Didier Schreiber, Regional Marketing Manager South EMEA Zscaler, spiega come nel 2018 sarà necessaria ancora più attenzione e prontezza per rispondere alle minacce.
Il 2017 è stato un anno contrassegnato da importanti violazioni di dati nelle aziende, da vere e proprie guerre di spionaggio informatico a livello nazionale e dall’inarrestabile ascesa degli attacchi ransomware. Con il 2018 appena iniziato, dobbiamo impegnarci diligentemente, non solo per porre rimedio alle possibili minacce alla sicurezza informatica, ma anche per prevederle e prevenirle. Sulla base di queste premesse, ecco le mie previsioni sulla sicurezza per il 2018.
Attacchi mirati contro gli assistenti digitali Sembra che ogni grande azienda nel settore tecnologico sia ormai convinta che gli assistenti digitali (Alexa, Siri, Cortana) inclusi come altoparlanti intelligenti (Amazon Echo, Apple HomePod) siano il futuro dell’interazione uomo-computer. Questi dispositivi sono già molto diffusi e sono diventati molto più di un modo rapido per essere aggiornati su che tempo fa o sui risultati delle partite o delle competizioni sportive della giornata. Gli assistenti digitali creano ecosistemi aperti all’interno dei quali innescano azioni che attivano altri dispositivi o applicazioni intelligenti. Una cosa è dire aprire una porta di garage con uno smartphone se questo è protetto da una password o un elemento biometrico. Avere il telefono di qualcuno non ha molto valore, se non si riesce ad accedervi (chiedete all’FBI).
Gli altoparlanti intelligenti, d’altra parte, offrono l’accesso agli assistenti digitali con controlli di sicurezza minimi. Pensiamo ad esempio alla posizione fisica. Perché fornire istruzioni ad un altoparlante intelligente se non sono a portata d’udito? In un mondo virtuale, la distanza fisica non è una barriera, anche quando si tratta di comunicazione audio. Nel mese di aprile, Burger King e Google hanno avuto una diatriba quando la catena del fast food ha sfruttato la frase ‘OK Google’ in un annuncio televisivo per azionare intenzionalmente gli altoparlanti intelligenti di Google Home.
Anche se gli hacker non hanno accesso alle reti televisive, possono effettuare chiamate automatiche verso abitazioni con segreterie telefoniche o pubblicare clip audio sulle pagine web. Una tattica più furtiva richiederebbe di sfruttare un exploit per installare malware su un computer che poi riproduce un clip audio quando l’utente è improbabile che riesca a sentirlo, come ad esempio a tarda notte. Quali danni potrebbero essere arrecati? Gli aggressori potrebbero sfruttare gli altoparlanti intelligenti per impartire ordini da cui trarre profitto, o sferrare attacchi fisici come l’apertura di serrature o la disabilitazione dei sistemi di sicurezza. Un ricercatore britannico esperto di sicurezza ha già scoperto un mezzo per trasformare i vecchi dispositivi Amazon Echo in un oggetto in grado di effettuare intercettazioni ambientali e possiamo stare certi che non si tratta dell’unico interessato a eludere le misure di sicurezza degli assistenti digitali.
L’ecosistema domestico delle smart home sarà un nuovo vettore per gli attacchi domestici Se gli assistenti digitali possono innescare dispositivi intelligenti, altrettanto sono in grado di fare anche altri dispositivi intelligenti. Una ‘smart home’, o casa intelligente, è in realtà abbastanza ‘stupida’ quando è composta da una serie di tecnologie collegate in rete che funzionano isolatamente. Quando questi dispositivi collaborano creando una catena di eventi attivati da alcune variabili esterne, allora sì possiamo parlare di “smart home”. Ad esempio, un rilevatore di CO2 è un dispositivo di sicurezza prezioso, ma un allarme che risuona in una casa vuota non è una buona cosa. Questo cambia quando lo stesso dispositivo può spegnere la caldaia difettosa e avvisare i vigili del fuoco. L’ecosistema della casa intelligente sta spiccando il volo e la storia ci ha insegnato che quando c’è una tecnologia che sta emergendo, la sicurezza viene trascurata.
