SICUREZZA INFORMATICA

L’importanza di stimare il rischio cyber e le difficoltà nel farne una stima corretta

La sfida della cyber security dei prossimi anni sarà quella di stimare il rischio cyber in modo credibile e sostenibile per le PMI e il più frequentemente possibile, considerando anche gli effetti a cascata. Ecco le difficoltà nel farne una stima corretta e come superarle

16 Mag 2022
F
Enrico Frumento

Cybersecurity Senior Domain Expert, Cefriel - Politecnico di Milano

Un recente articolo del World Economic Forum (ripreso anche in Italia: “Dieci lavori che hanno (davvero) un futuro”) riporta una serie di lavori in forte crescita, legati a trend sociali e non solamente tecnologici, che ridefiniranno gli impieghi entro i prossimi anni.

Fra i vari ruoli nel settore della cyber security, spicca quello del cosiddetto Cyber Calamity Forecaster (una sorta di “profeta di sventure” cyber) che è cresciuto del 28% nel primo trimestre 2021. Il ruolo è in realtà utile nella valutazione del rischio cyber, per dare conferma agli indicatori di rischio (i cosiddetti key risk indicators, KRI) e definire quindi la strategia degli interventi di mitigazione.

Questo ruolo risponde alla necessità di un esperto che validi le stime del rischio cyber e sappia pesare i pro e i contro di ogni scelta, anticipando i trend del mondo cyber crime.

Come vedremo, stimare correttamente e completamente il rischio cyber è difficile se non impossibile. Il ruolo del forecaster è in tal senso utile, quindi, a compensare le limitazioni dei modelli previsionali di rischio e implementare un vero approccio proattivo alla cyber security.

Formazione in ambito cyber security: modi e soluzioni per farla evolvere

Sostenibilità e stime del rischio cyber

In generale, le spese dirette e indirette di un attacco cyber sono in costante crescita. Per il mantenimento delle misure di difesa, le aziende si sono trovate a dover fronteggiare un problema composto da differenti variabili: tecnologie, competenze necessarie e costi di gestione.

candidatura
Passione per la cybersecurity? Candidati per la squadra di IT & Cyber Security Governance di P4I!
Sicurezza
Cybersecurity

In altre parole, l’azienda si trova a dover operare nell’immediato scelte strategiche di medio periodo per rimanere sicuri, proteggere i dati e la continuità operativa attingendo a tecnologie sostenibili aziendalmente e competenze, recuperabili dal mercato o disponibili internamente.

In tempi di crescente incertezza economica e politica, la principale questione di qualsiasi business, ma in particolare di quelli medio piccoli, è come mantenere sostenibile la cybersecurity a fronte di una incrementale aggressività del cybercrime e della crescente fragilità del business.

Se per il cybercrime la Covid-19 ha rappresentato un’opportunità economica unica e irripetibile, similmente si può dire, in termini geopolitici, della guerra russo-ucraina. Nei fatti il cybercrime ha raggiunto livelli di complessità e rischio del tutto nuovi.

Ogni azienda che voglia attenuare il rischio associato a queste crescenti minacce ha bisogno di attivarsi. Allo stesso tempo, però, occorre far sì che la cyber security sia “sostenibile”, non in termini energivori e non soltanto in termini economici, ma anche di tecnologie, processi, persone e, soprattutto, in termini di conoscenze.

L’impatto sulle stime di rischio cyber

La recente pandemia ha accelerato una nuova ondata di cambiamenti tecnologici ed economici dirompenti, con diverse conseguenze – dirette e indirette di lunga durata – sia sugli ecosistemi economici, sui mercati e sulle PA, che sulle Tattiche, Tecniche e Procedure (TTPs) della criminalità informatica.

Questo, anche grazie al crescente stato di tensione internazionale attuale, ha moltiplicato gli obiettivi vulnerabili: organizzazioni precedentemente non interessanti per gli attaccanti e lavoratori operanti al di fuori delle aree protette dell’organizzazione (tipicamente in “smart working” mal gestito).

In questo quadro generale, le organizzazioni, siano esse micro, medie o piccole imprese o la pubblica amministrazione, devono considerare nuove strategie di difesa efficienti e soprattutto sostenibili. Oggigiorno le PMI e le PA, già sotto pressione economica, “forzate” a progredire rapidamente lungo l’agenda di trasformazione digitale, devono fare i conti anche con il nuovo crimine informatico attivo come mai in precedenza.

In questo contesto è quindi diventato fondamentale avere come driver della cyber security il rischio cyber, come guida di tutte le operazioni nel contesto dalla sicurezza informatica.

Sfortunatamente, non c’è una definizione univoca di “rischio cyber”. Questo è principalmente dovuto alla fonte stessa del rischio, il cybercrime, che per sua natura è estremamente dinamico.

Altri tipi di rischio, come quello sismico o anche meteorologico, “godono” di modelli previsionali costruiti sulla base di una serie di dati storici stabili e che cambiano con ritmi decisamente inferiori al cybercrime.

Viceversa, il cybercrime cambia costantemente pelle e tattiche, mettendo a disposizione al contempo una cronica mancanza di dati per creare modelli stabili.

Riassumo i principali motivi per i quali il rischio cyber è di difficile stima:

  1. Gli attacchi arrivano dal nulla e vanno nel nulla, solo le vittime sono note. Un tipico attacco cyber ha tempi di esecuzione nell’ordine di qualche ora massimo, se non pochi minuti, e le evidenze (cioè i dati su cui basare la stima del rischio) spesso sono nascoste sotto strati di tecnologie oppure assenti del tutto.
  2. La fonte del rischio cambia continuamente, con un ritmo insostenibile per la modellazione. Il cybercrime è forse l’unico contesto informatico ad evolvere ugualmente a causa di forze esterne (es., nuove opportunità di attacco, evoluzione di tecnologie ed abitudini) e forze interne (es., evoluzione dei piani di business, del contesto economico e dei tool di attacco). I modelli di calcolo del rischio devono affrontare due differenti fonti di rischio derivanti dall’evoluzione interna del cybercrime e dalla creazione di nuove opportunità di attacco nate dalla digitalizzazione dei servizi.
  3. La maledizione dei dati: i dati sono spesso insufficienti per la creazione di un qualsiasi modello stabile. A sostegno di questa considerazione si pensi che la parte passiva di un attacco dura in media 5 mesi contro 1 ora o meno di esecuzione. La parte passiva che include la preparazione dell’attacco e la raccolta delle informazioni delle vittime è per definizione non identificabile. Solo la parte attiva (l’attacco vero e proprio) può produrre evidenze, ma sempre più spesso è queste evidenze sono troppo specifiche. Gli attacchi sono fortemente modellati intorno alle singole vittime (i.e., highly targeted attacks) e fulminei e producono evidenze con ridotta rilevanza statistica.
  4. Le organizzazioni e l’impatto dei rischi cyber sono profondamente differenti. Ogni azienda è differente dal punto di vista della maturità dei suoi processi digitali e dell’impatto che un eventuale attacco informatico potrebbe avere. Questo comporta un’estrema difficoltà nella costruzione di modelli di stima del rischio cyber che siano realmente calati nelle singole realtà aziendali.
  5. L’agenda di trasformazione digitale dei vari business è in rapidissima evoluzione. Il COVID-19 per primo e la guerra Russo-Ucraina successivamente hanno mostrato quanto vera sia questa affermazione. Ogni modello di stima del rischio in generale si basa sulla raccolta di eventi del passato e la loro modellazione. In presenza di discontinuità nel modus operandi della fonte del rischio questi modelli perdono di efficacia.
  6. Asset tangibili ed intangibili. Recenti stime del WEF riportano che il valore intangibile – il valore delle attività che non sono di natura fisica – rappresenta ora il 90% del valore delle attività nelle organizzazioni, essendo più che triplicato nell’indice Standard and Poor’s 500 (S&P 500) negli ultimi 35 anni. Gli attacchi informatici hanno sempre colpito i dati, un tipico asset intangibile, ma si sono recentemente allargati includendo altri tipi di asset (es., il “brand”, la reputazione)[1].

Per gestire la propria sicurezza informatica, le aziende devono cambiare approccio. Piuttosto che cercare di proteggere ogni singolo computer o sistema dagli attacchi, devono concentrarsi sulla protezione delle risorse critiche, quelle senza le quali l’organizzazione non può operare. Quegli asset che sono cruciali per la vita aziendale.

L’influenza dell’elemento umano e della OPSEC nei modelli previsionali di rischio

Una delle domande ricorrenti nel campo della stima del rischio cyber è fino a che punto, anche in possesso di tutti i dati e le evidenze del cybercrime, si possa calcolare il rischio cyber. Se, in altre parole, ci siano degli elementi che non possono essere stimati.

In generale i problemi dei sistemi di stima del rischio cyber possono essere riassunti come segue:

  1. Trustability delle stime del cyber risk. Le organizzazioni non si fidano dei rischi così come vengono presentati e si preoccupano del rischio di allocare le loro limitate risorse, denaro e tempo per mitigare i rischi sbagliati.
  2. Explainability of cyber risk. La valutazione del rischio comporta molte conoscenze e ipotesi spesso implicite. Questo porta a valutazioni non trasparenti, presentate separatamente dai dati che le hanno generate e dalle ipotesi che portano alla stima.
  3. Esiste poi il problema dei «cigni neri» o dei rischi high-impact low-probability (HILP) in cui un rischio è percepito come talmente raro da non meritare una attività di resilienza specifica (es. impatto del COVID-19 nel cybercrime o sottovalutazione del rischio interno/umano).

Tipicamente le attività che vengono realizzate per raccogliere informazioni utili a stimare il rischio sono:

  1. Vulnerability Assessment, Penetration Testing sempre più vicini alle TTP del cybercrime (es. ATT&CK);
  2. Attività di Threat Intelligence, Threat Hunting;
  3. Continuous assessment o continuous security

Ma ci sono due elementi che vengono spesso trascurati: l’elemento umano e la OPSEC.

L’importanza dell’elemento umano

L’elemento umano, la cui vulnerabilità viene sfruttata tramite la Social Engineering[2], è la causa, secondo un altro studio WEF, di circa il 95% degli attacchi aventi esito positivo. Per questo, tra tutti gli anelli della catena che devono saper resistere alla sollecitazione di un tentativo di offesa, le persone sono considerate l’anello più debole ovvero l’elemento a cui è associato il livello di rischio più critico.

È stato il cyber crimine a fare emergere questa vulnerabilità, servendosi oltre che delle abilità di hacking, anche di un notevole cinismo nelle modalità di inganno dell’essere umano.

Da un lato i criminali hanno dimostrato di saper usare ogni espediente, non limitandosi agli aspetti tecnologici ed impiegando tutte le tipologie di social engineering; dall’altro, un gruppo di cyber security moderno ha bisogno di attingere da diverse discipline nelle azioni di contrasto (es. discipline socio umanistiche come la psicologia o le science cognitive e comportamentali o la Human Behavioural Analysis)[3].

Dal punto della stima del rischio cyber, però, gli umani sono un ulteriore elemento di incertezza perché il comportamento di una persona varia di momento in momento ed è in generale scarsamente prevedibile.

Anche la formazione, come strumento di riduzione del rischio cyber, come ho avuto modo di approfondire in un recente whitepaper, è un problema non facile.

A tal proposito, è interessante notare che tipicamente i Cyber range non testano la componente umana, cioè quella parte dell’attacco che coinvolge direttamente gli umani (social Engineering, insiders ma anche testare come reagiscono le persone addette alla sicurezza sotto pressione), semplicemente perché è impossibile farlo: non posso coinvolgere delle persone in una simulazione di attacco, a loro insaputa, senza compiere degli illeciti e mantenendo al contempo la simulazione realistica.

Ad oggi, l’unico tentativo in tal senso è la controversa[4] competizione Capture the Flag sulla Social Engineering (SECTF) organizzata alla conferenza DEFCON, fino al 2019.

L’importanza della OPSEC

OPSEC sta per Operation Security ed è in generale, “un processo che ha lo scopo di dare ad un’operazione militare l’appropriato livello di sicurezza, per negare le conoscenze al potenziale avversario circa le disposizioni, le capacità, gli intenti e le vulnerabilità delle forze amiche” (fonte: Wikipedia).

Dal punto di vista del cybercrime è la capacità di non farsi arrestare nel momento in cui viene monetizzato il furto[5].

Una scarsa OPSEC dei gruppi criminali è già un fattore di mitigazione perché riduce la probabilità che un attacco venga effettivamente compiuto. Solamente i gruppi criminali di primo livello hanno capacità di sicurezza operativa evolute.

Il problema è che in generale è alquanto difficile stimare, ai fini del calcolo del cyber risk, le reali capacità di OPSEC di un potenziale cyber criminale. I metodi di calcolo del cyber risk o i VA/PT non considerano affatto questo aspetto.

Più recentemente, il conflitto russo-ucraino ha introdotto un ulteriore problema nel mondo cybercrime. Oltre alle considerazioni geopolitiche derivanti dallo schieramento dei vari gruppi criminali, abbiamo assistito alla vanificazione della collaborazione internazionale fra le forze di polizia, che aveva portato alla dismissione di vari gruppi di cybercrime (DarkSide, REvil, BABUK ecc.), acuendo le probabilità che gruppi con scarse capacità di OPSEC possano rimanere impuniti.

Conclusioni

Rendere la sicurezza informatica sostenibile per le PMI e la PA rappresenta una sfida complessa sotto vari punti di vista.

La cyber security è un processo e come tale porta in azienda una serie eterogenea di conseguenze tecnologiche, di processo, policy, governance, competenze e skill e di relazione fra le persone e l’azienda.

Tutto questo viene affiancato dalla necessità di stimare correttamente le minacce in rapporto al valore degli asset aziendali.

La stima dei rischi cyber è una sfida complessa sia per la natura stessa del rischio cyber, sia per alcune limitazioni intrinseche difficilmente sormontabili.

Questi problemi, però, vanno moltiplicati per tre, perché esistono tre macro-fonti di rischio: il mondo IT, il mondo OT e gli umani.

Tre fonti che non solo necessitano di modelli previsionali completamente differenti, ma sono anche strettamente interconnesse e creano effetti incrociati ed a cascata.

Da qui, a mio avviso, la sfida della cyber security dei prossimi anni sarà quella di stimare i rischi cyber in funzione di tutte queste variabili e limitazioni, in modo credibile e sostenibile per le piccole e medie imprese e il più frequentemente possibile, in modo sostenibile a lungo termine e considerando anche gli effetti a cascata.

 

NOTE

  1. E. Frumento, C. Dambra, “The role of intangible assets in the modern cyber threat landscape: the HERMENEUT Project”, European Cybersecurity Journal, Volume 5 (2019) Issue 1, 56-65

  2. D. Ariu, E. Frumento and G. Fumera, “Social Engineering 2.0: A Foundational Work: Invited Paper”, Proceedings of the Computing Frontiers Conference – CF’17, pp. 319-325, 2017.

  3. Devon, “15 Alarming Cyber Security Facts and Stats”, 12 2020. [Online]. Available.

  4. DEF CON bans social engineering expert Chris Hadnagy”.

  5. “Arrest, Prosecution, and Incarceration: The Cybercriminal Perspective” [Online]. Available.

WHITEPAPER
Costruire una VERA DATA STRATEGY: machine learning, sicurezza e valorizzazione del dato.
Amministrazione/Finanza/Controllo
Big Data
@RIPRODUZIONE RISERVATA

Articolo 1 di 5