Alessia Valentini

Alessia Valentini

Mag 20, 2018

La minaccia fa leva sul fattore umano vulnerabile. Intervista a Laurance Dine (Verizon)

Ransomware, phishing e pretexting sono i maggiori trend di attacco che emergono dalla nuova edizione dal Data Breach Investigations Report 2018 di Verizon (DBIR). I consigli per difendesi di Laurance Dine, Managing Principal, Investigative Response team

L’undicesima edizione del DBIR offre un’analisi estesa, basata sui dati del panorama delle minacce informatiche di 53,000 attacchi e 2,216 violazioni, che hanno avuto luogo in 65 Paesi diversi. Per commentare i maggiori risultati del Report, ma anche per comprendere come intervenire abbiamo intervistato Laurance Dine, Managing Principal, Investigative Response team di Verizon.

I dati del DBIR: quanto conta il fattore umano

Le minacce crescono a ritmi sostenuti e le vittime non sembra siano pronte a sufficienza per contrastare tecniche di attacco basate principalmente sulla debolezza del fattore umano. E’ questa la principale evidenza del DBIR confermata anche da altri report di sicurezza (ne abbiamo parlato qui). I ransomware sono cresciuti molto rispetto alla quarta posizione, che detenevano nel DBIR 2017 e iniziano a insidiare gli asset più critici delle aziende.

Il fattore umano vulnerabile favorisce gli attacchi di social engineering: pretexting (una forma di raggiro con pretesto compiuto per spingere un utente a divulgare delle informazioni o a comportarsi in modo vantaggioso per l’attaccante n.d.r.) e phishing per l’estorsione di denaro. Il pretexting mira alle HR ed è quintuplicato rispetto a quanto rilevato dal DBIR 2017, mentre per ogni singola campagna di phishing il 4 per cento degli utenti ancora cade nel tranello e ad un cybercriminale basta anche una sola vittima per riuscire ad avere accesso ad un’intera organizzazione.

Si assiste ancora ad attacchi di tipo DDoS che possono colpire chiunque e che sono perpetrati anche per mascherare altre violazioni. Rispetto ai diversi settori di mercato nel campo dell’Istruzione gli attacchi di social engineering mirano all’estorsione di dati personali per furti d’identità. Lo spionaggio è alla base del 20 per cento di questi attacchi e l’11 per cento, ha scopi ludici, non finanziari.

 

In ambito finanza e assicurazioni, permangono sia i DDOS, sia le frodi di clonazione di carte di credito mediante sistemi installati presso i bancomat ma cresce anche il “bancomat jackpotting”, (software o un hardware installato in modo illecito che comanda al bancomat l’emissione di grandi quantitativi di denaro contante n.d.r.). Nella sanità l’errore umano è tra i fattori di rischio più comuni ed è l’unico settore dove la minaccia interna è maggiore di quella esterna. Nel settore pubblico il cyberspionaggio incide per il 43 per cento delle violazioni ma non sono unicamente i segreti di stato ad essere nel mirino, bensì anche i dati personali. Nel settore dei media e dell’informazione gli attacchi DDoS sono responsabili di più della metà (56 per cento) di quelli che colpiscono l’intero settore.

 

L’intervista

Si parla molto di formazione per aumentare l’awareness ma fino ad oggi quale tipo di formazione funziona meglio per rendere capaci di evitare gli attacchi di social engineering?

Le aziende devono continuare ad investire nella formazione dei dipendenti in sicurezza informatica per spiegare l’effetto disastroso che un’eventuale violazione potrebbe avere su un brand, sulla reputazione e anche sul fatturato.

I dipendenti dovrebbero essere la prima linea di difesa di un’azienda, non l’anello debole della catena. Proprio per questa ragione, quindi, la formazione e l’istruzione costanti sono essenziali.

