Fattore umano e cybersecurity, come affrontare il più grande pericolo per le imprese oggi. Nuova puntata della rubrica esclusiva #BeeCyber costruita da sergentelorusso in collaborazione con BeeCyber, la nuova Business Units di Infor
A fronte dell’implacabile escalation delle minacce informatiche, le aziende, in particolare dopo la pandemia, hanno intensificato notevolmente il proprio sforzo economico ed organizzativo per migliorare la cybersecurity della propria infrastruttura IT (qui la guida sui vantaggi della security as a service). Ben consci di questo fatto, i cybercriminali hanno intrapreso nuove condotte, variando progressivamente le loro strategie, ancor prima degli strumenti che impiegano per portare a segno i loro micidiali attacchi.
Nel mirino dei malintenzionati finiscono sempre più spesso i dipendenti. A fronte di sistemi informatici sempre più sicuri, l’anello debole della sicurezza diventa il fattore umano, relativamente semplice da spezzare se non si adottano le dovute precauzioni quando si impiegano le risorse aziendali.
Correre ai ripari è possibile, ma la frequenza con cui le aziende attive in qualsiasi settore subiscono attacchi informatici a causa di un errore umano ha superato ormai da diverso tempo il livello di guardia. Ogni giorno, ogni ora, ogni minuto che passa può rivelarsi potenzialmente fatale per il business.
Vediamo quali sono i principali rischi che il fattore umano può generare nella cybersecurity aziendale, ed alcune buone prassi, tecniche e procedurali, per rendere più sicura la propria organizzazione.
[Scopri la sicurezza di valore offerta da unna realtà tutta italiana come BeeCyber, la nuova Business Units di Infor che da tempo ha scelto proprio la strada della fornitura di servizi di sicurezza. Una strada che sta regalando serenità, business e competitività a tantissime aziende del territorio]
Contenuti
Fattore umano e cybersecurity: l’anello debole della catena della sicurezza informatica
Pur variando continuamente le dinamiche, il fattore umano rimane l’elemento più vulnerabile per la cybersecurity delle organizzazioni. La pandemia Covid-19, con la crescita esponenziale del traffico nella rete generato dal lavoro in remoto, ha aumentato considerevolmente i rischi di errore umano, traslando al di fuori del tradizionale perimetro di sicurezza aziendale moltissime attività che prima venivano regolarmente svolte in ufficio.
In una configurazione di lavoro ibrido, viene meno proprio il concetto stesso di perimetro aziendale, mentre cresce inevitabilmente la superficie di attacco complessiva.
Anche se la rete aziendale non sempre può considerarsi un ambiente esente da vulnerabilità, si presume che al suo interno vi siano sistemi di protezione e misure di autenticazione più robuste rispetto a quanto un comune dipendente possa fare in remoto, attraverso reti domestiche non protette o su reti wi-fi pubbliche, utilizzando, nella più drammatica delle ipotesi, dispositivi personali ad uso promiscuo, privato e lavorativo. In una situazione del genere, cadere vittime di un attacco informatico, è soltanto questione di tempo.
I cybercriminali sono infatti ben coscienti di questo tipo di situazioni. Tentare di sfruttare l’errore umano era il trend prevalente ancor prima della pandemia, che ha semplicemente ampliato in maniera esponenziale la portata del fenomeno. Anziché tentare di violare la rete principale, i criminali informatici dirottano le proprie attenzioni sui bersagli più semplici, tentando di trarre in inganno i dipendenti attraverso attacchi di phising e attività di social engineering.
Tali minacce vengono spesso contestualizzate in raffinate tattiche di island hopping. Ciò accade quando la supply chain prevede la presenza di molte aziende, iniziando una strategia di APT (advanced persistent threat) a partire dalle vulnerabilità offerte dai dipendenti delle organizzazioni più piccole, che si presume abbiano a disposizione risorse più limitate e un minor livello di attenzione complessivo nei confronti della sicurezza dei propri sistemi.
La vulnerabilità del fattore umano nella cybersecurity aziendale rappresenta dunque il nemico pubblico numero uno per i CISO e i responsabili della sicurezza, che spesso non godono internamente di tutte le competenze necessarie per implementare divisioni specifiche come il SOC (Security Operation Center), il NOC (Network Operation Center) o un team di incident response.
