Sempre più reparti IT si affidano a penetration test o a attività di bug bounty e simulano cyberattacchi per aumentare la sicurezza della propria organizzazione. La ragione di ciò è l’incremento esponenziale delle minacce informatiche. Che si vogliano testare le misure di sicurezza o i riflessi digitali del personale, la simulazione di attacchi informatici contribuisce ad aumentare la percezione dei rischi informatici.
Simulare un cyberattacco, un business in pieno boom
Oggi sono sempre più numerose le aziende che offrono pentest ed esercitazioni pratiche per i dipendenti. Lo sviluppo della cultura della sicurezza informatica nelle aziende sta diventando sempre più coinvolgente. Che si vogliano mettere alla prova le misure di sicurezza o i riflessi digitali dei dipendenti, tali attività contribuiscono a una maggiore consapevolezza delle minacce.
I programmi di pentesting o bug bounty, utilizzati per attaccare un prodotto o un’infrastruttura di rete al fine di comprovarne la stabilità o la sicurezza, sono ormai all’ordine del giorno nell’universo informatico. Spesso le aziende ricorrono addirittura a fornitori esterni per far verificare le loro misure di sicurezza, fornitori che possono essere ingagiati secondo diverse regole.
Alberto Brera, Country Manager per l’Italia presso Stormshield Nel pentesting di tipo Black Box, l’incaricato tenterà di attaccare l’organizzazione dall’esterno, senza avere nessuna informazione, scopo di questa attività è verificare la resistenza di un’organizzazione ad un’attacco reale.
In alternativa l’hacker può essere ingagiato per testare una specifica parte di rete o una specifica funzione conoscendone anche i dettagli tecnici. Questa modalità viene chiamata White Box pentesting ed è volta ad individuare il maggior numero di vulnerabilità sfruttabili in quel contesto.
Anche la collaborazione tra red e blue team è degna di nota. Il red team è un team di individui che tenta di violare la sicurezza di un’azienda, di una rete informatica o di un sistema mediante tecniche di hacking. Il blue team cerca di respingere l’attacco. Se si vuole rendere l’esercitazione ancora più efficiente, è possibile integrare ulteriori squadre, come indicate nella cosiddetta piramide BAD (“build, attack, defend“).
Simulare un cyberattacco, le trappole sensibilizzano i dipendenti
Un recente studio IBM evidenzia che l’errore umano rappresenta il 95% delle vulnerabilità di un’azienda. In altre parole, la corretta gestione del fattore umano potrebbe eliminare la maggior parte delle falle. Questo perché la protezione del perimetro può rivelarsi insufficiente e qualsiasi persona può diventare un vettore di attacco.
Ben 30.000 sono i dipendenti del Ministero dell’Economia francese che sono caduti durante una simulazione nella trappola tesa dal loro stesso dipartimento di sicurezza. Obiettivo quello di sensibilizzarli in merito alla loro esposizione ai rischi di phishing e di insegnare ad affrontare i potenziali attacchi. E con successo!
Tuttavia, non tutte le piccole e medie imprese possono permettersi di condurre tali esercitazioni di sicurezza a causa del costo di tali operazioni. Per questo motivo, i CISO tendono a scegliere di ispirarsi al principio dei giochi di ruolo con red e blue team.
Per creare condizioni realistiche, i dipendenti da attaccare non devono essere a conoscenza dell’esercitazione.
Ad esempio, si potrebbe tendere una trappola a un dipendente inconsapevole dell’ufficio del personale per verificare se le misure per la protezione di un file contenente dati personali sono state correttamente attuate.
Altri dovrebbero cercare poi di accedere a questo file utilizzando vari espedienti tecnici o di social engineering. Ciò consente al CISO di tracciare parallelismi tra l’attacco informatico simulato e i principi di base della sicurezza informatica (come la tutela delle password o le regole di base per la protezione contro le e-mail sospette).
Simulare un cyberattacco
Alberto Brera, Country Manager per l’Italia presso Stormshield Una buona esercitazione pratica è certamente mille volte più efficace di un corso di formazione PowerPoint. La sfida è quella di combinare penetration test e le simulazioni. Bisogna prendersi il tempo di inquadrare l’attività in un contesto più generale e analizzare l’attacco informatico in tutte le sue fasi, in modo da poterne trarre tutti gli insegnamenti.
A volte è addirittura un vantaggio ripetere l’esercitazione pratica qualche mese dopo per vedere se il comportamento dei dipendenti è cambiato e se le precauzioni prese contro tali attacchi sono state comprese.
