Nell’ambito della cyber security è molto importante conoscere il digital footprint della propria azienda, cioè la sua “impronta digitale” che, in poche parole, rappresenta l’esposizione su Internet di tutte le risorse informatiche utilizzate nel contesto lavorativo.
Vale, infatti, il principio che non si può proteggere ciò che non si sa o non si sa di avere: in poche parole, occorre avere consapevolezza digitale e tecnologica.
L’utilizzo pervasivo di tool connessi e di app ha allargato enormemente i confini del mondo informatico e digitale e avere consapevolezza di cosa c’è della nostra azienda e di noi sulla rete e di come si è “visti” diventa ogni giorno più importante.
Questa crescente esposizione, delle risorse informatiche delle aziende e della vita lavorativa ma anche privata delle persone, diventa facilmente preda dei cyber criminali, che sempre più hanno perso la loro immagine quasi romantica di “terroristi” della rete per scopi più o meno ideologici, per puntare invece alla realizzazione di profitti illeciti sfruttando sia la debolezza di alcuni sistemi informatici che, soprattutto, la scarsa conoscenza dei rischi legati a come un’azienda o una persona appaiano e siano visibili su internet.
Per evitare compromissioni malevoli è perciò necessario disporre di una visualizzazione completa e in tempo reale di come si è esposti, cioè di ogni server, host, dominio e dispositivo esposti a Internet per le aziende e di ogni apparato personale fisso o mobile (smartphone, wearable ecc.) per le persone in modo di acquisire la consapevolezza di quali dei nostri punti di esposizione potrebbero rappresentare dei punti di debolezza se non protetti adeguatamente.
Indice degli argomenti
Digital footprint: perché è importante conoscerlo
Mentre molte organizzazioni e molte persone potrebbero non avere a disposizione un elenco completo ed in tempo reale di tutti i dispositivi, host, domini, sottodomini, indirizzi IP, record DNS, servizi, server di posta elettronica, ASN e account di social media che sono esposti a Internet, un hacktivist dedicato lo ha sicuramente. La somma di tutte queste informazioni costituisce, per l’appunto, l’impronta digitale (digital footprint) di un’organizzazione.
Il digital footprint si può definire come lo specifico insieme di attività digitali, azioni e comunicazioni, che lasciano una traccia di dati su internet, su un computer o su un altro device digitale e che possono essere riferite ad una persona o a una organizzazione; ad esempio le nostre abitudini di navigazione e browsing sono parte della nostra impronta digitale passiva, creata senza la nostra conoscenza e, a volte, il nostro consenso, mentre le azioni su un social media sono più facilmente considerate come impronta digitale attiva.
Inoltre, il digital footprint può anche essere considerato come l’impatto generale, in termini di presenza, visibilità, effetto e reputazione di una persona o di un’organizzazione su internet; in questo caso potrebbe essere nel proprio interesse fare in modo di estendere e migliorare questa impronta per ricavarne un ritorno o un beneficio.
Il digital footprint di un’organizzazione o di un utente della rete può quindi essere considerato come una vista esterna a 360 gradi, molto simile alla Terra guardata dallo spazio. Allo stesso modo in cui la vista della Terra dallo spazio cambia nel tempo a causa della sua rotazione e dei suoi schemi meteorologici, così avviene anche per il digital footprint a causa di cambiamenti organizzativi od operativi. Si tratta cioè di una impronta dinamica.
Determinare il digital footprint per identificare i rischi
Una volta determinato il digital footprint di un’organizzazione o di una persona, questi dati possono essere arricchiti per fornire approfondimenti su infrastrutture aziendali o apparati personali potenzialmente non sicuri e servizi configurati in modo errato o mal gestiti che potrebbero essere sfruttati dagli hacker.
Gli hacker generalmente puntano al guadagno finanziario. Pertanto, se un’organizzazione si presenta come un facile obiettivo durante una scansione dedicata o anche in un invio di phishing casuale, questa organizzazione verrà sicuramente attaccata. Più esteso è il profilo dell’obiettivo, con ciò si intende sia la visibilità diretta sui media che quella indiretta apparentemente non visibile digitalmente se non tramite una scansione, più è probabile che diventi oggetto di un attacco, soprattutto se il profilo presenta punti deboli facilmente sfruttabili.