Partendo dal presupposto che per un criminale informatico è molto più comodo accedere in un sistema utilizzando credenziali deboli o rubate, che non hackerarlo attraverso le sue vulnerabilità informatiche, la più semplice deduzione logica dovrebbe suggerire che investire in maniera importante su sistemi di sicurezza moderni e robusti potrebbe risultare del tutto vano, se non si interviene sulla debolezza del fattore umano. A poco serve avere a disposizione il firewall più inespugnabile, quando si finisce per aprire spontaneamente, ed in assoluta buona fede, la proverbiale porta al ladro.
Ogni anno le organizzazioni aumentano mediamente la propria spesa globale per la sicurezza informatica, il che rappresenta il segnale evidente di una maggior consapevolezza nei confronti della minaccia informatica diffusa, anche per via di esperienze di attacchi subiti in prima persona.
Se il sentimento generale appare confortante, il problema ora diventa soprattutto quello di chiedersi come vengano davvero investiti i budget che le aziende destinano alla sicurezza informatica.
Quando lo sforzo viene orientato soltanto a proteggere una dimensione in parte obsoleta come il perimetro di sicurezza, senza investire sulle misure di monitoraggio in grado di rilevare le anomalie sulla rete e sui sistemi aziendali, il rischio è quello di fare le cose a metà, vanificando lo sforzo complessivo in occasione del primo attacco degno di nota.
Per difendersi dai rischi derivanti dal fattore umano occorre una varietà strategica e tecnologica molto più articolata, che le grandi realtà enterprise possono risolvere internamente, mentre nel caso delle PMI richiede sempre più spesso il supporto di consulenti esperti.
È il caso di realtà come BeeCyber, che godono di un comprovato know-how nel supportare sul campo le organizzazioni nel respingere gli attacchi che ogni giorno cercano di violare le loro risorse IT, grazie ai più o meno grossolani errori comportamentali dei loro dipendenti.
Cosa rischiano le aziende a causa degli errori dei loro dipendenti
L’errore umano può aprire la strada a violazioni dei dati (data breach) potenzialmente devastanti per le sorti di un’organizzazione, a prescindere che si tratti di un’azienda privata o di un ente pubblico, che si vede maldestramente sottrarre dati sensibili, segreti industriali o dati personali di migliaia, se non di milioni di persone, che i criminali non si fanno alcuno scrupolo a rendere pubblici o cedere al miglior offerente se non ottengono un adeguato riscatto.
Per una PMI un data breach può risultare, nella peggiore delle ipotesi, un’eventualità irrimediabilmente fatale per le sorti del business. Oltre al danno economico, ai downtime, alla compromissione dei servizi erogati, subentrano infatti pesanti ripercussioni a livello reputazionale, in quanto ben pochi continueranno a riporre una fiducia incondizionata nei confronti di una realtà che non ha saputo proteggere i propri dati e quelli dei propri clienti.
Nell’era della trasformazione digitale, proteggere i dati rappresenta una condizione essenziale quando si tratta di garantire la continuità di business a livello operativo e, di conseguenza, per quanto concerne la crescita e le ambizioni dell’organizzazione stessa.
Oltre ai problemi legati ai servizi erogati e ai danni reputazionali, non bisogna infatti mai dimenticare che le violazioni dei dati corrispondono molto spesso a violazioni della normativa GDPR, che impone di attuare ogni possibile misura tecnica ed organizzativa utile a garantire la protezione dei dati. Se non si è in grado di dimostrare di averlo fatto, si rischiano sanzioni sempre più pesanti, che corrispondono molto spesso a diversi punti percentuali del proprio volume d’affari, espresso in termini di fatturato.
A questo drammatico scenario si aggiunge inoltre la possibilità che intervenga una rivalsa da parte di un cliente o di un fornitore che ha visto violare i propri dati nel contesto di un data breach attuato nei confronti dell’azienda a cui aveva contrattualmente riposto la propria fiducia.
Insomma, rischiare tutto questo a causa dell’ignoranza o della superficialità di un dipendente, appare davvero eccessivo. Vediamo pertanto quali sono le attività più comuni per cercare di mitigare i possibili impatti negativi del fattore umano sulla cybersecurity aziendale.
Rendere più sicuri gli accessi e le procedure di autenticazione
Gli accessi ai sistemi aziendali generalmente rientrano nell’ambito della cosiddetta IAM (Identity and Access Management), un processo di gestione che, attraverso il controllo centralizzato di una directory, consente ad un utente o un device di autenticarsi o meno con successo, fornendo loro soltanto le autorizzazioni definite dalle policy attive.