Alcuni degli ecosistemi smart home sono stati assemblati da fornitori di tecnologia come Apple (Homekit), Google (Nest) e Samsung (SmartThings). Questi fornitori impongono varie restrizioni ai fornitori di dispositivi intelligenti. Non sorprendentemente Apple, controlla rigorosamente ciò che è permesso nell’ecosistema, spesso in nome della sicurezza, ma anche Apple ha ammesso che questo non permetterà loro di crescere abbastanza rapidamente e nell’iOS 11 ha dovuto allentare le restrizioni abbandonando i chip di sicurezza obbligatori. Le implementazioni neutre come l’IFTTT (if this, then that), cercano di creare un’infrastruttura dove tutti i prodotti possano comunicare tra loro. Anche se un singolo prodotto può integrare rigorosi controlli di sicurezza, questi stessi controlli possono essere resi inefficaci se combinati con altri prodotti. Consideriamo ad esempio la seguente regola IFTTT:
Questa regola disabiliterebbe il mio sistema di sicurezza ogni volta che pubblico una foto su Facebook. Ma è una regola terribile! Perché dovrei implementarla? Non lo farei, ma un aggressore potrebbe avere accesso al mio account IFTTT. In questo modo, l’aggressore potrebbe aggirare qualsiasi restrizione che il sistema di sicurezza avesse posto in essere per impedire il disarmo non autorizzato dell’allarme, perché tutti questi controlli presuppongono che il sistema operi in modo isolato.
Gli investimenti in sicurezza delle aziende si concentreranno sulla risposta piuttosto che su prevenzione e rilevamento Dove sia il caso di impiegare i fondi dedicati alla sicurezza è un tema di discussione annoso. Negli ultimi anni le convinzioni consolidate si sono incrinate affermando che le imprese devono spostare gli investimenti dalla Prevenzione al Rilevamento. Ciò a seguito di una quasi quotidiana segnalazione di violazioni di dati e la consapevolezza che il tentativo di costruire una fortezza impenetrabile è un errore. Non si trattava più di stabilire se un’impresa sarebbe stata violata, ma quando. Occorreva pertanto spostare il budget dalla prevenzione totale della violazione alla sua rapida individuazione una volta verificatasi, in modo da limitare i danni.
Ora, ci aspettiamo che il 2018 sia l’anno in cui gli investimenti in security verranno reindirizzati ancora una volta, spostando il budget verso un’ulteriore fase del ciclo dell’attacco: da Prevent e Detect a Respond. Questo cambiamento sarà principalmente dovuto a due tendenze. La prima è una crescente tendenza verso una legislazione che impone una risposta alle violazioni dei dati. Mentre le leggi sulla risposta alle violazioni finora erano state caotiche e poco coordinate, la maggior parte degli Stati e dei paesi dispongono di normative, e nel 2018 il GDPR entrerà in vigore e sarà il vero protagonista del cambiamento.
Oltre alla normativa, un importante fattore di spinta sarà dato dal danno alla reputazione causato da risposte raffazzonate alle violazioni. Siamo arrivati al paradosso, ormai siamo talmente abituati alle violazioni che non gli dedichiamo più neanche troppa attenzione. Quello che il pubblico invece non perdona è una risposta superficiale alla violazione, che assomiglia più a un maldestro tentativo di coprirla piuttosto che a una divulgazione aperta e trasparente. Non è necessario rievocare i pasticciati tentativi di Equifax o Uber per capire perché ogni consiglio d’amministrazione sta chiedendo il massimo impegno nelle risposte alle violazioni per fare in modo che la propria azienda non sia il prossimo caso esemplare di come NON rispondere a una violazione dei dati.
