In molti nostri articoli ci siamo concentrati sulla cronaca di allarmi per minacce 0-day, già visti in natura o “scampati per un pelo”. 

Non passa infatti molto tempo che una nuova minaccia, una nuova campagna, una nuova vulnerabilità da sanare vengano individuate da vendor e ricercatori: diciamo è “fisiologico”. 

L’elenco dei vendor alle prese con queste vulnerabilità durante una campagna in atto è nota (Microsoft, Google, Apple, Amazon, ecc), così come nota è la lista dei vendor di apparati di rete e sicurezza che vengono interessati da difetti che ne minano la funzione di base (F5, Citrix, Palo Alto e SonicWall). 

Tutto vero, ma gli 0-day sono solo una parte del problema: potremmo semplicemente definirli come quella componente del sistema che periodicamente aumenta il volume di rischi e minacce attorno all’industria IT. 

Ma la verità ultima è che, mentre la ricerca e lo sviluppo di exploit per 0-day sono cosa complessa e dispendiosa, gli stessi diventano meno “efficaci” una volta che se ne divulghi la notizia di esistenza, rendendoli “utilizzabili”, mediante quell’effetto sorpresa che li caratterizza, nell’arco temporale di giorni o settimane. Nel frattempo però, quello che accade è che la maggior parte delle organizzazioni viene colpita e violata tramite altri attacchi, noti da tempo, addirittura “vecchi”, che nulla hanno a che fare con gli 0-day “del momento”. ù

Infatti il termine “avanzato” con cui si definiscono le minacce più pericolose (Advanced Persistent Threat, APT), induce troppo spesso a pensare falsamente che questi agiscano con tattiche, tecniche e procedure (TTP) sempre “avveniristiche”, trascurando una ovvietà: gli attori di minaccia utilizzeranno sempre tutti gli strumenti a loro disposizione, senza distinguere tra vecchio e nuovo, ma semplicemente tra efficace e non efficace (fonte Mandiant). Ed il “parco software” a disposizione (commerciale ed open-source), efficace e ben sviluppato è ampio e disponibile a tali agenti di minaccia, tanto da garantire loro la funzionalità richiesta e consentirgli di concentrarsi sul cosiddetto “ultimo miglio” dell’attacco, ossia trojan tradizionali, o trojan di accesso remoto, ransomware, keylogger e ogni altra sorta di malware. 

Quello che è ampiamente disatteso è invero il principio della “Sicurezza 101”: “proteggi te stesso”, “proteggi i dispositivi” e “proteggi i dati”. 

In altre parole, le organizzazioni vengono violate perché uno o più di questi imperativi vengono a mancare, come ad esempio quel “proteggi te stesso” che è carente per l’inadeguatezza (o per meglio dire assenza) della formazione alla sicurezza (Security Awareness) del personale, che lo rende permeabile alle varie forme di phishing, ingegneria sociale e altro. Ma anche inadeguate configurazioni di sicurezza, assenza di autenticazione a più fattori o anche il corretto utilizzo di dispositivi di memoria di massa rimuovibili possono creare incidenti di sicurezza ben più gravi di una qualsiasi campagna 0-day. 

Tutto questo funziona per la variabile indipendente del sistema chiamata “fattore umano”, che si traduce spesso nel disattendere (anche i sistemisti sbagliano) le più banali regole di sicurezza note già 10 o 20 anni fa: segmentazione della rete, la politica “nega tutto” sui firewall, backup eseguiti su sistemi isolati dal resto della rete e verificati (test di ripristino) nella loro efficacia, accessi amministrativi ristretti a poche persone e controllati strettamente (per sistemi e dispositivi), ecc. 

È solo di gennaio un avviso dell’FBI su campagne orchestrate da FIN7 (un attore di minaccia motivato finanziariamente) contro aziende tramite ransomware inviato ai dipendenti attraverso chiavette USB (fingendosi il Dipartimento della salute e dei servizi umani (HHS) degli Stati Uniti oppure Amazon), un metodo di diffusione di malware ormai noto da oltre dieci anni (forse il vettore di attacco per l’attacco Stuxnet in Iran, 2010). 

Eppure il metodo funziona ancora, ed è quindi ancora utilizzato. 

Per questi specifici casi, unica barriera non è la correzione di un software, ma è una corretta consapevolezza alla sicurezza (Security Awareness) del personale che viene preso di mira in queste modalità: occorre ridurre dunque quel fattore di rischio che è il “fattore umano”. 

Per questo Fata Informatica, con il suo brand CybersecurityUp, ha pensato di evangelizzare su questi temi attraverso dei corsi di Cyber Security Awareness. 

Sul nostro portale https://www.digitaltrainer.it/csa/ troverete dunque i nostri corsi sull’argomento: alcuni corsi sono naturalmente a pagamento, ma, vista l’importanza e sensibilità della questione, ne proponiamo anche una versione gratuita (una sintesi delle questioni più importanti), al fine di poter raggiungere la più ampia platea, così da ridurre per tutti quanti quel “fattore umano” che è la vera questione di sicurezza. 

Tweet