La IAM, intesa a livello tradizionale, rappresenta certamente la base per garantire un corretto funzionamento e una razionale gestione dei servizi. In termini di cybersecurity, alla luce della crescente varietà delle minacce andrebbero tuttavia implementate misure tecnologiche e organizzative in grado di garantire i seguenti obiettivi:
- Implementare sistemi con un principio di privilegio minimo, in modo da limitare i rischi dovuti ad autorizzazioni eccessive rispetto a quelle necessarie a ciascun utente per svolgere le mansioni previste;
- Implementare sistemi capaci di riconoscere e rendere inoffensiva l’escalation degli accessi non autorizzati derivanti da attività malevole (spear phising, ecc.);
- Isolare le zone della rete in cui sono presenti i dati maggiormente sensibili, rendendole più complesse da raggiungere rispetto ai sistemi perimetrali;
- Controllare in modo specifico gli accessi ai server e alle macchine attive 24/7;
- Controllare in modo specifico gli account amministrativi e quelli dotati di un livello di privilegi elevato (es. unit manager e C-level);
- Implementare sistemi di autorizzazioni a durata limitata, per evitare il rischio che un attaccante possa impossessarsi di un account attivo, anche se legato ad un utente non più attivo, come un ex dipendente o un fornitore / consulente che ha nel frattempo cessato il proprio incarico.
In generale, è opportuno ricorrere a sistemi di autenticazione multifattoriale (MFA), da tempo obbligatori ad esempio nell’ambito dei servizi finanziari attraverso la normativa PSD2 (Payment Services Directive 2). In questo modo, si riesce se non altro a rendere più complessa la vita degli autori di attacchi phising o social engineering. Per accedere con successo ad un sistema non è infatti sufficiente rubare le credenziali semplici come user e password, ma occorre disporre di un ulteriore dato, abitualmente generato in tempo reale da un sistema terzo e soggetto a rapida scadenza.
Per assurdo, proprio grazie al fatto che i servizi di home banking hanno diffuso le procedure di autenticazione multifattoriale, spesso i semplici cittadini adottano, anche inconsapevolmente, una condotta più sicura rispetto alle aziende, i cui sistemi di autenticazione rimangono molto spesso legati ad un singolo fattore, ormai piuttosto semplice da violare.
Le procedure sopra elencate vanno se possibile implementate integrando sistemi in grado di automatizzarne la configurazione e la gestione, sotto l’occhio vigile di specialisti esperti, capaci di supportare l’IT aziendale in tutte quelle procedure che necessitano di una comprovata esperienza specialistica.
Quando non vengono affidate ad una regia esperta, anche le misure di sicurezza più semplici, come la generazione di password robuste nella sintassi e differenti per ogni account, appaiono tutt’altro che scontate nella loro adozione.
Sistemi di monitoraggio e analisi comportamentale
Dal punto di vista strumentale, il modo migliore per capire se i sistemi aziendali sono oggetto di attacchi derivanti da vulnerabilità del fattore umano consiste nell’adottare un efficace sistema di monitoraggio, come i SIEM (Security Information and Event Management), capace di unire l’operatività di un SIM (Security Information Management) e di un SEM (Security Event Management).
La componente SIM automatizza il processo di acquisizione e orchestrazione dei log dei sistemi osservati, trasmettendo i dati ad un server in grado di analizzarli.
La componente SEM aggiunge al SIM una serie di funzionalità in tempo reale, grazie al costante monitoraggio degli eventi che accadono all’interno della rete e sui sistemi di sicurezza attivi, correlando i dati rilevati, automatizzando una serie di risposte nel caso in cui si manifestassero determinate situazioni.
I SIEM di più recente generazione sono in grado di acquisire e analizzare una grande varietà di dati provenienti dai sistemi IT:
- Dispositivi di rete: router, switch, access point wireless, WAN, DNS server, ecc.
- Dispositivi di sicurezza: VPN, firewall, intrusion detection system, intrusion prevention system, antivirus e antimalware;
- Altri dispositivi informatici: device desktop e mobile, authentication server e database
- Applicazioni cloud e intranet
I SIEM utilizzano tecniche di intelligenza artificiale e machine learning per correlare la grande quantità e varietà di dati di cui dispongono, ai fini di rilevare qualsiasi possibile anomalia comportamentale, generando allarmi e procedure di incident response per analizzare nel dettaglio le possibili criticità in termini di sicurezza informatica. Le anomalie vengono riconosciute rispetto ad una serie di regole predefinite.
