I cybercriminali cercano e trovano costantemente nuovi modi per condurre attacchi a governi e organizzazioni di diverso tipo e grandezza. La loro capacità creativa è notevole, come dimostrano le tecniche più efficaci di diffusione di malware, le tecniche di attacchi DDos oppure quelle per sferrare offensive che sfuggono ai controlli di accesso alle reti implementati dalle organizzazioni come modelli di difesa.
La creatività non va per forza di cose a braccetto con la propensione all’innovazione, non implica sempre lo scovare qualcosa di sorprendentemente avanguardistico. Significa mettere in collegamento ciò che c’è e farne uso per smarcarsi da ciò che appare anomalo al pensiero lineare, salvo poi apparire scontato in un secondo momento, quando i giochi sono fatti. Un caso su tutti: gli hacker stanno cercando di sfruttare le vulnerabilità note, perché quelle 0-day finiscono subito nelle priorità di chi si occupa di difesa.
Indice degli argomenti
Le tre C suggeriscono la quarta
Una buona security verte sul principio delle 3C, ossia Comprehensive (completa), Consolidated (consolidata) e Collaborative (collaborativa).
Il concetto di completezza è strettamente legato alla sempre maggiore sofisticatezza degli attacchi e, come il nome suggerisce, verte a proteggere qualsiasi possibile vettore, ossia email, web application, server, client, dispositivi mobili, dispositivi IoT e via dicendo. Questa difesa a 360 gradi tiene conto di tecniche offensive sempre meno convenzionali e, di suo, questa considerazione induce a sollecitare la quarta C, ossia la creatività.
L’aspetto relativo alla necessità che le difese siano consolidate prevede la riduzione dell’assunzione di più tecnologie di difesa che si concentrino su uno o su un altro vettore. Una ricerca dell’azienda di sicurezza Check Point (i dati risalgono al 2020) mostra che il 49% delle oltre 400 aziende consultate, usa fino a 40 diverse tecnologie di difesa.
Questo tende a creare dei “punti ciechi”, ossia delle aree dell’infrastruttura IT non protette al meglio delle necessità e non è un caso che il 69% delle organizzazioni si dica propensa al consolidamento degli strumenti di sicurezza in uso. Riuscire a farlo, trovando uno, due o comunque pochi fornitori di tecnologie che garantiscano la piena copertura del perimetro aziendale e degli endpoint può non essere facile e anche questo, almeno in linea teorica, pretende una certa propensione ad aguzzare l’ingegno.
L’implementazione di un motore di sicurezza, da applicare a tutti i vettori, avvantaggia la raccolta di informazioni sulle minacce tra tutti i segmenti dell’architettura IT e, non di meno, feed e alert devono essere condivisi tra tutte le persone che, all’interno e all’esterno dell’azienda, sono deputate alla difesa. Possono bastare le API messe a disposizione dai fornitori di software e tool di cyber security ma, anche in materia di collaborazione, essere creativi è un atout.
La quarta C, la creatività
Pensare in modo creativo, liberare l’intuizione, attingere laddove non si sarebbe attinto altrimenti. Un suggerimento lo dà Aarthi Krishna di Capgemini: poiché gli hacker provengono da diverse regioni del mondo, i team di cyber security dovrebbero essere composti da persone di etnie e di culture diverse per miscelare tra loro prospettive e approcci alla security diverse.
Questo però è un consiglio pratico, ci sono attitudini che possono essere difficilmente misurate, proprio perché rientrano nella definizione di soft skill. Si può partire dicendo che chi lavora nella cyber security si trova spesso confrontato con problemi per i quali non ci sono né manuali operativi né documentazione esaustiva. Non solo: riuscire a intuire e anticipare le mosse della criminalità cyber richiede una buona dose di creatività, quasi a emulare il pensiero degli attaccanti, quel “pensa come loro” tipico dei film.
Il ruolo esclusivamente reattivo non è più adatto alla cyber security, benché la pronta risposta alle minacce e agli attacchi sia ancora determinante. Gioca un ruolo sempre più capitale la capacità di protezione preventiva, perché policy restrittive e controlli degli accessi non sono più sufficienti a mitigare i pericoli a cui ogni organizzazione è potenzialmente esposta.
Allo stesso modo, la creatività diventa essenziale nel formare i dipendenti ai principi di sicurezza. La teoria è pesante, soprattutto per chi non è particolarmente avvezzo all’argomento e si concentra malvolentieri sulle precauzioni. Le simulazioni non programmate di un attacco DDos o di un attacco phishing sono molto più istruttive e mostrano in modo pratico quali azioni devono essere intraprese dai dipendenti, dando così un senso al processo formativo. È gamification, e come tale può coinvolgere anche i collaboratori più restii e, non da ultimo, consente di identificare le persone più sensibili all’argomento (key user) e fare leva su queste per tenere alta la guardia all’interno di ogni singola unità operativa.