È sufficiente che una sola persona clicchi una mail di phishing per mettere a repentaglio un’intera organizzazione

 

Grazie alla pratica continua, invece, le aziende non solo hanno la possibilità di innalzare i livelli di informazione e la consapevolezza, ma applicheranno procedure complete e costanti. Come consigli pratici è necessario che le aziende riducano l’impatto del dispositivo di un utente se compromesso, non dando ai clienti libero accesso ad asset critici, e affidandosi a un’autenticazione consolidata (che non sia superabile da un keylogger) per avere accesso alle altre zone di sicurezza della rete. Se si utilizza la mail via cloud, è necessario impostare una seconda autenticazione. La formazione dovrebbe essere condotta secondo i criteri degli utenti finali.

 

Suggerirei di mettere alla prova la capacità nell’individuare una campagna di attacco, di accorgersi di ospiti potenzialmente infetti, di definire le attività di un dispositivo dopo la sua compromissione e confermare un’eventuale esfiltrazione di dati. La pratica continua velocizza i tempi di reazione e incrementa l’efficienza, limitando così l’impatto di un attacco di phishing andato a buon fine. Infine, sarebbe necessario organizzare sessioni di formazione specifica ad hoc per ogni ruolo, rivolta agli utenti che sarebbero prede più appetibili per i cybercriminali, secondo i permessi d’accesso ai dati. Si dovrebbero formare i dipendenti che hanno accesso ai dati del personale, o che possono eseguire il trasferimento di fondi, perché saranno un probabile bersaglio. L’obiettivo è portarli ad uno scetticismo responsabile, senza indurre la paranoia di fronte a potenziali criminali pronti ad ingannarli.

Quali sono le migliori tecniche contro i DDOS visto che continuano a mietere danni?

La maggior parte delle aziende colpite da un attacco di tipo DDoS, che in media, dura tre giorni, non sperimentano l’attacco vero e proprio per un lungo periodo dell’anno. Ma alcune organizzazioni devono far fronte ad attacchi che durano più a lungo, anche se non sono soggette a ondate costanti. Nonostante non si verifichino attacchi molto estesi o molto gravi ogni giorno, le aziende devono garantire di applicare i servizi di mitigazione degli attacchi DDoS commisurati alla propria tolleranza di perdita di disponibilità. In particolare, è necessario verificare che tutti gli asset siano coperti dal punto di vista della portata di un attacco. Dovrebbero informarsi presso i propri ISP per sapere quali sono le difese già attive, perché potrebbero esistere soluzioni in grado di modulare i servizi quando vengono tracciati volumi di traffico anomali. Questo non fermerà gli attacchi più potenti, ma potrebbe essere d’aiuto in caso di attacchi più lievi e tracciabili con il traffico. Consiglio comunque di evitare di ragionare con il paraocchi, e cercare di capire che problemi di disponibilità possono presentarsi anche senza un attacco di tipo DDoS. Mai dimenticare di individuare e applicare le patch per le vulnerabilità dei server che possono avere impatti sulla disponibilità, testare la capacità di organizzazione nel gestire i picchi di traffico regolare e infine, contemplare la ridondanza svolgendo test sul failover.

 

Fino a qualche tempo fa gli insider erano responsabili della maggior parte delle violazioni. Oggi dal DBIR sembra emergere l’esatto contrario. Non esistono più gli insider?

Le minacce interne sono comunque molto presenti, ma nel Data Breach Investigations Report (DBIR) ci siamo concentrati sugli episodi riscontrati nelle aziende, piuttosto che su quelle che hanno bersagli individuali. I dati sugli attacchi hacker variano notevolmente a seconda del settore. Solo comprendendo i processi base di ogni settore è possibile cogliere le sfide di cybersecurity di ognuno, e consigliare quindi azioni mirate. Ad esempio, il settore sanità è l’unico in cui gli attori interni rappresentano una minaccia maggiore per le organizzazioni. Molto spesso gli attacchi sono motivati dal guadagno, come nel caso di frodi tributarie oppure richiesta di prestiti attraverso dati rubati.

Al secondo posto tra le ragioni ci sono il divertimento e la curiosità di sbirciare i dati di personaggi famosi 

Analizzando i casi indagati, il 56% sono episodi causati internamente, rispetto al 43% originato dall’esterno, il 4% è stato causato da un partner, mentre il 2% da molteplici partner. Perché succede tutto questo? Diamo per scontato che medici e personale ospedaliero avranno accesso a tutte le nostre informazioni mediche e al background correlato, perché senza questi dettagli risulterebbe loro impossibile elaborare una diagnosi critica in tempi brevi. Tuttavia, la natura stessa di questo accesso completo e la grande quantità di dati in possesso del settore sanitario e del personale, costituisce un ottimo bersaglio per i criminali, ed estremamente profittevole.

