Non contate sulle persone per prevenire le violazioni dei dati

Di fronte a malware sempre più aggressivi e “personalizzati”, ecco come neutralizzare una violazione dei dati ricorrendo a un mix di tre importanti strumenti.

Durante una colazione di lavoro con alcuni dirigenti a capo della sicurezza di Intel mi è capitato di ascoltare una storia molto interessante che aveva come oggetto lo “spearfishing”, termine che indica un attacco informatico rivolto contro uno specifico dirigente di un’azienda, in modo da rubare le sue credenziali o da compromettere il suo hardware.

Questo dirigente di Intel ha ricevuto un’email con in allegato un documento PDF proveniente da un presunto studente cinese. L’email, che invitava il destinatario ad aprire il PDF allegato, conteneva informazioni personali sul mittente e dati sulla scuola talmente precisi e curati da sembrare autentici. In sé il PDF non sembrava minaccioso, ma invece di aprirlo il dirigente lo ha inviato ai McAfee Labs per farlo testare e vedere se si trattasse di un pericolo o meno.

Il risultato dell’analisi ha dimostrato che si trattava di un file malevolo che conteneva esempi multipli di un malware mai visto prima. In poche parole questi hacker non solo hanno preso di mira quel particolare dirigente, ma hanno anche creato un “pacchetto” univoco in modo da non farlo sembrare sospetto.

Lo “spearfishing” è un attacco informatico mirato, rivolto contro uno specifico dirigente di un’azienda

adv
Cloud Communication Business

Nell’era digitale il centralino va in Cloud

La telefonia di nuova generazione è in software-as-a-service: non richiede di installare centralini hardware, gestisce fisso e mobile, e consente di attivare nuove linee o filiali con un clic, abilitando Smart Working e Unified Communication. SCOPRI DI PIÙ >>

Già anni fa eravamo al corrente della pericolosità dei PDF, ma con il passare del tempo questa minaccia non è ancora stata mitigata. Quello che trovo particolarmente inquietante è che quel malware fosse stato scritto in modo specifico per attaccare un dirigente esperto in sicurezza. Questa figura rappresenta per i criminali informatici un target molto importante e attraente, visto che le informazioni sottratte a esso potrebbero fornire una chiave per avere accesso a tutti i suoi clienti.

Non possiamo dipendere dalle persone per fare la cosa giusta

In questo caso il dirigente ha fatto la cosa giusta, ma quanti dei suoi colleghi in questa azienda o in un’altra hanno ricevuto varianti di questo file allegato? E, domanda ancora più importante, quanti hanno aperto il documento e quante aziende specializzate in sicurezza sono ora compromesse?

Leggi anche: Furto di password aziendali: quando a compierlo sono gli stessi dipendenti

Sappiamo che i computer dei nostri figli sono molto probabilmente compromessi e sappiamo altrettanto bene che i nostri PC e altri dispositivi risiedono sulla stessa rete e che, di conseguenza, c’è il rischio ben fondato di diventare “portatori di virus” quando portiamo i nostri device da casa in ufficio.

Certo, se siamo furbi facciamo scansionare questi dispositivi prima di connetterli alla rete aziendale, ma spesso le scansioni non riescono a rilevare malware codificato appositamente per uno o più impiegati. Sapendo poi che i nostri dirigenti non sono così attenti a queste cose, le possibilità di subire una violazione di sicurezza possono diventare drammaticamente una certezza.

La Golden Hour

Oltre al termine “spearfishing” i dirigenti di Intel con i quali mi sono intrattenuto hanno utilizzato anche un’altra espressione curiosa: the Golden Hour. Con essa si intende il periodo che passa da una violazione nella sicurezza a quando bisogna identificarla e possibilmente neutralizzarla. Se sappiamo di essere stati colpiti, il nostro approccio alla sicurezza sarebbe ben diverso.

Oggi ci stiamo infatti concentrando quasi esclusivamente sulla prevenzione, ma chiaramente questo approccio non sta funzionando. Se sappiamo ad esempio che un’entità ostile sta già operando all’interno dell’azienda, dobbiamo concentrarci di più su un’identificazione aggressiva (McAfee SIEM), sulle contromisure da mettere in atto (Invotas) e su una più efficace messa in sicurezza delle informazioni stesse (Varonis).

Per fare un esempio più pratico, immaginiamoci un attimo che dei ladri siano già entrati in casa nostra. A questo punto sarebbe troppo tardi e del tutto inutile pensare a mettere delle serrature più resistenti alle porte. Molto meglio invece nascondere le cose di valore e inventarsi qualcosa per far fuggire i ladri.

La stessa cosa succede con un attacco informatico. Se siamo sicuri di essere stati colpiti, dobbiamo accertarci che le nostre informazioni non escano dal nostro sistema e non vadano altrove e per questo ci dobbiamo concentrare sulla ricerca e sull’eliminazione di questo accesso illegale.

La protezione migliore per la difesa contro le violazioni

So che Sony, dopo il gravissimo attacco subito lo scorso anno, ha adottato separatamente alcuni di questi strumenti (McAfee SIEM, Invotas e Varonis), ma non ho ancora trovato nessuno che abbia messo in campo questo mix specifico e, se si vuole avere la possibilità di neutralizzare in tempo l’accesso illegale (la già citata Golden Hour), penso che questi tre strumenti insieme siano davvero necessari.

Nel mio caso ho scelto MacAfee per la vicinanza a Intel, Invotas per l’approccio molto aggressivo nella risposta alle minacce e Varonis perché perché al momento si tratta del migliore servizio disponibile al momento per la protezione dei dati non strutturati. Nelle prossime settimane cercherò di trovare qualche azienda che abbia messo in campo questo mix di strumenti e tornerò sull’argomento.

Nel frattempo vi conviene ricordare a tutti i vostri dirigenti e al personale IT di non aprire allegati provenienti da sconosciuti su nulla che non sia un PC isolato. Se poi hanno già commesso l’errore aprendo il file (particolarmente un PDF a prima vista innocuo), questo dev’essere mandato subito al team addetto alla sicurezza per essere valutato. Se non si tratta di nulla di pericoloso, meglio così, ma in caso contrario si deve iniziare immediatamente un processo per mitigare il danno e per essere sicuri che un evento simile rimanga isolato e non si ripeta più in futuro. Penso proprio che questo sia un pessimo decennio per essere un CSO.

Se questo articolo ti è stato utile, e se vuoi mantenerti sempre aggiornato su cosa succede nell’industria ICT e ai suoi protagonisti, iscriviti alle nostre newsletter:

CWI: notizie e approfondimenti per chi acquista, gestisce e utilizza la tecnologia in azienda
CIO:
approfondimenti e tendenze per chi guida la strategia e il personale IT
Channelworld: notizie e numeri per distributori, rivenditori, system integrator, software house e service provider

Iscriviti ora!