Raoul Brenna
Responsabile della Practice Information Security, Cefriel
Roberto Puricelli
Senior Information Security Specialist, Cefriei
Lo sviluppo di strumenti di Vulnerability Assessment è estremamente utile per comprendere lo stato di sensibilità delle persone alla security. I dati sperimentali mostrano come sia semplice attaccare ed ottenere le credenziali di utenti con l’utilizzo di semplici campagne di phishing simulato
Gli eventi degli ultimi anni ci mostrano come l’ecosistema del cybercrime sia in continua e radicale evoluzione. Ce lo confermano anche i numerosi casi di attacco degli ultimi mesi. Lo sviluppo di alcune tecnologie abilitanti e l’accresciuta disponibilità di “malware” sempre più potenti e semplici da utilizzare, supportano un approccio e una mentalità “business oriented” nel crimine informatico. Non a caso negli ultimi anni sono stati portati alla luce un numero crescente di casi di Advanced Persistent Threat (APT) e di data breach (fuga/sottrazione di dati) a danno di grandi imprese.
Con il termine Advanced Persistent Threat si intendono gli attacchi “silenti” focalizzati sull’identificazione e sulla sottrazione di dati o asset informativi delle aziende colpite, piuttosto che sull’effetto visibile e immediato. Occorre inoltre considerare come lo scenario descritto rappresenti solo la parte nota rispetto alla reale estensione del fenomeno del cybercrime. Numerosi attacchi infatti non vengono rilevati o (e in questo l’evoluzione normativa potrà aiutare a fare chiarezza) non sono rivelati al pubblico.
A prescindere dalla finalità, la maggior parte dei casi di violazione del perimetro di sicurezza informatica aziendale è abilitata da azioni attuate dalle persone. Si tratta di dipendenti o collaboratori delle aziende attaccate, manipolati attraverso tecniche di ingegneria sociale. È importante sfatare subito un mito: con il termine ingegneria sociale non si intendono solamente i complessi attacchi mirati che bersagliano la singola persona all’interno di un’organizzazione dopo una vasta raccolta informativa su di essa. L’ingegneria sociale comprende anche gli attacchi più comuni come il phishing, spesso solo blandamente (o per nulla) contestualizzato alla realtà aziendale che lo riceve e che fa leva semplicemente sull’ingenuità e sulla scarsa alfabetizzazione informatica dell’utente medio per spingerlo a “cuccare dove non deve”.
Le persone: una componente essenziale della cybersecurity
Sono in realtà decenni che il personale delle imprese si pone come una delle principali sorgenti (consapevoli o più spesso inconsapevoli, quantomeno in termini di implicazioni) degli incidenti di sicurezza, e non solo “cyber”. Oltre al “tradizionale” molo degli insider, che vanno dagli ex-impiegati scontenti, ai consulenti, ai partner o chiunque possa entrare in contatto con porzioni dell’ICT interno (anche solo inserendo una “chiavetta USB” in un PC), è oggi imprescindibile considerare il caso del personale ingannato.
Nonostante la relativa semplicità della frode, secondo il Federal Bureau of Investigation (FBI) statunitense, si stima che con questo stratagemma siano stati sottratti circa 2,3 miliardi di dollari dal 2014 al 2016.
Gli attaccanti sono ben consci di poter manipolare gli utenti per ottenere da loro informazioni sensibili relative alla privacy, ad aspetti finanziari e di business o semplicemente per indurli ad eseguire azioni improprie sul proprio PC (o smartphone). In questo modo l’attaccante accresci in modo significativo la percentuale di successo rispetto ad attacchi puramente tecnologici (ossia, che fanno leva sulle vulnerabilità tecniche nei sistemi esposti su Intemet, comunque spesso presenti). Questo scenario di fatto, è alla base di molti dei più recenti data breach. Ad esempio, durante la scorsa campagna per la presidenza del governo degli Stati Uniti, è emerso lo scandalo relativo alle email trafugate dagli account di Hilary Clinton e di John Podesta, il responsabile della campagna presidenziale. Anche in quel case proprio una finta email che sembrava provenire da Google permesso di compromettere l’account personale di quest’ultimo e di ottenere le informazioni che sono state poi rivelate al pubblico. Le email di phishing sono inoltre la base di Carbanak, considerato uno dei più grandi attacchi organizzati verso i istituzioni finanziarie che ha permesso di sottrarre un miliardo di Euro.
La situazione attuale porta alla considerazione che non è più possibile limitare la governane e il management della cybersecurity di un’azienda a fattori di natura strettamente tecnica. È fondamentale includere l’elemento umano tra i fattori di rischio e, al fine di attuare contromisure idonee e metodi per la mitigazione che siano davvero efficaci, occorre prima di tutto imparare a comprendere e soprattutto a misurare tale rischio.
Come mettere alla prova il fattore umano?
Per quanto negli ultimi anni si parli sempre più di forme di assessment che prevedano l’esecuzione di campagne di phishing realistiche sul personale, gli approcci e i programmi per la sicurezza informatica tendono a includere il filone della protezione del fattore umano soltanto tramite iniziative sporadiche. Un elemento frenante è certamente il coinvolgimento delle persone come oggetto di verifica, con tutti i potenziali rischi (anche di natura giuslavoristica) che questo comporta.
In verità tale preoccupazione può essere lecita: nell’esperienza di Cefriel, iniziative di successo in questa direzione passano per un allargamento del coinvolgimento degli interlocutori, rispetto alle sole funzioni IT e all’Information Security. Gli stakeholder rilevanti, per svariate ragioni e in relazione alla realtà aziendale in cui si opera, si allargano a funzioni come Risorse Umane, Affari Legali, Comunicazione. Occorre condividere con loro la tipologia di rischio, le motivazioni e gli obiettivi dell’iniziativa, così da giungere ad una definizione condivisa del perimetro della verifica e ottenere il necessario supporto.
Un tema strettamente legato allo svolgimento di queste attività, o quantomeno alla loro successiva utilizzabilità in ottica di awareness, è quello etico e giuslavoristico. Di fatto, queste attività, se svolte in modo realistico, implicano spingere il personale ad agire in difformità ad eventuali politiche aziendali o istruzioni ricevute rispetto al corretto utilizzo della dotazione informatica. Naturalmente i cyber-criminali non hanno alcuno scrupolo a fare questo, ma è evidente che in ambito aziendale un test sul personale debba essere inquadrato in un framework metodologico che garantisca il rispetto dell’etica, della relazione di fiducia tra dipendente e datore di lavoro, e della normativa vigente (variegata, se considerate le differenze tra Stati). Nonostante tali vincoli sembrino difficili da conciliare, è possibile trovare modalità organizzative che permettano di svolgere questo tipo di verifica.
La ripetuta attuazione di questa tipologia di attività da parte di Cefriel ha permesso l’affinamento della metodologia che va sotto il nome di “Social-Driven Vulnerability Assessment”. La sua finalità è quella di arrivare a sottoporre in modo realistico il personale a campagne di spear-phishing (ossia phishing mirato e contestualizzato, alla realtà aziendale o alla singola persona), verificandone la propensione a compiere azioni che possono mettere a rischio la sicurezza ICT aziendale.
La verifica prende in considerazione sia l’aspetto maggiormente “tecnico” (cuccare su link, navigare su siti ed in generale compiere operazioni che possono agevolare lo scaricamento di malware sul PC) sia quello puramente “personale” (cedere credenziali di accesso aziendali e/o altre informazioni rilevanti).
Utilizzando pagine web adeguatamente predisposte e controllate da appositi sistemi, è possibile infatti tracciare il comportamento degli utenti sotto garanzia di un opportuno livello di anonimato e comprendere la reale propensione delle potenziali vittime ad adottare comportamenti impropri.
Peraltro il tema legato a identificare una metodologia che garantisca il rispetto dell’utente e minimizzi gli impatti tecnici successivi, nella sua complessità e con un perimetro allargato all’intero panorama europeo (e alla conseguente frammentazione normativa sul tema della tutela del lavoratore) è affrontato anche nell’ambito del progetto DOGANA (un’iniziativa Horizon 2020) in cui Cefriel svolge il ruolo di Coordinatore Scientifico.
Ma qual è realmente il rischio?
