In materia di cyber security è bene considerare che un utilizzo massivo di diverse tecnologie non sempre porta al risultato sperato di una sicurezza totale del perimetro aziendale. Questo perché un’azienda è composta da cultura, persone e tecnologie. Le persone sono la prima linea di un’azienda: gestiscono le varie configurazioni sistemistiche, creano software ed utilizzano i dati aziendali. Proprio quest’ultimi sono valutati come uno dei beni primari di un’azienda. Ad essi hanno accesso generalmente tutti i dipendenti, i quali devono essere istruiti almeno sulle policy aziendali di security, per poter utilizzarli nel migliore dei modi ed evitare una fuga di informazioni.
Un dipendente può essere coinvolto ad esempio in “attacchi” del tipo:
- Social Engineering
- Physical Attack
Vediamo nello specifico di che cosa si tratta.
Indice degli argomenti
Attacchi di tipo social engineering
Gli attacchi informatici sono diventati sempre più mirati, oltre che all’infrastruttura, anche al personale in ogni suo ordine. I dipendenti poco istruiti possono essere vittime di svariati attacchi di tipo social engineering.
Il social engineering studia il comportamento delle persone per carpirne la fiducia, ingannarle e raccogliere informazioni a scopo fraudolento. È un metodo molto diffuso per l’acquisizione di informazioni riservate dove nel mirino ci sono sempre più i singoli individui. Un classico esempio di attacco social engineering è il phishing. Questa tecnica generalmente adesca le sue vittime attraverso una e-mail, apparentemente proveniente da una fonte attendibile, dove attraverso vari collegamenti si arriva su un sito Web fittizio, volto a rubare le credenziali di accesso ai sistemi aziendali o personali. Nelle tecniche più recenti, gli hacker utilizzano e-mail create su misura così da rendere più reale l’adescamento. Nel 2018 gli attacchi bloccati sono più che raddoppiati rispetto all’anno precedente, ed oltre il 44% hanno riguardato banche, sistemi di pagamento digitali e negozi online.
Con l’avvento dei social network è molto più semplice reperire le informazioni private così da studiare in modo più approfondito e dettagliato ogni singolo dipendente e delineare i più “vulnerabili”. È pur vero che i sistemi anti-phishing riescono a bloccare la maggior parte dei tentativi di attacco phishing. Dati i recenti data breach, la possibilità di trovare credenziali aziendali con l’utilizzo di password semplici o ripetute anche per account personali, compromette notevolmente la sicurezza. Visto anche l’aumento degli accessi esterni alle risorse aziendali, per merito dello smart working, è necessario abilitare l’accesso ai sistemi tramite diversi fattori di autenticazione e non solo il classico utilizzo della password. Quest’ultimo infatti può essere molto pericoloso. L’ingegneria sociale è un pericolo reale, spesso sottovalutato e del quale non sempre ne abbiamo la piena consapevolezza.
Cosa accade se avviene un Physical Attack
Alcune aziende si sentono al sicuro poiché i loro servizi non vengono esposti all’esterno e quindi non reperibile tramite un accesso internet. Ma cosa accade se avviene un Physical Attack? Per Physical Attack si intende la presenza di una persona non autorizzata all’interno dei locali aziendali e generalmente avviene dopo un attento studio del personale e perimetro aziendale. Che danno può arrecare al business aziendale? Gli accessi ai sistemi fisici sono protetti a dovere? I dipendenti sono pronti a riconoscere una persona autorizzata o meno? Sono istruiti sul comportamento da seguire in determinate situazioni?
È importante sapere che una tale intrusione non si limiterà solamente ad una passeggiata di piacere. Quante volte troviamo post-it con su scritte le credenziali di accesso? È bene tenere a mente che lasciare informazioni quali credenziali o file sensibili alla portata di chiunque, potrebbe arrecare seri danni al business aziendale. Anche una buona protezione all’accesso dei sistemi fisici è importante e dovrebbe essere garantita ai soli addetti ai lavori. Durante un physical attack l’hacker può avvalersi di diverse tecniche per rubare informazioni:
- Baiting, lasciare delle chiavette USB con all’interno del codice malevolo, magari con un’etichetta allettante per un dipendente, nei locali aziendali più frequentati.
- Dumpster diving, la raccolta delle informazioni può avvenire persino nella spazzatura poiché non tutti i documenti vengono distrutti come dovuto e perciò è possibile reperire informazioni sensibili.
- Shoulder surfing, direttamente alle spalle dei dipendenti mentre utilizzano il portatile o ascoltando le loro conversazioni che potrebbero riguardare anche informazioni sensibili.
Come accennato nell’introduzione, all’interno della catena di lavoro abbiamo le persone. Esse possono essere considerate l’anello più debole. La maggior parte degli incidenti di sicurezza sono legati agli errori umani:
- Negligenza
- Pubblicazioni di informazioni private sui social network
- Distrazione
- Uso o riutilizzo di password banali
Come ridurre al minimo i rischi
Un ottimo punto di partenza potrebbe essere quella di eseguire dei test di Assessment sia a livello infrastrutturale che sul personale aziendale. In queste fasi è possibile verificare lo stato di security delle diverse applicazioni utilizzate, verifiche che andranno a controllare se sono in uso versioni obsolete sul quale potrebbero essere sfruttare vulnerabilità note. Importante anche per capire il livello di detection e reaction dei proprio dipendenti, nella prima si valuta la capacità di rilevare un attacco, nella seconda si verificano se le azioni intraprese sono efficaci o meno. In questo modo è più semplici organizzare eventuali interventi di security da effettuale o piani di Security Awareness da implementare. È importante saper riconoscere una e-mail di phishing, bisogna sempre ricordare:
- Verificare che il mittente sia una persona attendibile soprattutto controllando il dominio di quest’ultimo (‘@gmail.com’ il dominio risulta essere ‘gmail’).
- Se è richiesto l’inserimento delle credenziali fare molta più attenzione.
- Controllare eventuali link presenti, andando con il mouse sopra di esso senza cliccarci, comparirà il link completo e sarà possibile verificare se è un sito lecito o meno.
- Verificare la presenza del certificato HTTPS all’interno della url
- Abilitare l’autenticazione a due fattori così da limitare i danni nell’eventualità di un furto di credenziali.
All’interno dei locali aziendali bisogna avere diverse accortezze:
- Non lasciare il proprio laptop sbloccato quando non si è alla postazione.
- Non scrivere le proprie credenziali su post-it lasciando questi ultimi sul laptop.
- Utilizzare password complesse non riconducibili alla propria persona o famiglia e cambiarle mensilmente.
- Mantenere aggiornato il proprio laptop cosi da installare tutte le patch di sicurezza disponibili.
- Non inserire nel proprio laptop dispositivi USB di cui non si conoscono l’origine (probabile Baiting).
La sicurezza è un problema reale e pericoloso. È necessario intervenire prima che il business aziendale possa essere compromesso poiché i costi economici potrebbero essere più elevati rispetto ad un intervento effettuato tempestivamente. Non c’è più tempo per rimandare eventuali piani di Remediation: “Errare humanum est, perseverare autem diabolicum”. Credo fortemente che la sicurezza sia più che mai una sfida culturale.