Spiare singoli o aziende ed entità pubbliche sembra fruttare ai criminali ed anche agli attori statuali.  Un efficace contrasto in cosa potrebbe consistere?

Dal settore pubblico all’istruzione, il cyberspionaggio punta vittime demograficamente diverse. Abbiamo osservato che gli episodi di cyberspionaggio spesso iniziano con strumenti e tecniche semplici, prima di passare ad attacchi più sofisticati. Uno dei cavalli di battaglia del cyberspionaggio è proprio il phishing, perché fornisce al criminale numerosi vantaggi, come ad esempio il tempo e la velocità di attacco, e la possibilità di designare una vittima specifica. Per questa ragione, applicare le difese basilari, oltre a quelle più avanzate, è ancora essenziale per difendersi da questo tipo di minacce. È necessario proteggere endpoint, mail e rete. I software malevoli sono al centro della maggior parte degli episodi di cyberspionaggio e l’endpoint deve essere protetto come potenziale porta di accesso a email, web, installazione diretta di malware o di tipo remoto.

Poiché il phishing resta uno dei principali vettori del cyberspionaggio, è essenziale tutelare le mail, applicando difese di protezione anti-spam, liste di utenti bloccati, analisi degli header, analisi degli allegati statici/dinamici e delle URL con reportistica riguardo i sospetti tentativi di phishing. La protezione della rete è cruciale per mettere in sicurezza i sistemi interni di un’azienda, e per difenderla è necessario applicare l’autenticazione a due fattori, segmentare la rete, bloccare le comunicazioni C2 e saper effettuare remediation in caso di compromissione. Infine, per il monitoraggio interno delle reti, dei device e delle applicazioni, le aziende dovrebbero concentrarsi nell’applicare il monitoraggio degli account, dei log e delle reti/IDS.

 

Esiste secondo lei una sorta di skill shortage a livello manageriale e dei decisori, piuttosto che solo di nuove risorse e di operativi?

Penso che il problema maggiore sia l’alta richiesta degli specialisti in ambito sicurezza che genera una carenza continua, e a livello globale, di esperti in materie tecnologiche per le aziende. Infatti esiste un flusso di movimento dei dipendenti fra aziende diverse e questo porta alla mancanza di conoscenze in ambito cybersecurity come elemento di continuità. Ad esempio, nell’area compliance, spesso il livello di compliance raggiunta, non viene poi mantenuta, perché il dipendente con il know how in materia di PCI lascia l’azienda e il programma di progetto si trova danneggiato. In alternativa, puo’ capitare che il mantenimento della compliance con i PCI venga affidato a professionisti senza expertise, ma che non dispongono delle competenze di base per svolgere questi incarichi.

 

Come spingere invece i decisori a capire realmente come sia necessario un cambio di passo e di priorità?

Nessuna organizzazione è al riparo dagli attacchi informatici, e le aziende devono rivedere urgentemente le loro priorità. Infatti, non dovrebbero assolutamente attendere che si scateni un attacco prima di valutare ciò che serve loro per mettere in sicurezza l’organizzazione. La nostra percezione è che le organizzazioni dovrebbero applicare strategie di sicurezza proattiva. Per questo motivo abbiamo lanciato un nuovo servizio, il Verizon Risk Report, per fornire una valutazione di sicurezza con informazioni sulle minacce informatiche estremamente dettagliate ad aziende ed enti governativi. Il Report unisce il database di informazioni sulle attività dei cybercriminali derivanti dal DBIR, il know how dei consulenti del Servizio Professionisti dell’azienda e i dati provenienti da fonti specializzate di fornitori di tecnologia, per creare quotidianamente un quadro che definisca con un punteggio il rischio di attacchi informatici. Inoltre, il sistema evidenzia gap di sicurezza esistenti, debolezze e rischi correlati

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter