Social media: il fattore umano nelle patch di sicurezza

Cosa può accadere nelle aziende se il social engineering trova terreno fertile con Facebook, LinkedIn, Twitter e Foursquare? Trattiamo il problema spear phishing con Andrea Bellinzaghi di Check Point Technologies.

Se c’è una cosa che le grandi violazioni alla sicurezza degli ultimi tempi ci hanno insegnato è che i dipendenti sono tanto influenti quanto la tecnologia.

Le aziende spesso sottovalutano il fattore umano e non offrono formazione sufficiente né investono sulla forza lavoro per proteggere i dati sensibili.

Nella realtà, la lotta contro le minacce alla sicurezza richiede invece una combinazione tra tecnologia e sensibilizzazione degli utenti.

Le tecniche di hacking che puntano sulle attività dei dipendenti, come il social engineering, fa notare Andrea Bellinzaghi, Technical Manager di Check Point Technologies, sono in aumento: quasi la metà delle aziende ha subito 25 o più attacchi negli ultimi due anni, con lo spear phishing via e-mail e via social network quali vettori di attacco più comune.

Il problema social media in azienda
Sono due i principali driver di questa tendenza: in primo luogo, vi è una carenza di linee guida relative a policy e programmi di formazione dei dipendenti; poi c’è un aumento del numero di piattaforme di social media disponibili, ciascuna delle quali è in grado di fornire ampie informazioni sugli individui e sulle aziende per cui lavorano.

Con queste informazioni, gli hacker possono creare profili individuali, personalizzando così gli attacchi per creare nuovi punti di accesso ad una determinata azienda, aumentando così la probabilità di successo degli stessi.

Una volta entrato nella rete aziendale, per Bellinzaghi, l’hacker può utilizzare una serie di strumenti per farsi strada lungo tutta la struttura interna fino ad arrivare ai livelli più elevati, ottenendo quindi un accesso illimitato a dati commercialmente sensibili.

I metodi degli hacker
Ma come è possibile perpetrare questi attacchi e quali metodi utilizzano gli hacker?
A differenza dell’aggressione tipica di un assalto diretto, gli attacchi di social engineering richiedono maggiore raffinatezza e pianificazione.

Un processo attento di sorveglianza è la chiave per identificare una potenziale opportunità, e per fornire ai possibili hacker informazioni critiche, tra cui le figure chiave (chi sono i guardiani?), Le policy di sicurezza (cosa è attivo in azienda?), la crittografia del traffico (è consentita l’uscita di traffico Ssl fuori dall’orario di lavoro?).

Raccogliere dati di intelligence di questo tipo, per Bellinzaghi è oggi più facile. Grazie ai social network e ad altri strumenti online che offrono possibilità senza precedenti di intrusione nei dati di un’azienda e delle persone che vi lavorano, gli hacker possono rapidamente costruire un quadro comprensivo del loro obiettivo.

Il sito web aziendale e le informazioni pubblicate negli annunci di lavoro, permettono agli hacker di raggiungere una migliore comprensione della configurazione di sicurezza delle aziende, permettendo agli aggressori di affinare gli strumenti impiegati per sferrare un attacco aumentando di fatto le probabilità di successo.
LinkedIn può aiutare gli hacker ad identificare potenziali obiettivi, in particolare grazia alla maggiore reperibilità di nuovi dipendenti e imprenditori

Facebook e Twitter rappresentano una miniera di informazioni, e possono aiutare a sviluppare attacchi informatici più mirati, offrendo per esempio informazioni su hobby e interessi di una persona.
Foursquare: i servizi di localizzazione possono essere utilizzati per individuare le probabili vittime consentendo agli hacker di accedere ad un computer portatile mentre questo è connesso a una rete pubblica.

Dentro la rete aziendale
Dopo aver identificato i possibili obiettivi all’interno di un’azienda, gli hacker utilizzano vari mezzi per penetrare in profondità in una rete aziendale.
Gli allegati dannosi sono forse uno dei vettori di attacco più comuni e sono come quegli scherzi un po’ rischiosi, caratteristici degli attacchi spear phishing che esplodono una volta aperti i file più utilizzati in questo senso sono documenti Microsoft e Pdf.
I drive-by-download si verificano quando un sito web maligno, o un sito vero che è stato però compromesso, presenta un codice che sfrutta le falle di sicurezza nel browser di un visitatore per installare malware all’insaputa dell’utente.

Gli attacchi zero-day approfittano di vulnerabilità del software ancora sconosciute. Sfruttandone più di una (come nel caso di Stuxnet, che ha sfruttato quattro vulnerabilità sconosciute in Windows) si incrementano le probabilità che il dispositivo di destinazione sia ampiamente indifeso contro un attacco.

Le tre finalità di un attacco
Tipicamente gli attacchi sono motivati da tre ragioni: guadagno finanziario, vantaggio competitivo o vendetta.
Dopo aver stabilito un punto d’entrata nella rete aziendale, gli hacker possono concentrarsi su come accedere ai loro obiettivi mirati, solitamente dipendenti di livello dirigenziale.

Il mezzo più comune per ottenere questo è utilizzare un documento pulito di un computer obiettivo, infettarlo tramite un terminale di accesso remoto per poi inviarlo al mittente con le istruzioni per proseguire.

Avendo ricevuto l’allegato da una fonte attendibile, il documento viene tranquillamente aperto e il suo carico maligno installato sui computer delle vittime designate creando così una backdoor.

Dopo aver intaccato gli obiettivi primari, l’hacker può accedere e scaricare le informazioni contenute sul dispositivo endpoint e nessuno può più dire di essere al sicuro.

Soluzione: sicurezza come processo di business
Per Bellinzaghi o dipendenti rappresentano una parte critica del processo di sicurezza di ogni organizzazione, in quanto possono essere tratti in inganno dai criminali o commettere errori che portano a infezioni da malware o involontaria perdita di dati.
Troppe aziende non prestano sufficiente attenzione al coinvolgimento degli utenti quando, in realtà, questi dovrebbero essere la prima linea di difesa.

Per raggiungere il livello di protezione necessario nei moderni ambienti It la sicurezza ha bisogno di svilupparsi al di là di un mero insieme di diverse tecnologie ma dovrebbe piuttosto essere considerata un processo di business in cui gli utenti vengono posti al centro. Formazione continua, abbinata a policy di sicurezza ben definite e ben comunicate, risultano fondamentali per un processo educativo che si allinei a questo concetto.
Un regolare impegno degli utenti contribuirà a sensibilizzare e creare una forza lavoro più vigile.
Aumentare la conoscenza di minacce quali lo spear phishing aumenterà la consapevolezza dei dipendenti, permettendo loro di prevenire e rimediare agli incidenti di sicurezza in tempo reale.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome