La migliore strategia di difesa di fronte ad attacchi informatici sempre più sofisticati e mirati è sicuramente la cyber security awareness, la formazione continua in tema di sicurezza informatica. La maggior parte degli incidenti di sicurezza, infatti, è dovuta ad errori umani a conferma del fatto che il cosiddetto “fattore H”, il fattore umano, rimane il punto debole della cyber security in azienda.
Indice degli argomenti
Cyber security awareness: lo scenario
Alcune stime parlano, addirittura, di un 80-90% di incidenti informatici riconducibili a errori umani o comportamenti errati del personale. Errori involontari, dovuti a negligenza e disattenzione del personale interno all’azienda, ma anche intenzionali compiuti da lavoratori infedeli che effettuano operazioni di sabotaggio ai danni della propria organizzazione. Ecco perché è importante investire in formazione del personale, nella cyber security awareness, per creare la necessaria consapevolezza nelle persone di quelle che sono le minacce informatiche e i pericoli insiti nelle nuove tecnologie. Solo in Italia, ad esempio, secondo il Rapporto Clusit 2019, il 53% degli attacchi alle organizzazioni nazionali è dovuto a cosiddette cause endogene:
- password deboli;
- utilizzo di dispositivi mobile aziendali su reti Wi-Fi non sicure;
- navigazione Web su siti non sicuri;
- scambio di informazioni riservate mediante chiavette USB non cifrate.
Sono in aumento, inoltre, gli attacchi di phishing e spear phishing, con impatti significativi sulle aziende sia in termini di frodi e dati rubati sia di costi operativi per riparare i danni materiali ed economici causati dagli incidenti informatici. Sempre dal Rapporto Clusit 2019 si evince che lo scorso anno oltre 16 milioni di utenti della rete, più di un terzo della popolazione adulta (37%), sono stati colpiti da attacchi informatici. I danni si attestano a quasi 3,5 miliardi di euro e a più di 2 giorni lavorativi in media per utente occupati a rimediare ai problemi generati.
Cyber security awareness: conoscere gli aggressori
È dunque importante acquisire quella necessaria cyber consapevolezza necessaria per capire le motivazioni che spingono i criminal hacker nelle loro scorribande malevoli su Internet. In questo modo è possibile identificare quelli che potrebbero essere i possibili obiettivi e quindi essere in grado di preparare le necessarie contromisure. A tal proposito, in occasione del Cyber Security Awareness Month, il mese della sicurezza informatica celebrato lo scorso ottobre, DXC Technology ha pubblicato un report in cui vengono indicati i cinque principali tipi di cyber attaccanti:
- criminali informatici sostenuti da stati sovrani;
- gruppi organizzati di criminali informatici;
- hacktivisti;
- hacker “lupi solitari”;
- minacce interne.
Ognuno di questi attaccanti ha ovviamente le proprie motivazioni e i propri scopi, ma tutti sono accomunati da un unico obiettivo che è quello di colpire le proprie vittime cercando di arrecare il maggior danno possibile, magari rubando dati riservati o colpendone la reputazione sia online sia offline. Saperne riconoscere i comportamenti e le caratteristiche tecniche, consente di anticiparne le mosse per mettere in sicurezza le infrastrutture critiche e il patrimonio informativo aziendale.
Criminali informatici sostenuti da stati sovrani
Il loro scopo è quello di destabilizzare le istituzioni o il governo in una particolare regione oppure ottenere un vantaggio economico o politico su uno stato rivale. Tipicamente, infatti, i potenziali obiettivi di questi criminali informatici sono le agenzie governative, aziende appaltatrici di servizi per la difesa nazionale e le infrastrutture critiche. Le loro attività spaziano quindi dallo spionaggio tradizionale ad altre che mirano a colpire target istituzionali al fine di rovinarne la reputazione attraverso fughe di notizie con dati riservati. In questi casi, alcuni Stati nazionali sono spesso associati alle cosiddette Advanced Persistent Threat (minacce persistenti avanzate, APT), in cui un aggressore accede a un sistema e rimane inosservato per un periodo di tempo molto prolungato. Questi gruppi utilizzano in genere tecniche di attacco e persistenza nei sistemi colpiti molto sofisticate, che quindi richiedono un ingente sostegno economico. Uno dei gruppi di hacking più noti a livello nazionale è l’APT28, noto anche come Strontium o Fancy Bear, le cui attività hanno ultimamente interessato dispositivi Internet of Things (IoT) tra cui un telefono VoIP, una stampante da ufficio e un decoder video. Gli analisti di sicurezza sono concordi con il segnalare un aumento in tutto il mondo delle attività di criminali informatici sostenuti da stati nazionali. Nuovi rapporti accusano ad esempio il governo cinese di intrusioni nelle reti di telecomunicazioni per rintracciare i dissidenti asiatici ed è probabile che l’Iran stia intensificando i suoi sforzi di spionaggio informatico mirato verso obiettivi sensibili dell’Arabia Saudita e degli Stati Uniti.
