La minaccia fa leva sul fattore umano vulnerabile. Intervista a Laurance Dine (Verizon)

Grazie alla pratica continua, invece, le aziende non solo hanno la possibilità di innalzare i livelli di informazione e la consapevolezza, ma applicheranno procedure complete e costanti. Come consigli pratici è necessario che le aziende riducano l’impatto del dispositivo di un utente se compromesso, non dando ai clienti libero accesso ad asset critici, e affidandosi a un’autenticazione consolidata (che non sia superabile da un keylogger) per avere accesso alle altre zone di sicurezza della rete. Se si utilizza la mail via cloud, è necessario impostare una seconda autenticazione. La formazione dovrebbe essere condotta secondo i criteri degli utenti finali.

Suggerirei di mettere alla prova la capacità nell’individuare una campagna di attacco, di accorgersi di ospiti potenzialmente infetti, di definire le attività di un dispositivo dopo la sua compromissione e confermare un’eventuale esfiltrazione di dati. La pratica continua velocizza i tempi di reazione e incrementa l’efficienza, limitando così l’impatto di un attacco di phishing andato a buon fine. Infine, sarebbe necessario organizzare sessioni di formazione specifica ad hoc per ogni ruolo, rivolta agli utenti che sarebbero prede più appetibili per i cybercriminali, secondo i permessi d’accesso ai dati. Si dovrebbero formare i dipendenti che hanno accesso ai dati del personale, o che possono eseguire il trasferimento di fondi, perché saranno un probabile bersaglio. L’obiettivo è portarli ad uno scetticismo responsabile, senza indurre la paranoia di fronte a potenziali criminali pronti ad ingannarli.

Quali sono le migliori tecniche contro i DDOS visto che continuano a mietere danni?

La maggior parte delle aziende colpite da un attacco di tipo DDoS, che in media, dura tre giorni, non sperimentano l’attacco vero e proprio per un lungo periodo dell’anno. Ma alcune organizzazioni devono far fronte ad attacchi che durano più a lungo, anche se non sono soggette a ondate costanti. Nonostante non si verifichino attacchi molto estesi o molto gravi ogni giorno, le aziende devono garantire di applicare i servizi di mitigazione degli attacchi DDoS commisurati alla propria tolleranza di perdita di disponibilità. In particolare, è necessario verificare che tutti gli asset siano coperti dal punto di vista della portata di un attacco. Dovrebbero informarsi presso i propri ISP per sapere quali sono le difese già attive, perché potrebbero esistere soluzioni in grado di modulare i servizi quando vengono tracciati volumi di traffico anomali. Questo non fermerà gli attacchi più potenti, ma potrebbe essere d’aiuto in caso di attacchi più lievi e tracciabili con il traffico. Consiglio comunque di evitare di ragionare con il paraocchi, e cercare di capire che problemi di disponibilità possono presentarsi anche senza un attacco di tipo DDoS. Mai dimenticare di individuare e applicare le patch per le vulnerabilità dei server che possono avere impatti sulla disponibilità, testare la capacità di organizzazione nel gestire i picchi di traffico regolare e infine, contemplare la ridondanza svolgendo test sul failover.

Fino a qualche tempo fa gli insider erano responsabili della maggior parte delle violazioni. Oggi dal DBIR sembra emergere l’esatto contrario. Non esistono più gli insider?

Le minacce interne sono comunque molto presenti, ma nel Data Breach Investigations Report (DBIR) ci siamo concentrati sugli episodi riscontrati nelle aziende, piuttosto che su quelle che hanno bersagli individuali. I dati sugli attacchi hacker variano notevolmente a seconda del settore. Solo comprendendo i processi base di ogni settore è possibile cogliere le sfide di cybersecurity di ognuno, e consigliare quindi azioni mirate. Ad esempio, il settore sanità è l’unico in cui gli attori interni rappresentano una minaccia maggiore per le organizzazioni. Molto spesso gli attacchi sono motivati dal guadagno, come nel caso di frodi tributarie oppure richiesta di prestiti attraverso dati rubati.

