Sicurezza human-centric – Ryan Kalember, Chief Strategy Officer di Proofpoint, dichiara che sono proprio gli esseri umani a essere la parte più vulnerabile dell’infrastruttura IT e spiega se e come è possibile risolvere il problema.
Nel suo recente report Leadership Vision for 2024: security and risk management, Gartner ha dichiarato che “i responsabili di sicurezza e gestione del rischio devono passare a una strategia di cybersecurity incentrata sull’uomo.”.
I riflettori sul rischio umano
Riteniamo che questo imperativo strategico sia perfettamente in linea con il nostro collaudato approccio alla cybersecurity. Il settore sta evidenziando il ruolo integrale che le persone svolgono negli attacchi informatici e le pone necessariamente al centro di una difesa efficace. Se accendere i riflettori sul rischio umano non può che essere positivo, resta da chiedersi perché questo fattore sia venuto alla luce proprio ora. La risposta breve è che le prove sono schiaccianti. Quasi tre quarti di tutte le violazioni di dati coinvolgono un elemento umano. E non è difficile capire perché.
Il report State of the Phish 2024
Nel suo report Gartner afferma che “il 67% delle persone utilizza le stesse password per più account. Il 65% apre e-mail da fonti sconosciute sui dispositivi di lavoro e il 61% invia informazioni sensibili tramite e-mail non criptate”. Peggio ancora, “il 93% riconosce che queste azioni aumentano il rischio per l’azienda”. Il report State of the Phish 2024 di Proofpoint ha intervistato 7.500 utenti, di questi il 71% ha intrapreso azioni rischiose e il 96% aveva ben chiaro cosa stesse facendo.
Sicurezza human-centric
Inoltre, l’85% dei professionisti della sicurezza ha dichiarato che la maggior parte dei dipendenti sa di essere responsabile della protezione. Tuttavia il 59% ha affermato di non esserlo affatto. Questi dati dimostrano che, in questo ambiente, la sicurezza incentrata sull’individuo è più una necessità che una scelta strategica.
Comprendere il rischio focalizzato sull’individuo
Ormai molti conoscono il concetto di rischio human-centric. In breve, si tratta del rischio posto all’azienda dalle persone. Ma cosa significa in pratica? Il phishing potrebbe essere il primo a venire in mente, e a ragione. Da tempo è uno dei metodi preferiti dai criminali informatici che cercano di farsi strada all’interno delle imprese. Tuttavia, pur rimanendo popolare e altamente efficace, non è l’unico strumento incentrato sull’individuo.
Sicurezza human-centric: cosa comporta questo cambio di strategia
I rischi per le persone sono ovunque. Si va dall’uso di credenziali rubate all’abuso di privilegi al malware, al ransomware, alla compromissione delle e-mail aziendali e a molte altre minacce cyber comuni. È possibile raggrupparli in quattro dimensioni del rischio umano per avere un quadro più chiaro del panorama delle minacce da affrontare attualmente.
Le quattro dimensioni del rischio umano
Minacce cyber, rischi all’identità, di impersonificazione e di perdita dei dati: sono tutte prevalenti lungo l’intera catena di attacco. L’e-mail resta il vettore di minaccia numero uno. Il che significa che phishing, BEC e altri attacchi e-mail mirati all’individuo sono protagonisti della compromissione iniziale. Le identità umane sono un obiettivo per escalation dei privilegi e movimento laterale e le azioni umane sono una delle cause della perdita di dati. Se si analizza il problema in questo modo, non c’è da stupirsi che Gartner lo consideri un imperativo strategico per le aziende. Il fattore umano non è un problema isolato, maparte integrante di quasi tutti gli attacchi informatici. E le società non vi investono in misura significativa rispetto al proprio livello di rischio e altri controlli.
Risolvere il problema umano
Usiamo la parola “risolvere” molto deliberatamente perché, pur essendo onnipresente e potenzialmente devastante, il problema del rischio umano è assolutamente risolvibile. Tuttavia, non esiste un’unica soluzione o rimedio per proteggersi dalle minacce incentrate sull’individuo. La mitigazione e la difesa richiedono una serie di capacità ampie e stratificate. Se la posta elettronica rimane il primo punto di accesso in azienda, qualsiasi difesa efficace deve includere il blocco dei messaggi dannosi e il disarmo di questi attacchi.
La protezione dalle minacce
La protezione dalle minacce via e-mail deve essere integrata con una difesa dalle impersonificazioni. Questo per analizzare il contenuto dei messaggi, i dati dei fornitori e la manipolazione degli indirizzi per individuare e scoraggiare lo spoofing. Dato che circa un terzo degli utenti invia e-mail sbagliate, qualsiasi soluzione deve avere anche capacità di evidenziare e bloccare tali incidenti.
Sicurezza human-centric
L’escalation dei privilegi è ormai parte integrante del ransomware e della maggior parte degli attacchi avanzati. Quindi qualsiasi difesa efficace deve includere una componente di protezione dalle minacce all’identità. Una soluzione completa è in grado di individuare e bloccare i movimenti laterali, risolvere le minacce all’identità e attirare i malintenzionati a manifestare la loro presenza. Le persone sono la linfa vitale di ogni azienda ed è quindi naturale che rappresentino i rischi maggiori. Il report Leadership di Gartner Vision for 2024: Security and Risk Management ha identificato il “passaggio a una strategia di cybersecurity incentrata sull’uomo” come uno dei soli tre imperativi strategici per i responsabili di sicurezza e gestione del rischio.
Non basta la “polvere magica dell’intelligenza artificiale”
Ma questa protezione non è così semplice. Richiede molto di più di un cambiamento nei messaggi di marketing o di un tocco di polvere magica dell’intelligenza artificiale. Necessita di controlli di sicurezza stratificati, addestrati per anni su milioni di punti di contatto e miliardi di dati sulle minacce in tutto il mondo. Insieme a una sensibilizzazione mirata sulla sicurezza, per trasformare le persone da rischi a risorse per la cybersecurity.