Molte organizzazioni sono inconsapevoli dell’aspetto del loro digital footprint e di come i loro diversi domini ed indirizzi IP siano tutti collegati insieme, proprio come un albero genealogico. Ad esempio, mentre l’utilizzo di un indirizzo e-mail dal dominio principale dell’organizzazione per registrare tutti i domini successivi è un’idea sensata dal punto di vista amministrativo, questo collega automaticamente tutti i domini insieme e quindi aumenta rapidamente una superficie di attacco dell’organizzazione. Così come la segmentazione della rete è una buona pratica, allo stesso modo lo sarebbe anche la segmentazione del dominio, ove possibile.
Per ricapitolare, il digital footprint di un’organizzazione è un elenco completo e in tempo reale di tutti i domini, sottodomini, indirizzi IP, record DNS, servizi, server di posta elettronica, ASN e account di social media, ed è di fatto disponibile pubblicamente in ambienti open source quali Google, WHOis, VirusTotal, Censys, Cymon, Shodan, hacker forums, social networks, leaked database dumps, paste sites ecc., e quindi è a disposizione anche di hacker e hacktivist.
Gli hacker cercano un modo per entrare perché ritengono che l’organizzazione gli fornirà guadagni sia per proteggere i suoi dati, per i quali probabilmente pagherà un riscatto se questi dovessero essere trafugati o venire criptati, o perché potrebbero tranquillamente distogliere fondi sottraendo l’identità digitale del CFO dell’organizzazione e chiedendo regolari pagamenti di fatture, cambiamenti di coordinate bancarie sulle quali fare i versamenti, e così via.
Ma una volta fatta la scansione del digital footprint, quali sono gli elementi da considerare come più a rischio e dove cercano di entrare gli hacker?
I mail gateway
Secondo le statistiche, il modo più semplice per entrare in un’organizzazione è via e-mail. Pertanto, utilizzando il digital footprint di un’organizzazione sulla base del dominio, cercano di vedere quale piattaforma e quale gateway di posta elettronica siano utilizzati.
Un risultato aggregato dei test del mondo reale mostra che la percentuale media di mancata intercettazione da parte dei sistemi di sicurezza della posta elettronica aziendale per quanto riguarda spam, phishing e allegati di malware è di poco sopra al 9% (Cyren’s Email Security Gap Analysis: Aggregated Results).
Da considerare poi che questo risultato tiene conto solo della posta in arrivo e non considera lo spam, gli attacchi di phishing ed i malware in grado di propagarsi lateralmente attraverso l’infrastruttura di posta elettronica interna all’organizzazione.
Il target più probabile sarà comunque l’organizzazione che non sembra utilizzare nessuno dei servizi più diffusi come Google, Office 365, Mimecast, Messagelabs o con il gateway di posta che non ha alcuna sicurezza implementata.
Nei rapporti più recenti da parte di società di cybersecurity sulle minacce, sono indicati molteplici attacchi nei settori manifatturieri, chimici, ingegneristici, e si afferma che gli aggressori si stanno spostando da “attacchi di ransomware indiscriminati a campagne più mirate e potenzialmente più redditizie”.
Durante l’esame dell’ambiente di posta elettronica di un’organizzazione per la potenziale vulnerabilità alle infiltrazioni, gli hacker ricercano anche altri problemi di configurazione (ad esempio: SPF, DKIM, DMARC, Reverse Lookup ecc.) che potrebbero essere sfruttabili in seguito per potenziali phishing verso i clienti di un’organizzazione.
Le credenziali
Ci sono milioni di combinazioni di e-mail e password compromesse disponibili su Internet e negli underground forum. Nella forma più semplice, è possibile utilizzare un elenco e-mail dei dipendenti per attacchi di phishing.
La maggior parte degli utenti di Internet utilizza le stesse password per account di applicazioni diverse. Le e-mail e le password trafugate sono molto pericolose in quanto gli hacker tenteranno di accedere ai sistemi cloud dell’organizzazione utilizzando le stesse credenziali.
C’è anche un’alta probabilità che la stessa combinazione e-mail/password funzioni anche per le applicazioni aziendali locali. Gli hacker inoltre comunicano o scambiano anche l’account “hackerato” e, se utilizzate insieme a LinkedIn, le credenziali trafugate diventano preziosissime.
Sebbene l’autenticazione a due fattori non sia la perfezione assoluta e possa anche essere fastidiosa, i risultati parlano da soli. Le organizzazioni dovrebbero quindi implementare soluzioni 2FA/MFA (2-Factor Authentication/Multi-Factor Authentication), come requisito minimo, al più presto.
La gestione delle patch
Gli hacker cercano legami deboli nelle difese informatiche di un’organizzazione e i sistemi obsoleti esposti pubblicamente sono i più facili bersagli.
Uno sfruttamento riuscito può causare una perdita di dati, cattiva reputazione, perdita di credibilità o problemi finanziari. I sistemi obsoleti accessibili da Internet possono presentare vulnerabilità correlate alle applicazioni, ai server applicativi o al sistema operativo. Possono esserci anche difetti di progettazione o bug di implementazione che consentono agli aggressori di compromettere il sistema o le applicazioni presenti sullo stesso.
I sistemi pubblicamente accessibili da Internet dovrebbero avere la massima priorità in termini di patch e di modifiche alla configurazione e dovrebbero essere sottoposti ad una scansione periodica di verifica.
Una rilevazione del Digital Footprint aiuta a individuare sistemi obsoleti o sistemi e applicativi utilizzati dalla cosiddetta “shadow-IT” che rappresentano i punti di maggiore vulnerabilità se non adeguatamente aggiornati e “patched”.
Cosa fare
Dall’accessibilità e dalla disponibilità dei dati del digital footprint nasce l’esigenza di diventare consapevoli di quanto la propria impronta sia esposta e quanto sia vulnerabile a rischi cyber.
Secondo alcuni analisti del settore, entro il 2020 un terzo degli attacchi di successo andati a buon fine ai danni delle imprese colpirà le risorse informatiche nascoste.
A questo scopo sono recentemente comparse sul mercato le prime soluzioni che, adottando in modo etico gli stessi criteri di un hacker, hanno l’obiettivo di scandagliare il digital footprint di un’organizzazione per fornirle una fotografia dinamica delle dimensioni della sua esposizione, indicare quali e quanti punti potrebbero essere obiettivi di un attacco e quali vulnerabilità ne derivano.
Può quindi esser un’ottima idea fare una scansione del digital footprint della propria azienda.
La scansione del digital footprint fornisce una preziosa e profonda conoscenza della superficie di attacco della realtà aziendale da una prospettiva esterna. Il report che di solito viene fornito è una rappresentazione visuale molto intuitiva di come la superficie di attacco appare dal di fuori e include tutti i dati rilevati che a volte possono essere una notevole quantità, superiore spesso a quanto si penserebbe.
Ad esempio, nel fare lo scanning del digital footprint di una società (che avviene sempre nel mondo esterno senza mai accedere alla stessa), possono uscire nel report anche dei domini e sottodomini che non si sapeva di avere, ma collegati alle mail aziendali.
Sono, ad esempio, siti creati da singoli abilitati per uso personale e di svago (come un indirizzo “caniegattifelici.it”) oppure siti che ricadono nella citata shadow-it, che magari sono stati creati correttamente, ma per un periodo limitato di tempo e per obiettivi di marketing (tipo eventoromaestate2019.cliente.it), ma che potrebbero non essere stati rimossi alla fine del periodo previsto di utilizzo e che potrebbero rimanere attivi e non essere più adeguatamente protetti.
Per il momento, questo tipo di strumenti e di servizi sono disponibili solo per le aziende, ma potrebbero presto riguardare anche singoli professionisti o privati. Infatti, la consapevolezza digitale dovrà diventare una necessità in un mondo sempre più condizionato dall’utilizzo degli strumenti digitali anche nella vita di cittadini, perché questo utilizzo venga fatto nel modo più sicuro possibile.
In futuro questo tipo di servizio dovrà diventare una delle prime politiche di sicurezza aziendale e in parallelo dovrà diventare parte della consapevolezza tecnologica che tutti, come detto anche nell’utilizzo come utenti privati, dovremmo conoscere e valutare per fare scelte corrette di sicurezza e protezione delle nostre aziende, dei nostri dati e dei nostri soldi.
