La Cyber Security Awareness per imparare a difendersi dalle minacce informatiche

Home / Blog / Cyber Security / La Cyber Security Awareness per imparare a difendersi dalle minacce informatiche

di G. Federico Tremarco -

Se fino a po' di tempo fa un buon antivirus e un buon firewall erano sufficienti per garantire sicurezza informatica, oggi queste precauzioni non bastano più e diventa invece importante investire nella "Cyber Security Awareness" pianificando ed attuando formazione sulla sicurezza informatica dedicata a tutti gli utenti aziendali.

Non a caso, infatti, la maggior parte dei problemi legati alla sicurezza è dovuta al "fattore H": il fattore H (fattore umano) è il punto debole della sicurezza informatica delle aziende.

Un esperto del fattore H che va citato è Kevin Mitnick, che con tecniche di "ingegneria sociale" sfruttava proprio il fattore umano acquisendo informazioni riservate direttamente dalle persone coinvolte, guadagnando la loro fiducia con l'inganno per commettere crimini informatici introducendosi nei sistemi aziendali.

Nel suo libro "L'arte dell'inganno e L'arte dell'intrusione" spiega perfettamente come impiegare queste tecniche.

Tra i più grandi hackers della storia, fu tra i primi ad utilizzare la tecnica dell'IP spoofing, che permette di rendere non rintracciabile il computer da cui si sta lavorando.

Tsutomu Shimomura, esperto di sicurezza informatica, fu la vittima prescelta da Mitnick con la tecnica dell'IP spoofing per un attacco. Shimomura collaborò con l'FBI per trovare Mitnick.

 

Lo scenario attuale

Le stime attuali indicano un 80% di incidenti legati alla sicurezza informatica collegati a comportamenti errati del personale.
Negligenza, disattenzione, ma anche infrazioni informatiche intenzionali compiute da lavoratori ai danni della propria organizzazione sono la causa principale di "falle nel sistema".

In questo scenario, dove la rete è ormai al centro di tutte le attività di business, è importante investire in formazione del personale dedicata alla "Cyber Security Awareness": consapevolezza nelle persone delle minacce informatiche e i pericoli derivanti dall'uso di nuove tecnologie.

Secondo il rapporto Clusit 2019, in Italia il 53% degli attacchi alle organizzazioni nazionali è dovuto a cause endogene.

Alcune di queste sono l'uso di password deboli, l' utilizzo di dispositivi mobili aziendali su reti Wi-Fi non sicure, navigazione su siti web non sicuri, scambio di informazioni riservate mediante chiavette USB non criptate.

Aumentano anche gli attacchi di "phishing" e "spear phishing" con forti impatti sulle aziende sia in termini di frodi e dati rubati, sia di costi operativi per riparare i danni materiali ed economici causati da questi incidenti informatici.

Dai dati pubblicati sul rapporto Clusit 2019 si evince che lo scorso anno più 16 MLN di utenti, la maggior parte popolazione adulta, sono stati vittima di attacchi informatici. Si parla di quasi 3,5 MLD di euro di danni.

 

Conoscere gli aggressori per difendersi

Conoscere le motivazioni che spingono gli "hacker black hat" o "hacker criminali" a commettere reati informatici e quali potrebbero essere i possibili obiettivi è uno dei metodi per prendere le contromisure difensive.

Tra i principali tipi di "hacker criminali" si elencano:

- hackers informatici sostenuti da stati sovrani;
- gruppi hackers criminali organizzati;
- hacktivisti;
- hackers “lupi solitari”;
- minacce interne.

Ognuna di queste tipologie di pirati informatici presenta un fattore comune: colpire le proprie vittime per arrecare il maggior danno possibile, possibilmente rubando dati riservati o colpendone la reputazione sia online che offline.

 

Hackers informatici sostenuti da stati sovrani

Obiettivi: destabilizzare le istituzioni o il governo in una particolare regione, ottenere un vantaggi economici o politici da un altro stato.

Di solito vengono attaccate le agenzie governative, aziende appaltatrici di servizi per la difesa nazionale e le infrastrutture critiche.
Usano tecniche di spionaggio tradizionale o cercano di colpire target istituzionali per rovinarne la reputazione con fughe di notizie con dati riservati.
Nel caso di "Advanced Persistent Threat" alcuni Stati nazionali vengono attaccati da un aggressore che accede ad un sistema e rimane inosservato per un periodo di tempo molto lungo.
Uno dei gruppi di hacking più noti a livello nazionale è l’APT28, noto anche come Strontium o Fancy Bear, le cui attività hanno ultimamente interessato dispositivi Internet of Things (IoT) tra cui un telefono VoIP, una stampante da ufficio e un decoder video.

 

Gruppi hackers criminali organizzati

Obiettivi: profitto economico. Colpiscono in tutto il mondo, senza obiettivi specifici. Gli attacchi possono riguardare sia singoli utenti sia grandi aziende e/o agenzie governative.

Famoso tra questi gruppi "MageCart", che è tornato a colpire famosi siti di e-commerce con l’obiettivo di rubare dati e informazioni riservate relative alle carte di credito degli utenti.
MageCart avrebbe infettato già 17.000 siti web sfruttando una cattiva configurazione degli Amazon S3 Buckets. Si tratta di un servizio storage di oggetti che le aziende di ogni dimensione possono utilizzare per archiviare e proteggere una qualsiasi quantità di dati per una vasta gamma di casi d’uso, come per esempio siti web o software per analisi di big data.

 

Hacktivisti

Obiettivi: politici di natura ideologica.
Tra i gruppi più famosi ricordiamo Anonymous che usa attacchi di tipo DDoS (Distributed Denial-of-Service) e spam ai danni di Scientology per i suoi tentativi di censurare Internet.
I loro bersagli preferiti stanno diventando i social media. Va ricordata la compromissione dell’account Twitter del co-fondatore di Twitter Jack Dorsey utilizzato per condividere tweet filonazisti.
In questi casi le aziende si possono difendere mettendo in sicurezza l’accesso alle piattaforme di social media effettuando un monitoraggio costante, usando password complesse e adottando sistemi di accesso basati su autenticazione a più fattori.

 

Hackers “lupi solitari”
Sono semplici opportunisti motivati da guadagni economici.
Obiettivi: organizzazioni più piccole, agenzie pubbliche e ONG. Lo scopo principale è quello di ottenere l’accesso a dati riservati che poi rivendono sul Dark Web o usarli per fini estorsivi.

 

Minacce interne
Soggetti non organizzati in gruppi criminali e solitamente non strutturati.

Obiettivi: guadagno personale o vendette per torti subiti dal datore di lavoro o dalla propria azienda.
Si appropriano di informazioni riservate per rivenderle alla concorrenza.
Sono minacce difficili da individuare e prevenire. Solitamente un insider motivato ha le competenze necessarie, una conoscenza della rete interna e dei sistemi di sicurezza da poter agire indisturbato.
La protezione degli endpoint basata sull’intelligenza artificiale e l’analisi del comportamento degli utenti all’interno del SIEM (Security Information ad Event Management) può aiutare a identificare azioni dannose, come la cancellazione dei registri di audit, l’accesso sospetto a materiale riservato o l’accesso ai sistemi aziendali in momenti insoliti.

In tutti questi casi sarebbe necessario adottare un sistema di controllo basato sull’analisi comportamentale in grado di individuare eventuali azioni anomale e non autorizzate sui sistemi aziendali.
Andrebbe inoltre indottrinato il personale aziendale sulle più recenti minacce, insegnando come riconoscere un potenziale attacco e cosa fare per evitare di subirlo.