Perché bisogna cambiare l’approccio nei confronti della sicurezza informatica

Solomon Gilbert di We Fight Fraud spiega perché non basta più reagire agli attacchi informatici; è ormai diventano necessario anche adottare atteggiamenti più resilienti.

sicurezza informatica

Cosa rende un attacco “comune”? La risposta a questa domanda è cambiata non poco negli ultimi tempi. In passato gli attacchi comuni erano tali perché gli sviluppatori non implementavano soluzioni facili ai problemi; le capacità degli “hacker” erano ancora elitarie e il nostro atteggiamento nei confronti della risoluzione delle vulnerabilità era piuttosto elementare. In sostanza, eravamo tutti pessimi nel fare il nostro lavoro.

Ora, a dieci anni di distanza, le basi per un tipico attacco risiedono molto più in certi comportamenti e atteggiamenti che non in una cattiva ingegneria. Sebbene l’incompetenza e il rifiuto di utilizzare le migliori pratiche conducano ancora a vulnerabilità, gli attacchi più comuni ora sono quasi interamente incentrati sulle persone e dobbiamo fare sempre più affidamento sul comportamento e sulla reazione umana.

Inutile dire che l’atteggiamento di molte aziende (limitarsi a riparare le vulnerabilità man mano che emergono) non fa nulla per rimediare ai comportamenti sottostanti che consentono questi attacchi. Invece, dobbiamo mettere in pratica comportamenti che resistono alla prova del tempo e, in sostanza, correggere la nostra mentalità e adottare atteggiamenti più resilienti nei confronti della sicurezza informatica.

ADV
HP Wolf Security

Il perimetro aziendale oggi passa dalla casa dei dipendenti

Metà dei dipendenti usa il PC anche per scopi personali e il 30% lascia che venga utilizzato da altri famigliari. La tua cybersecurity è pronta per le sfide del lavoro remoto? LEGGI TUTTO >>

Cominciamo prima con il definire noi stessi. Siamo esseri complessi e sfaccettati, con passioni, desideri, emozioni e responsabilità. Siamo essere che pensano, amano, odiano e sbagliano. Beh, odio dirlo… ma in poche parole siamo esseri imperfetti. Inoltre, il problema è che i nostri cervelli reattivi sono veloci. Fanno affidamento sul prendere decisioni estremamente veloci e non pensano in modo critico al perché prenderle. Agiscono subito e ne subiscono le conseguenze in seguito. I nostri cervelli logici sono invece lenti, metodici e hanno bisogno di tempo per arrivare a una conclusione ragionata. E i criminali ne approfittano.

Gli aggressori progettano socialmente situazioni in cui siamo costretti a pensare rapidamente, con una posta in gioco molto alta e un’enorme pressione. L’obiettivo è sperare che il nostro cervello reattivo dia loro il risultato di cui hanno bisogno prima che il nostro cervello logico abbia il tempo di fermarci. Se quindi siete costretti a prendere una decisione insolita, lasciate che il vostro cervello razionale prenda il controllo. Aspettate almeno qualche secondo e pensate in modo critico a ciò che vi viene chiesto. Se non siete sicuri di qualcosa, non fatela.

Tornando al discorso di prima, siamo anche esseri molto “pigri”. Non importa quanto ci sforziamo; non siamo ancora in grado di smettere di usare “password123” come password per tutto. O forse usiamo una password come “J3fFery1!” e pensiamo compiaciuti di essere i migliori di tutti. La verità è che la maggior parte delle nostre idee su ciò che costituisce una buona password sono sbagliate. Il modo migliore per gestire le password è, per una sbalorditiva coincidenza, utilizzare un gestore di password. Ma per capire perché tutto questo è importante, dobbiamo prima capire come funzionano le password.

password

Prima che le password vengano memorizzate in un database, vengono convertite in una stringa casuale chiamata hash. Due password non producono mai lo stesso hash e, una volta che avete un hash, non c’è modo di capire quale sia la password originale. Quando accedete a un sito, questo prende la password che avete inviato, la trasforma in un hash, quindi la confronta con l’hash che ha già per il vostro account.

Se corrispondono, l’accesso va a buon fine. A volte, i siti vengono violati, i loro database rubati e venduti ai criminali. Ignorando il fatto che dobbiamo fare affidamento sulle aziende per archiviare correttamente i nostri hash, dovremmo essere relativamente sicuri sapendo che le persone non possono scoprire le nostre password. In realtà possono farlo. Basta prendere elenchi di parole molto lunghi, trasformarli in hash e confrontarli con quelli che ho preso da un database.

Se corrispondono, ho trovato la password. Se le migliori pratiche non vengono seguite nel modo in cui queste password vengono “sottoposte ad hashing”, posso farlo milioni, a volte miliardi, di volte al secondo. Una volta ottenute queste password, posso immediatamente tentare di accedere ad altri account con l’indirizzo e-mail della vittima. Questa tecnica è chiamata Credential Stuffing.

I gestori di password prendono sequenze casuali e le salvano come password univoche per ogni sito che visitate. In questo modo, se tali password vengono rubate e vendute, un utente malintenzionato non può utilizzarle per un altro sito Web. Se invece non volete utilizzare un gestore di password, utilizzate passphrase univoche e facili da ricordare composte da più parole.

La nostra pigrizia si estende quando ordiniamo costantemente al nostro computer di “ricordarcelo più tardi” ogni volta che ci suggerisce un aggiornamento. Cosa sbagliatissima. I professionisti della sicurezza lavorano molto duramente per trovare falle e vulnerabilità nei sistemi che utilizziamo e, quando queste vengono rilevate, vengono risolte. Non aggiornare i nostri sistemi ci rende estremamente vulnerabili.

Le policy di sicurezza esistono per un motivo e dobbiamo seguirle. Dobbiamo essere attivamente coinvolti e prenderci cura della sicurezza del nostro ambiente, ma questo implica (metaforicamente) alzarsi dal divano e fare qualcosa, come essere informati sulla nostra privacy. È infatti opportuno che capiamo come e perché i nostri dati vengono gestiti.

In conclusione:

  • Quando siamo sotto pressione per prendere una decisione, o se non siamo sicuri di qualcosa, abituiamoci a prenderci un po’ di tempo e ad analizzare la situazione con uno sguardo critico e scettico. Ciò potrebbe aiutare a prevenire attacchi di phishing, frodi e tutti gli altri tipi di truffe
  • Non bisogna essere pigri ma informati e dobbiamo mantenere attivamente una valida policy delle password e aggiornare i nostri sistemi per prevenire l’emergere di vulnerabilità
  • Non dobbiamo fare certe cose solo perché ci viene detto di farlo, ma dobbiamo capirle, studiarle e sviluppare nei confronti di esse un certo spirito critico

Se questo articolo ti è stato utile, e se vuoi mantenerti sempre aggiornato su cosa succede nell’industria ICT e ai suoi protagonisti, iscriviti alle nostre newsletter:

CWI: notizie e approfondimenti per chi acquista, gestisce e utilizza la tecnologia in azienda
CIO:
approfondimenti e tendenze per chi guida la strategia e il personale IT
Channelworld: notizie e numeri per distributori, rivenditori, system integrator, software house e service provider

Iscriviti ora!