I primi mesi del 2016 sono stati segnati da un crescente numero di cyber-attacchi, molti dei quali hanno guadagnato le prime pagine dei giornali. Da TalkTalk fino ad Ashley Madison, la quantità di aziende che sono state colpite con successo ha continuato ad aumentare. Tuttavia una tale situazione, sebbene possa aver fatto crescere la consapevolezza di questo genere di minacce nel grande pubblico, non sorprende certo chi lavora nel settore della sicurezza. Molte organizzazioni rimangono vulnerabili, e una delle principali ragioni di ciò è da ricondurre alla carenza di risorse ‘umane’ specializzate all’interno di tanti team: esiste infatti una significativa mancanza di personale esperto che ricopra tutte le funzioni e le posizioni disponibili.
Nei mesi scorsi il governo britannico ha annunciato l’intenzione di aumentare il budget dedicato alla cyber-sicurezza portandolo fino a 1,9 miliardi di sterline entro il 2020 con un progetto che comprende la creazione di un National Cyber Centre e di un Institute for Coding. Nonostante questo, però, (ISC)2 – ente di certificazione che opera nel settore della sicurezza – calcola che entro il 2019 le aziende avranno bisogno di sei milioni di professionisti specializzati in sicurezza a fronte di solo 4,5 milioni di esperti dotati delle qualifiche e delle competenze necessarie. Una prospettiva che fa riflettere.
Le persone che fanno parte dei nostri team incaricati della sicurezza costituiscono quella ‘intelligence’ di cui abbiamo bisogno per combattere gli avversari umani che stanno dietro ai moderni attacchi orchestrati. Questi attacchi, meno automatizzati e maggiormente legati a un fattore umano, sono una delle principali ragioni per cui le aziende continuano a essere colpite con successo nonostante dispongano delle più moderne tecnologie di rilevamento e prevenzione.
Nei riguardi della sicurezza molte aziende adottano un approccio del tipo ‘rileva e rispondi’ con una strategia che richiede di acquistare e installare tool capaci di intercettare e bloccare le ultimissime minacce; ciò viene quindi combinato con processi che focalizzano il lavoro del team sugli eventi ad alta priorità generati da questi tool. Si tratta di un approccio che funziona molto bene per bloccare più del 90% delle minacce, ma che non è in grado di fermare la determinazione di un avversario umano.
Le persone tendono a innovare e trovare il modo di aggirare i problemi, specialmente quando sono motivate (e ai malintenzionati le motivazioni non mancano di certo). Il modus operandi prevede azioni di ricognizione e campagne pianificate in modo tale per cui, nell’eventualità che l’attacco venga rilevato, questo sia considerato come un evento a bassa priorità che non richiama l’attenzione dei team incaricati della sicurezza. L’attacco passa così inosservato fino a quando l’attaccante non si avvicina al suo obiettivo, momento nel quale anche se la minaccia venisse intercettata non ci sarebbe comunque tempo per attivare una strategia di contenimento.
Il punto della questione è che ci affidiamo al fatto che le nostre tecnologie di rilevamento suonino l’allarme per attirare la nostra attenzione, mentre questo genere di attacchi fa in modo che ciò non accada. In molti casi possediamo i dati necessari a identificare questi attacchi già nelle fasi precedenti del loro ciclo di vita; ciò che ci occorre è fare in modo che i nostri team di sicurezza possano osservare tali attività.
È qui che l’approccio ‘ricerca e contieni’ può diventare molto più efficace: occorre sempre lo spiegamento di tool per il rilevamento e la prevenzione capaci di affrontare le minacce conosciute – questo è scontato – spostando tuttavia l’investimento di tempo e denaro da parte delle aziende verso tecnologie maggiormente avanzate (quelle per il rilevamento comportamentale) e processi di sicurezza più intraprendenti, come ad esempio la ricerca attiva.
Adottando un approccio ‘ricerca e contieni’ e utilizzando gli strumenti appropriati, le risorse esistenti possono diventare assai più efficaci: possono gestire gli eventi in maniera più efficiente, identificare pattern di attività potenzialmente rischiosi (e che in precedenza sarebbero stati ignorati), focalizzare più tempo ed energie nel fermare le minacce che davvero possono colpire l’azienda. Gli attaccanti sono persone, per cui dobbiamo contrastare la loro innovazione con le migliori risorse che abbiamo a disposizione: le nostre persone.