Ad esempio, se un SIEM dovesse rilevare un accesso nei confronti di un database, in un orario anomalo, da una macchina che non avrebbe altrimenti alcun motivo di tentare di accedervi, segnalerà l’anomalia, attuando eventualmente le procedure automatiche per garantire la sicurezza in emergenza del database in questione, fino a quando il SOC o i responsabili della sicurezza non intervengono con tutte le valutazioni del caso.
I SIEM dispongono di sistemi di analisi avanzata del comportamento degli utenti e dei device (UEBA), che sfruttano le capacità analitiche e di apprendimento automatico della AI e del machine learning, per rilevare le anomalie comportamentali dei dipendenti e dei dispositivi autenticati, anche in relazione al rispetto delle policy previste.
L’utilizzo dei SIEM passa solitamente attraverso quattro fasi fondamentali, in cui i SOC devono capire come gestire i log e gli eventi che accadono sui sistemi aziendali:
- Definire cosa si intende monitorare
- Connettere le fonti di dati per osservare log ed eventi
- Impostare ed eseguire le correlazioni dei dati acquisiti
- Monitorare e gestire gli alert di sistema
I SIEM di più recente evoluzione sono in grado di restituire i report in tempo reale dei sistemi monitorati, evidenziando le possibili criticità e tenendo traccia degli interventi correttivi, nell’ottica di una strategia di miglioramento continuo.
Il monitoraggio può far emerger vulnerabilità nelle reti e nelle applicazioni, che vanno immediatamente approfondite attraverso procedure di vulnerability assessment (VA) e penetration test (PT), come quelle offerte da una realtà come BeeCyber.
VA e PT consentono infatti di individuare i possibili punti deboli che gli attaccanti potrebbero sfruttare, valutare la portata delle azioni che potrebbero innescare e ovviamente mitigare con successo tali eventualità prima che possano effettivamente avere luogo.
Igiene informatica: sensibilizzare e formare il personale dipendente
Anche i sistemi di cybersecurity più evoluti potrebbero risultare vani se non adeguatamente supportati da una condotta consapevole da parte dei dipendenti. Per tale ragione è essenziale predisporre una strutturata attività di formazione aziendale in materia di sicurezza informatica, coinvolgendo tutti gli attori delle linee di business aziendali.
Un buon programma di formazione deve essere coordinato da figure esperte in fatto di cybersecurity e dotate di comprovabile esperienza in ambito didattico, come nel caso di BeeCyber.
Tra i criteri che guidano la definizione dell’attività di formazione dei dipendenti in materia di igiene informatica, è opportuno considerare:
- Impostazione degli obiettivi generali del programma
- Impostazione dei criteri di misurazione dei risultati, ad esempio monitorando il livello di consapevolezza raggiunto attraverso test e verifiche
- Valutazione dei tempi necessari per ottenere un determinato livello di conoscenza
- Definizione di gruppi omogenei in base alle competenze minime che i dipendenti devono acquisire funzionalmente alle attività eseguite dalla loro linea di business
- Definizione di programmi di aggiornamento, in modo da accertare che le competenze acquisite vengano effettivamente implementate durante l’attività quotidiana, oltre ad impedire che le nozioni acquisite vengano dimenticate nel tempo
I programmi di formazione in materia di igiene informatica, ancor prima di offrire le nozioni necessarie a sviluppare le competenze richieste, devono stimolare l’interesse e la curiosità nei confronti della sicurezza, sviluppando una coscienza critica e di costante attenzione nei confronti delle possibili minacce. Soltanto in questo modo è possibile incoraggiare e rendere spontanea l’adozione di un comportamento più consapevole e responsabile.
Per tali ragioni, è importante adottare metodi didattici in grado di sfruttare moderne tecniche di apprendimento, come l’edutainment, che consente di acquisire le conoscenze utili grazie a momenti di gioco e coinvolgimento collettivo, atte a favorire dinamiche hands on e learning by doing.
Infine, per monitorare i risultati raggiunti dai dipendenti, è possibile adottare una serie di semplici metodi analitici, attraverso framework e strumenti finalizzati a generare report in tempo reale, dotati di risultati tangibili e misurabili.
Per saperne di più in merito ai sistemi e alle procedure utili a mitigare i rischi derivanti dal fattore umano nella cybersecurity aziendale è possibile contattare gli specialisti di BeeCyber, disposti ad analizzare ogni caso specifico per suggerire la risposta più funzionale al raggiungimento degli obiettivi di business.