Ingegneria sociale: chiave di volta per le strategie di sicurezza IT

La creazione di un’efficace strategia di sicurezza IT è un processo multilivello che combina tecnologia, processi e persone. Una valida strategia dovrebbe incentrare l’ecosistema di sicurezza intorno alle persone e l’ingegneria sociale metterne alla prova e misurarne il successo. Un elemento spesso trascurato, ma estremamente vantaggioso per chi ne sa approfittare: capire cos’è l’ingegneria sociale può tornare particolarmente utile in questi tempi di digitalizzazione e lavoro da remoto.

Anche prima che questa pandemia modificasse il modo in cui lavoriamo e il tempo che trascorriamo online, gli aspetti umani delle nostre reti erano importanti, per quanto spesso ignorati, e considerati in molti casi l’anello debole della catena. Ora più che mai, ci siamo accorti di quanto questi elementi umani siano rilevanti e di quanto sia necessario contare sulla loro affidabilità per mantenere la sicurezza delle nostre reti. Con il giusto supporto e un’adeguata consapevolezza, ciò che viene percepito come anello debole della catena potrebbe trasformarsi in un incredibile punto di forza. Utilizzando tecnologie, processi e percorsi formativi di sensibilizzazione, abbiamo la possibilità di misurare l’efficacia delle strategie applicate.

Potremmo considerare l’elemento umano come l’ottavo livello del modello OSI: un livello aggiuntivo della comunicazione IT – dai cavi alle applicazioni – in cui dovremmo tenere conto anche dell’aspetto umano. Inoltre, se da una parte credo sia fondamentale considerare l’elemento umano nel contesto delle nostre strategie di sicurezza, dall’altra penso che risieda già in ogni singolo livello del modello OSI: in fin dei conti sono esseri umani quelli che posano i cavi e installano gli hub e i ripetitori delle nostre reti. E sono sempre esseri umani quelli che realizzano e configurano switch e dispositivi bridge. Sono umani coloro che progettano i nostri servizi, che si occupano di configurazione, implementazione, manutenzione... Sono umani anche coloro che poi mettono fine a questi stessi servizi. Infine, è un essere umano anche chi si occupa delle applicazioni web, ne scrive i codici e le testa.

Se a ogni livello troviamo un elemento umano, dovremmo considerare la sicurezza con un approccio olistico, secondo cui i nostri utenti sono elementi a cui guardare come parte del nostro panorama delle minacce, tenendo in considerazione le loro possibili vulnerabilità e capendo meglio come porvi rimedio, proprio come accade per qualsiasi altro elemento delle nostre reti.

Secondo l’IBM X-Force Threat Intelligence Index 2020^[1], nel 2019 le minacce interne e gli insider involontari, ossia gli addetti ai lavori interni all’azienda che ne compromettono involontariamente l’ambiente informatico, hanno causato 8,5 miliardi di record compromessi, una quantità superiore del 200% rispetto al numero di quelli andati persi nel 2018. Di fronte a statistiche di questa portata, che non possiamo ignorare, diventa categorica la loro inclusione nel panorama delle minacce. Un terzo di tutti i vettori di attacco iniziale sono di origine umana, ma come afferma Ira Winkler nel suo discorso «The Human Exploitation Kill Chain»^[2], esistono almeno dieci opportunità per fermare un attacco di phishing e solo due di esse dipendono dall’utente.

I nostri dispositivi periferici dovrebbero essere configurati per filtrare eventuali e-mail dal contenuto dannoso prima ancora che queste raggiungano l’utente: i nostri server e client e-mail devono individuare, filtrare e mettere in quarantena le possibili e-mail di phishing. Se, però, l’e-mail raggiunge l’utente e quest’ultimo ci clicca sopra, dovrebbe comunque essere esortato a non aprire allegati o link a siti dannosi. I nostri strumenti devono bloccare il caricamento di programmi pericolosi e l’invio di dati a terzi esterni utilizzando sistemi DLP, funzioni di identificazione dei keylogger ecc. Anche qualora questi accorgimenti fossero infruttuosi, i nostri strumenti di rete dovrebbero saper rilevare qualsiasi attacco, riuscito o meno, ed essere poi in grado di ripristinare il sistema e segnalare immediatamente eventuali tentativi di intrusione. Quindi, se utilizziamo tutte queste tecnologie con le giuste configurazioni, quando applichiamo i processi relativi alle tecnologie messe in campo, dovremmo concentrarci anche sui nostri utenti, il nostro elemento umano.

Se tutto ciò era vero quando lavoravamo in un ambiente di ufficio tradizionale con i dispositivi di lavoro connessi a reti aziendali professionalmente protette, nella realtà di oggi le minacce sono ancora maggiori perché siamo stati catapultati in un mondo ancora più digitalizzato, ci siamo trasferiti dall’ufficio a casa nostra, su reti non protette, spesso con i nostri dispositivi personali, e in ambienti fisici non necessariamente conformi alle best practice raccomandate per garantire la privacy richiesta dalla natura del nostro lavoro.