Gruppi organizzati di criminali informatici
Sono fondamentalmente motivati dal profitto economico e colpiscono in tutto il mondo, senza obiettivi specifici colpendo sia singoli utenti sia grandi aziende e agenzie governative. Soprattutto il settore pubblico è diventato un obiettivo primario per questi gruppi di criminali informatici. Solo negli ultimi 6 mesi i ransomware hanno colpito i servizi governativi in cinque grandi Stati americani, 23 città del Texas e oltre 500 tra scuole e college. Ha molto fatto parlare di sé anche Il gruppo hacker MageCart che è tornato a colpire famosi siti di e-commerce con l’obiettivo di rubare dati e informazioni riservate relative alle carte di credito degli utenti. Dalle analisi dei ricercatori di sicurezza, MageCart avrebbe infettato già 17.000 siti web sfruttando una cattiva configurazione degli Amazon S3 Buckets, un servizio di storage di oggetti che le aziende di ogni dimensione possono utilizzare per archiviare e proteggere una qualsiasi quantità di dati per una vasta gamma di casi d’uso, dai siti Web alle analisi di big data. La minaccia rappresentata dai gruppi organizzati di criminal informatici richiede che le aziende adottino rigorosi piani di difesa e d’azione, in modo da rispondere nel migliore dei modi ai cyber attacchi. Molto utile potrebbe essere, ad esempio, l’adozione di un CERT (Computer Emergency Response Team) aziendale.
Hacktivisti
Sono threat actors motivati politicamente, guidati dall’ideologia. Anonymous è sicuramente il più noto gruppo di hacktivisti che ultimamente hanno sferrato attacchi di tipo DDoS (Distributed Denial-of-Service) e spam ai danni di Scientology per i suoi tentativi di censurare Internet. Sempre più spesso, poi, i loro bersagli preferiti stanno diventando i social media: recente la notizia della compromissione dell’account Twitter del co-fondatore di Twitter Jack Dorsey (famoso per le sue campagne contro i gruppi che diffondono odio online) utilizzato per condividere tweet filonazisti. Per difendersi da questa particolare minaccia è dunque importante che le aziende mettano in sicurezza l’accesso alle piattaforme di social media aziendali, effettuino un monitoraggio costante, verifichino l’adozione di password complesse e adottino sistemi di accesso basati su autenticazione a più fattori.
Hacker “lupi solitari”
Non fanno parte di alcun gruppo criminale organizzato, ma sono spesso semplici opportunisti motivati da un possibile guadagno economico. Questi criminal hacker mirano principalmente a colpire organizzazioni più piccole, agenzie pubbliche e ONG con lo scopo di ottenere l’accesso a dati riservati che poi rivendono sul Dark Web o sfruttano per fini estorsivi.
Minacce interne
A differenza dei gruppi organizzati di criminal hacker, si tratta di malintenzionati che operano spesso su piccola scala, alla ricerca di opportunità di guadagno personale o per vendicarsi di un torto subito dal datore di lavoro o più in generale dalla propria azienda. La prospettiva di guadagno facile spinge questi attaccanti ad appropriarsi di informazioni riservate da rivendere poi a concorrenti diretti dell’organizzazione. Uno dei casi più gravi di furto di dati industriali è stato denunciato nel 2018 dal CEO di Tesla, Elon Musk, secondo cui un insider aveva trafugato grandi quantità di dati altamente sensibili per passarli ad aziende sconosciute. Per la loro particolare natura, le minacce interne sono tra le più complesse da individuare e prevenire. Un insider maliziosamente motivato ha spesso le competenze necessarie e una conoscenza così approfondita della rete interna e dei sistemi di sicurezza da poter agire pressoché indisturbato e con strumenti adatti allo scopo. La prevenzione da tali attacchi richiede un approccio a più livelli e un’architettura di sicurezza ben strutturata. La protezione degli endpoint basata sull’intelligenza artificiale e l’analisi del comportamento degli utenti all’interno del SIEM (Security Information ad Event Management) può aiutare a identificare azioni dannose, come la cancellazione dei registri di audit, l’accesso sospetto a materiale riservato o l’accesso ai sistemi aziendali in momenti insoliti. È importante, inoltre, sottoporre gli utenti con privilegi di accesso elevati alle infrastrutture critiche a controlli più frequenti e approfonditi.
Investire in cyber security awareness
È dunque evidente come il classico antivirus basato su firme virali da solo non basta più per identificare e bloccare eventuali minacce. Può rappresentare una prima barriera contro eventuali codici malevoli nascosti nelle e-mail o nei siti Web, ma nulla può ad esempio contro le azioni criminali di una minaccia interna all’azienda. Meglio sarebbe adottare un sistema di controllo basato sull’analisi comportamentale e quindi in grado di individuare anche eventuali azioni anomale e non autorizzate sui sistemi aziendali. Di fronte a minacce del calibro di Emotet, Maze e MegaCortex è fondamentale attuare un’attenta formazione del personale, sensibilizzando sulle più recenti minacce e insegnando come riconoscere un potenziale attacco e cosa fare per evitare di subirlo. È molto importante investire sulla cyber security awareness non solo dei dipendenti ma anche di tutti gli “utenti aziendali” e quindi anche clienti e fornitori esterni.
L’articolo è parte di un progetto di comunicazione editoriale che Cybersecurity360.it sta sviluppando con il partner DXC Technology.
