Cybersecurity: I clienti sono l'anello debole

Generale e particolare, grandi scenari e quotidianità fatta di mille pieghe e casi singoli. Piccole porticine che rischiano però, se aperte alle persone sbagliate, di mettere in crisi tutto il sistema. La dinamica che fa da sfondo ai temi della cybersicurezza si muove su diversi piani e dimensioni, tutti estremamente collegati e tutti ugualmente importanti al fine di una difesa efficace dal cybercrimine. Poggia su questa base di approccio multi-orizzonte l’Innovation Workshop organizzato da Bancaforte, in collaborazione con 7Layers e Fasteb, dal titolo MRD, SOC (R)Evolution - Evoluzione dei Servizi di Managed Detection and Response, che si svolgerà mercoledì 16, alle ore 11 (accessibile in streaming gratuito, iscriviti qui).

 

Bancaforte ha già approfondito i temi specifici dell’Innovation Workshop (vedi qui). Ora, con Riccardo Baldanzi, Fondatore e CEO 7Layers, e Simone Rapizzi, Ceo di Whetu, proviamo ad allargare il perimetro del discorso, facendo un punto su come il settore bancario e finanziario sta affrontando le strategie sempre più sottili della criminalità digitale.

Riccardo Baldanzi. «L'attuale implementazione della sicurezza nei processi IT è dettata principalmente dalla necessità di rispettare i requisiti cogenti della normativa vigente. Quelli implementati sono controlli focalizzati quindi prevalentemente alla collezione di dati nei livelli necessari e alla protezione dei sistemi "core" dell'ambito bancario. C’è però il problema che oggi gli attacchi sono indirizzati per la maggior parte verso i sistemi "client" degli utenti, con lo scopo di rubare le credenziali e, quindi, agire "sotto mentite spoglie", ma senza una violazione tecnologica diretta dei sistemi della banca stessa. La frontiera della sicurezza si è spostata quindi su questo nuovo livello: gli attaccanti hanno imparato a usare il canale più sicuro e semplice, operando con tecniche di spear phishing, e a colpire l'anello debole della catena, ovvero l'utente. Analizzando gli attacchi ai sistemi usati dai clienti delle banche, infatti, notiamo un aumento delle vulnerabilità pubblicate e degli attacchi verso questi, come se non fosse ancora possibile implementare correttamente una sicurezza by design a tutti i livelli ma fosse limitata al perimetro "interno" della banca».

Simone Rapizzi. «Molto spesso anche lo stesso personale del settore IT di un’azienda ha una conoscenza di alto livello degli attacchi informatici, sottovalutando la capacità degli attaccanti di sfruttare a proprio vantaggio funzioni e sistemi necessari per motivi di business: anche in presenza di strumenti di sicurezza i piccoli segnali sono ignorati e, per tanto, un’azione malevola come quella che mostreremo nella simulazione durante l’Innovation Workshop rischia di giungere a compimento perché non ritenuta "possibile". Elevare la consapevolezza degli stakeholder al fine di prendere decisioni più puntuali è fondamentale per garantire un livello di sicurezza idoneo al panorama, in continua evoluzione, delle minacce. Avendo consapevolezza di come un attacco può realizzarsi è possibile decidere le strategie più idonee e, quindi, proteggersi in maniera più efficace».

Riccardo Baldanzi. «La competenza umana è fondamentale per progettare e configurare i sistemi di protezione, i quali per efficaci che possano essere è necessario siano configurati in maniera idonea, ad esempio evitando di non controllare alcune aspetti IT per non ricevere "fastidiosi" alert o lamentele dai colleghi. Analogamente, nella parte di analisi l'ingegno e la capacità dell'essere umano è in grado di sfruttare appieno la tecnologia disponibile e, anche in assenza di strumenti tecnologici, può permettere di identificare e individuare un attaccante evoluto. Gli strumenti tecnologici di oggi permettono di aumentare la visibilità su quanto accade all'interno della propria infrastruttura ma, in ultima analisi, è l'essere umano che decide: molto spesso, purtroppo per carenza di risorse, agli strumenti è demandata la maggior parte degli aspetti di sicurezza, limitando le analisi ai casi con gravità più elevata e tralasciando gli altri perchè bloccati... ma questi eventi potrebbero essere sintomi di una azione a più ampio raggio».

Riccardo Baldanzi. «A livello della difesa sono usate tecnologie che richiedono una visibilità sempre più elevata su cosa accade all'interno di un sistema e su cosa transita a livello di rete, in quanto, come si dice, "la conoscenza è potere": troviamo molteplici strumenti che declinano tale aspetto, dai sistemi di Endpoint Protection a quelli di analisi e simulazione del traffico di rete, non ultimi i sistemi di "analisi comportamentale", non solo dei processi ma anche delle persone. Le direttrici principali sono, appunto, aumento della visibilità e analisi complesse delle Tattiche, Tecniche e Procedure adottate dagli attaccanti tramite logiche di ML e AI».

Simone Rapizzi. «Le risorse impiegate dagli attaccanti sono, in proporzione, maggiori rispetto a quelle a disposizione della difesa: gli attaccanti hanno meno limiti legati, ad esempio, al budget annuo da dividere su progetti IT e progetti di Security, potendo usare qualsivoglia mezzo. I difensori sono limitati da questioni di costi e di risorse umane disponibili, dalla ridotta consapevolezza di come un attacco possa preformarsi e dalla credenza, ancora oggi troppo diffusa, che sia sufficiente comprare un apparato di sicurezza o spostare dei servizi in cloud per essere sicuri, senza ragionare e dedicare risorse e tempo a una reale crescita delle competenze. In questo gioco di guardie e ladri siamo soliti vedere un alternarsi tra l'uno e l'altro al primo posto, con lunghi periodi di vantaggio da parte degli attaccanti che sfruttano attacchi non noti per molto tempo prima che vi sia una protezione idonea».