Credo fermamente che chiunque si trovi a gestire dei collaboratori debba seguire una formazione sulle minacce interne, su come prevenirle, riconoscerle e porvi rimedio. Dobbiamo imparare a riconoscere i segnali di minacce involontarie, allo stesso modo in cui proteggiamo i nostri dispositivi, le tecnologie e i macchinari. Dovremmo anche imparare a proteggere i nostri collaboratori, garantire loro un ambiente di lavoro sicuro in cui possano prosperare, aumentarne la soddisfazione, contenere il turnover dell’organico e investire nella formazione dei nuovi collaboratori, evitando al contempo di perdere gli elementi più qualificati.

Originariamente, l’industrialista olandese J.C. Van Marken introdusse il termine «sociale ingenieurs» (ingegneri sociali) in un saggio del 1894, avanzando l’idea che i moderni datori di lavoro necessitassero dell’assistenza di specialisti per la gestione delle sfide relative alla componente umana, proprio come si affidavano a esperti tecnici competenti (gli ingegneri tradizionali) per affrontare le questioni non legate all’aspetto umano (materiali, macchine, processi)^[3]. Ai fini del presente articolo ci concentreremo sull’ingegneria sociale intesa come mezzo per comprendere, migliorare e mantenere le strategie di sicurezza informatica.

Spesso l’ingegneria sociale è percepita come troppo costosa. Di frequente sentiamo clienti che ammettono di non testare quasi affatto la consapevolezza dei loro collaboratori in merito all’ingegneria sociale partendo dal presupposto errato che sia una perdita di denaro, utile solo a provare le loro mancanze. Sappiamo di nostri ex clienti che passando a strategie che comprendono attività di formazione sull’ingegneria sociale hanno permesso ai loro collaboratori di evolversi e trasformarsi in punti di forza delle loro reti, attraverso formazione, test e una nuova visione dell’aspetto che potrebbero assumere le minacce. Svolgiamo inoltre esercizi di Red Teaming e simulazioni di incidenti per testare la capacità dei clienti di difendersi da attacchi mirati. Gli esercizi di social engineering sono sviluppati come «adversary emulation» in uno scenario predefinito, utilizzato per creare e sostenere un particolare comportamento e fornire ai collaboratori le abilità e le conoscenze necessarie per riconoscere potenziali intrusioni. Inoltre, il coinvolgimento in esperienze di ingegneria sociale offrirà ai collaboratori gli strumenti per riconoscere e-mail sospette, ad esempio quelle che sembrano provenire dagli alti dirigenti o che chiedono il trasferimento di ingenti somme di denaro, e per aiutarli a capire se qualcuno li sta solo apparentemente interpellando dai piani alti oppure se un estraneo sta tentando di ottenere informazioni ponendo loro domande sospette.

Contrariamente a quanto pensano alcuni, un buon «allenamento» di ingegneria sociale ruota attorno a insegnamento, supporto e consolidamento delle abilità delle persone. L’obiettivo non deve essere quello di spaventare i nostri collaboratori, ma piuttosto fornire loro abilità aggiuntive da spendere per la protezione dell’azienda e di loro stessi. Desidero complimentarmi con coloro che si sono fatti avanti e hanno chiesto al nostro consulente per l’ingegneria sociale come gestire le loro identità e come farne partecipi tutti, dall’addetto alla reception fino ai loro superiori. Mi sto adoperando per tenere sessioni di sensibilizzazione che non siano il solito esercizio di spunta di caselle per ottenere l’attestato di superamento del test di conformità per la sicurezza. Vorrei proporre ai collaboratori sfide di lock picking affinché capiscano quanto può essere semplice scassinare un armadietto e abbiano sotto gli occhi l’importanza di non lasciare in giro materiale riservato.

Proprio come definiamo il nostro panorama delle minacce per una normale rete IT, allo stesso modo dovremmo esaminare con regolarità le nostre reti umane per determinarne l’entità delle possibili minacce e della superficie attaccabile in base alle vulnerabilità delle persone coinvolte. Esattamente come determiniamo qual è il tesoro più prezioso per la nostra azienda, che siano ricerca e sviluppo, informazioni protette da brevetto o il sistema che custodisce tutto il denaro della società, dobbiamo capire qual è il nostro tesoro umano, sia che si tratti degli alti dirigenti o semplicemente di tutti coloro che hanno accesso a tale tesoro materiale. Queste informazioni vengono poi utilizzate non solo per comprendere gli elementi umani in gioco, ma anche per individuare gli aspetti da rivedere nelle nostre reti IT, nonché i processi e le procedure da rafforzare per creare un ecosistema sicuro e adattare di conseguenza la nostra strategia per la sicurezza informatica in modo da renderla perfettamente in linea con le nostre esigenze.

Fonti:

Purtroppo l’evento Connecta non potrà svolgersi come pianificato. Sarka Pekarova sarebbe stato una degli 80 relatori. Un programma alternativo vi aspetta con Connecta TV, Dok e Talk – per saperne di più: www.post.ch/connecta.