Analizzando i casi indagati, il 56% sono episodi causati internamente, rispetto al 43% originato dall’esterno, il 4% è stato causato da un partner, mentre il 2% da molteplici partner. Perché succede tutto questo? Diamo per scontato che medici e personale ospedaliero avranno accesso a tutte le nostre informazioni mediche e al background correlato, perché senza questi dettagli risulterebbe loro impossibile elaborare una diagnosi critica in tempi brevi. Tuttavia, la natura stessa di questo accesso completo e la grande quantità di dati in possesso del settore sanitario e del personale, costituisce un ottimo bersaglio per i criminali, ed estremamente profittevole.

Spiare singoli o aziende ed entità pubbliche sembra fruttare ai criminali ed anche agli attori statuali.  Un efficace contrasto in cosa potrebbe consistere?

Dal settore pubblico all’istruzione, il cyberspionaggio punta vittime demograficamente diverse. Abbiamo osservato che gli episodi di cyberspionaggio spesso iniziano con strumenti e tecniche semplici, prima di passare ad attacchi più sofisticati. Uno dei cavalli di battaglia del cyberspionaggio è proprio il phishing, perché fornisce al criminale numerosi vantaggi, come ad esempio il tempo e la velocità di attacco, e la possibilità di designare una vittima specifica. Per questa ragione, applicare le difese basilari, oltre a quelle più avanzate, è ancora essenziale per difendersi da questo tipo di minacce. È necessario proteggere endpoint, mail e rete. I software malevoli sono al centro della maggior parte degli episodi di cyberspionaggio e l’endpoint deve essere protetto come potenziale porta di accesso a email, web, installazione diretta di malware o di tipo remoto.

Poiché il phishing resta uno dei principali vettori del cyberspionaggio, è essenziale tutelare le mail, applicando difese di protezione anti-spam, liste di utenti bloccati, analisi degli header, analisi degli allegati statici/dinamici e delle URL con reportistica riguardo i sospetti tentativi di phishing. La protezione della rete è cruciale per mettere in sicurezza i sistemi interni di un’azienda, e per difenderla è necessario applicare l’autenticazione a due fattori, segmentare la rete, bloccare le comunicazioni C2 e saper effettuare remediation in caso di compromissione. Infine, per il monitoraggio interno delle reti, dei device e delle applicazioni, le aziende dovrebbero concentrarsi nell’applicare il monitoraggio degli account, dei log e delle reti/IDS.

Esiste secondo lei una sorta di skill shortage a livello manageriale e dei decisori, piuttosto che solo di nuove risorse e di operativi?

Penso che il problema maggiore sia l’alta richiesta degli specialisti in ambito sicurezza che genera una carenza continua, e a livello globale, di esperti in materie tecnologiche per le aziende. Infatti esiste un flusso di movimento dei dipendenti fra aziende diverse e questo porta alla mancanza di conoscenze in ambito cybersecurity come elemento di continuità. Ad esempio, nell’area compliance, spesso il livello di compliance raggiunta, non viene poi mantenuta, perché il dipendente con il know how in materia di PCI lascia l’azienda e il programma di progetto si trova danneggiato. In alternativa, puo’ capitare che il mantenimento della compliance con i PCI venga affidato a professionisti senza expertise, ma che non dispongono delle competenze di base per svolgere questi incarichi.

Come spingere invece i decisori a capire realmente come sia necessario un cambio di passo e di priorità?

Nessuna organizzazione è al riparo dagli attacchi informatici, e le aziende devono rivedere urgentemente le loro priorità. Infatti, non dovrebbero assolutamente attendere che si scateni un attacco prima di valutare ciò che serve loro per mettere in sicurezza l’organizzazione. La nostra percezione è che le organizzazioni dovrebbero applicare strategie di sicurezza proattiva. Per questo motivo abbiamo lanciato un nuovo servizio, il Verizon Risk Report, per fornire una valutazione di sicurezza con informazioni sulle minacce informatiche estremamente dettagliate ad aziende ed enti governativi. Il Report unisce il database di informazioni sulle attività dei cybercriminali derivanti dal DBIR, il know how dei consulenti del Servizio Professionisti dell’azienda e i dati provenienti da fonti specializzate di fornitori di tecnologia, per creare quotidianamente un quadro che definisca con un punteggio il rischio di attacchi informatici. Inoltre, il sistema evidenzia gap di sicurezza esistenti, debolezze e rischi correlati