Un metodo molto efficace per migliorare le proprie difese ed evidenziare eventuali punti critici è la realizzazione di test di intrusione fisica mirati sull’infrastruttura target. Questo tipo di attività vede una squadra di attaccanti (il Red Team) utilizzare tecniche più o meno convenzionali, per riuscire ad introdursi in maniera illecita e non autorizzata all’interno dei plessi di pertinenza aziendale.
Lo scopo ultimo è accedere a zone vietate e alle informazioni contenute nella rete. Questa tipologia di test si fonda sulla valutazione del fattore umano e della sicurezza perimetrale, come elementi cruciali di rischio.
Indice degli argomenti
Test di intrusione fisica: l’approccio risk-based
D’altronde, il fermento normativo europeo di questi ultimi anni in materia di sicurezza delle informazioni e dei dati – a partire dal General Data Protection Regulation (GDPR), il Cybersecurity Act e la Direttiva NIS – sta inducendo le Aziende ad aprire gli occhi, mettendo finalmente in discussione il rinomato “algoritmo dello struzzo”: il problema non viene posto, il problema non si pone.
Il framework che si sta componendo favorisce, infatti, la diffusione di cultura e buon senso in materia, chiedendo agli stakeholder coinvolti di valutare profondamente tutti i rischi cui si possa essere sottoposti prima che sia troppo tardi. Ovvero prima che lo faccia qualcun altro.
In questo contesto, l’Italia è chiamata ad un duplice sforzo: recuperare in fretta il terreno perduto specie in tema di cultura della cyber security – non è onestamente perdonabile che nel 2019 moltissime PMI siano ancora ad un livello di maturità quasi nullo – e adeguarsi a questo nuovo approccio risk-based, nella maniera più efficace possibile.
A livello europeo, l’orientamento comune è lavorare a sistemi di comprensione e misurazione sistematica degli scenari di vulnerabilità digitale. La necessità cui bisogna provvedere riguarda la progettazione di simulazioni di attacco, che mettano alla prova l’impresa nel suo complesso, allo scopo ultimo di apprendere dagli errori e migliorare la resilienza.
Limitarsi a scansionare semestralmente il proprio parco macchine non può essere sufficiente.
Social engineering e sicurezza fisica perimetrale
In questo contesto, si fanno strada i concetti di social engineering e sicurezza fisica perimetrale. Andiamo per gradi.
Per social engineering (ingegneria sociale) si intende un insieme di tecniche, non necessariamente informatiche, che possono indurre la vittima ad eseguire azioni desiderate dall’attaccante, solitamente con l’obiettivo di ottenere informazioni e strumenti necessari a perpetrare azioni fraudolente.
Prassi diffusa, per testare il livello di maturità di un’azienda su questo fronte, è possibile condurre delle campagne di phishing, utili a comprendere quanti (e quali) dipendenti risultino meno cauti e porre le premesse per eventuali sessioni di formazione mirata.
Il limite di questo tipo di test, di impronta certamente didattica, risiede nei vincoli posti dalle società committenti e nell’impossibilità di aggredire target specifici, essendo le simulazioni rivolte all’intero pool dei dipendenti.
Campagne di questo tipo risultano, dunque, inefficaci, se lo scopo è valutare come il fattore umano riesca o meno a rispondere all’attacco di malintenzionati, liberi da vincolo alcuno nel perpetrare il proprio disegno criminoso.
Per sicurezza fisica perimetrale, si intende l’insieme delle misure di sicurezza poste a protezione di tutte le aree il cui accesso debba essere limitato a sole persone autorizzate: cancelli, mura, portoni, telecamere, personale di sorveglianza, addetti alla reception e allarmi sono asset tipicamente coinvolti.
L’esigenza di dotarsi di adeguate misure di sicurezza perimetrali nasce dalla percezione che un estraneo (un ladro ad esempio) si introduca in maniera illecita in un perimetro non autorizzato: è questo, infatti, il rischio più avvertito e temuto dalle aziende.
Nelle attività di sicurezza fisica, dunque, l’attaccante-tipo preso come riferimento è proprio un possibile intruso che punti ad accedere alle aree di maggior valore per l’azienda (aree critiche). Tali aree verranno quindi analizzate e prese in esame, per poter effettivamente funzionare come protezione agli asset aziendali.
In questo senso, è importante ragionare nell’ottica di un cyber criminale, il cui obiettivo non è sottrarre un bene “materiale”, ma accedere ad informazioni “immateriali” di business attraverso un varco nella rete, che nella maggior parte dei casi è presidiata in maniera meno efficace rispetto al perimetro aziendale fisico, dal punto di vista della sicurezza.
Test di intrusione fisica: le vulnerabilità da testare
Per meglio comprendere caratteristiche e specializzazioni delle forze messe in campo, possiamo fare un parallelismo con la rappresentazione cinematografica di una rapina in una grande banca (in stile Mission Impossible od Ocean’s Eleven).
La fase preliminare richiede un intenso studio dell’obiettivo, attraverso tutto ciò che è reperibile online (le mappe 3D online sono sicuramente una ricca fonte di informazioni) e l’osservazione diretta e prolungata di target e comportamenti.
Fattori quotidiani come orari di apertura e chiusura, cattive abitudini, ingressi secondari, aree di carico/scarico e tutti gli atteggiamenti verso gli esterni rappresentano importantissimi input per comprendere eventuali punti deboli.
Proprio come farebbe un attaccante, bisogna definire lo scenario di rischio più credibile: sarà fondamentale comprendere con quale frequenza il personale esterno si introduce in maniera autorizzata nel perimetro target, anche tramite la messa in scena di situazioni realistiche in cui passare inosservati.
A questo punto, le vulnerabilità da testare sono molteplici. Si possono sfruttare problematiche di tipo perimetrale, che siano o meno frutto di negligenza dei dipendenti. Per esempio, un meccanismo di ingresso lento e complesso, in una realtà in cui vi sia un andirivieni continuo di personale interno ed esterno, potrebbe generare effetti non desiderati, come l’apertura automatica di punti di accesso senza verifiche sull’identità di chi si presenti.
Un’altra questione non trascurabile riguarda il momento giusto in cui all’interno di una giornata andare a condurre il tentativo di intrusione: ad esempio, la fascia oraria della pausa pranzo potrebbe rappresentare una situazione appetibile.
Qualora, infine, non fosse possibile sfruttare alcuna falla a livello perimetrale, rimane da considerare l’ipotesi di un ingresso lecito, agevolato da una scusa plausibile per accedere a zone vietate e critiche dell’azienda.
Conclusione
Su un piano differente, è quello che accade ogni qual volta un truffatore cerca di introdursi in abitazioni private, approfittando della buona fede di soggetti influenzabili e poco strutturati. Allo stesso modo, i cyber criminali cercano di introdursi all’interno delle aziende, potenzialmente vulnerabili per diverse ragioni:
- l’ingegneria sociale vale a dire la predisposizione del soggetto nel farsi abbindolare e a non concepire l’importanza di limitare e controllare l’accesso fisico nel proprio perimetro;
- il fattore organizzativo in tema di controllo degli accessi e quindi di processi e procedure autorizzativi, che un’Azienda possa avere implementato. Questo tipo di concetto risulta tanto più importante quante sono le sedi e strutture distribuite in uno spazio geografico più o meno ristretto.
Solamente attraverso un test di intrusione fisica mirato si può essere in grado di verificare quanto, nella quotidianità della vita aziendale, le politiche e le misure di sicurezza previste risultino davvero sicure o rappresentino, invece, un punto di rischio, sempre più spesso sottovalutato.
