Le motivazioni di un cyber-attacco possono essere di vario tipo: quando si tratta di cyber-crime l’obiettivo è, tendenzialmente, il guadagno finanziario tramite l’estorsione (ransomware, per esempio); altre volte invece i criminali vogliono creare confusione per ottenere obiettivi di livello diverso. Qualche volta, infine, dietro l’apparenza di azioni di cyber-crime si celano motivazioni di natura geopolitica. In ambito industriale una delle matrici principali dei cyber-attacchi è però lo spionaggio mirato al furto di proprietà intellettuale. Ne abbiamo parlato con Laurance Dine, Managing Principal di Verizon Enterprise Solutions.
Nel vostro Data Breach Investigations Report 2017 mostrate che nella stragrande maggioranza dei cyber-attacchi rivolti al mondo manifatturiero ha come matrice quella dello spionaggio industriale. Attacchi che, per essere efficaci, vengono portati in maniera il più possibile “silente”, magari dall’interno delle organizzazioni. Come ci si può difendere?
A differenza della maggior parte dei cyber-attacchi più comuni, gli attacchi di spionaggio hanno generalmente obiettivi a lungo termine. I criminali vogliono infiltrarsi nella rete, scoprire dove sono archiviate le informazioni segrete e sottrarle poco alla volta fin quando è possibile.
In molti casi questi attacchi puntano sull’anello debole dell’azienda. Un dipendente dell’organizzazione riceve un’e-mail di phishing e fa click sul link o sul file dannoso che contiene. Quindi il malware viene installato sotto forma di backdoor o C2 e i “cattivi” possono tornare a loro piacimento per lasciare un segno nella rete e prendere ciò di cui hanno bisogno. Infatti, la combinazione tra attacco social e malware si è verificata nel 73% di questo tipo di violazioni. Quando poi sono coinvolti attori legati al settore pubblico, siamo di fronte ad attacchi mirati, piuttosto che intrusioni opportunistiche. In altre parole, i criminali attaccano un’organizzazione ben precisa perché hanno già in mente lo scopo di questo attacco.
Ecco alcuni aspetti da non dimenticare:
- Se alcune delle vostre informazioni sono altamente confidenziali, tenete questi dati al sicuro, e fate in modo che vi abbiano accesso solo le figure che non possono farne a meno per svolgere le proprie mansioni.
- Molti attacchi a questi settori iniziano con un’email di phishing. Formate i dipendenti, soprattutto riguardo le tecniche di phishing, e date loro gli strumenti per segnalare in modo semplice e veloce le email sospette.
- Monitorate internamente reti, dispositivi e applicazioni: è essenziale. Monitorate gli account, controllate i log-in e i network/IDS.
- Introducete controlli per prevenire la data loss prevention (DLP), e per rilevare e bloccare trasferimenti di dati non autorizzati da parte del personale.
Il trend che vede una crescente apertura e interconnessione dei sistemi manifatturieri all’interno dell’azienda e lungo la supply chain (Industry 4.0) sta allargando il concetto di “perimetro aziendale”. Come si difende un “fortino” le cui mura non sono più riconoscibili?
Anche in questo caso sono valide le stesse linee guida citate in precedenza, infatti una strategia di sicurezza informatica completa non dovrebbe mai mancare.
Il concetto stesso di sicurezza si sta evolvendo. La cyber security non viene più vista come un ostacolo al cambiamento, che complica l’introduzione di nuovi processi e di tecnologie innovative. Infatti, si tratta piuttosto di un aspetto imprescindibile nell’era del digitale. Velocizza la fruizione dei servizi; si ritrova embedded nei Software Defined Networks (SDN); consente un accesso ai dati più ampio, costante e sicuro in termini di Internet of Things (IoT), e si potrebbero citare decine di altri aspetti. Attualmente, la cyber security è un pre-requisito, e sarà presa in considerazione fin dalla progettazione di nuove tecnologie e dispositivi.
In molti sostengono che la spesa delle aziende per la security non sia adeguata al rischio e che occorra ancora un lungo percorso culturale perché le imprese (e le persone) ne comprendano l’entità. Deve insomma ancora accadere nella security quello che è successo, ad esempio, con la safety in ambito automobilistico: oggi la quota del costo di un automobile collegata a dispositivi per la safety è piuttosto elevata, ma nessuno rinuncerebbe a dispositivi come ABS o airbag. Quanto tempo e quanti altri episodi da prima pagina ci vorranno?
E’ vero, sono moltissime le aziende che non possono contare nemmeno sulle misure di sicurezza basilari, oppure che le applicano in modo scorretto, e, dato che siamo bombardati da informazioni riguardo alle attività dei cybercriminali, questo è davvero incredibile. Ad esempio, l’81% delle violazioni collegate ad attività di hacking rilevate nel DBIR 2017 ha sfruttato password rubate e/o password facilissime da violare, quindi riuscire a soddisfare i requisiti basilari è diventato più importante che mai.
Tra i motivi di queste violazioni, alcuni sono direttamente legati a policy di sicurezza troppo antiquate, alla mancanza di conoscenza del mercato in generale, oppure ad una mentalità secondo la quale la sicurezza è più un’idea che può eventualmente balenare per la mente che una priorità, oppure, un’altra delle cause, è l’assenza di formazione del personale. Inoltre, troppo spesso la sicurezza viene vista, erroneamente, come un lusso molto caro, piuttosto che come una necessità.
La nostra idea è unire le forze in modo trasversale tra i diversi settori industriali per affrontare questi criminali a testa alta – e per realizzare questo obiettivo ci impegniamo ogni anno, insieme alle aziende che contribuiscono al DBIR e ci sostengono, a stilare questo documento. Infatti, insieme abbiamo abbattuto le barriere che circondavano queste attività criminali, coltivando, invece, fiducia e credibilità, e avviando molte organizzazioni alla formazione riguardo questi pericoli. Nessuna realtà, infatti, deve restare in silenzio davanti a loro – la conoscenza è là fuori, e basta condividerla.