere una componente di protezione dalle minacce all’identità. Una soluzione completa è in grado di individuare e bloccare i movimenti laterali, risolvere le minacce all’identità e attirare i malintenzionati a manifestare la loro presenza.
Le persone sono la linfa vitale di ogni azienda ed è quindi naturale che rappresentino i rischi maggiori. Il report Leadership di Gartner Vision for 2024: Security and Risk Management ha identificato il “passaggio a una strategia di cybersecurity incentrata sull’uomo” come uno dei soli tre imperativi strategici per i responsabili di sicurezza e gestione del rischio.
Ma questa protezione non è così semplice e richiede molto di più di un cambiamento nei messaggi di marketing o di un tocco di polvere magica dell’intelligenza artificiale. Necessita di controlli di sicurezza stratificati, addestrati per anni su milioni di punti di contatto e miliardi di dati sulle minacce in tutto il mondo, insieme a una sensibilizzazione mirata sulla sicurezza, per trasformare le persone da rischi a risorse per la cybersecurity.
A cura di Ryan Kalember, Chief Strategy Officer di Proofpoint