Dal 2010 Cefriel ha effettuato un numero rilevante di simulazioni realistiche condotte seguendo la metodologia sviluppata. Sono state coinvolte più di 20 aziende di varia natura, per un totale di circa 40.000 persone complessivamente sottoposte a test in tutta Europa. Le società coinvolte appartengono a settori merceologici di natura differente: dal bancario assicurativo all’energetico, passando per il lusso, i beni di consumo e le pubbliche amministrazioni.
Il test prevede il tentativo di ingannare l’utente che riceve la mail con una simulazione di un “classico” schema del phishing. Si tenta in particolare di convincere la vittima a visitare un sito sconosciuto e sospetto (esponendo il proprio PC a rischio infezione, seppure simulato) e a inserire le proprie credenziali aziendali in esso (come esempio di un asset informativo di valore). Nella maggior parte dei casi, sebbene l’intento iniziale su cui si è costruita la metodologia di test prevedesse una forte contestualizzazione a gruppi di persone, le “esche” utilizzate sono state in realtà abbastanza generiche, con rimandi a temi potenzialmente attrattivi (offerte convenzioni) e un blando richiamo alla grafica aziendale. I alcuni casi invece, il riferimento alla specifica società target è stai molto mirato, con la predisposizione di campagne, che di fatto si riallacciavano a reali iniziative aziendali (opportunamente adattate, ma sempre con l’impiego di sole informazioni pubblicamente reperibili).
Si giunge quindi ad un primo risultato rilevante: l’efficacia di una campagna di phishing, che può essere certamente influenza da aspetti “grafici” o “estetici” ni veicolo di promozione adottato, non è invece necessariamente correlata al livello di contestualizzazione della stessa. In altre parole: chiunque può fare una campagna di phishing efficace verso un’azienda, senza necessità di avere specifiche informazioni di contesto! Purtroppo i risultati lo dimostrano.
Il grafico in figura 5.1 riporta un riassunto dei risultati ottenuti da Cefriel nel corso di questi anni, mettendo a confronto le esecuzioni delle campagne effettuate relativi ai due step misurati: il “click” sul link e l’inserimento delle credenziali.
Ogni esecuzione è rappresentata da un cerchio, la cui dimensione fornisce un’indicazione (qualitativa) della dimensione dell’azienda. Il posizionamento del cerchio nell’area esprime il risultato: in orizzontale abbiamo la percentuale del campione che ha “cliccato sul link” contenuto nell’email; in verticale la percentuale dello stesso campione che, oltre ad aver cliccato sul link, ha anche “ceduto le credenziali aziendali”. Non occorre entrare in analisi eccessivamente sofisticate rispetto ai valori in gioco. Basti notare come, al di là della percezione del fenomeno in termini di rischio, i dati oggettivi permettano di dire che una campagna di phishing anche blandamente contestualizzata consente ad un attaccante di entrare in contatto con (e provare a compromettere) più di un PC ogni tre, tra quelli dei dipendenti che ricevono l’email, e di ottenere una credenziale valida quasi ogni quattro dipendenti che ricevono l’email.
Se ciò non fosse sufficiente a destare l’attenzione sul tema, può essere utile anche considerare i dati massimi rilevati ad oggi, che raggiungono quasi il 45% di “click” e quasi il 60% di “cessione” credenziali!
Ma è l’allargamento dell’analisi agli aspetti temporali che permette di soppesare il rischio in tutta la sua concretezza: una campagna di phishing “moderna” è estremamente efficace poiché sollecita negli utenti azioni impulsive. Nel grafico in viene mostrata l’efficacia di alcuni dei test di phishing svolti (rappresentati da linee) nelle . prime due ore. Ciò che si può notare “a caldo” è la netta crescita nei primissimi minuti (sia di “click” che di inserimenti), dimostrando come gli utenti non riflettano prima di compiere un’azione potenzialmente rischiosa. Addirittura, per ciascuna campagna, risulta che all’incirca la metà del tasso di successo raggiunto dalla campagna stessa si ottenga nei primi 20 minuti!
L’analisi è ovviamente approssimata, ma è utile provare a confrontare questo valore con i tempi medi di risposta ad un attacco di questo genere da parte delle funzioni che in azienda presidiano gli aspetti tecnologici della sicurezza. Anche presupponendo un’identificazione “immediata” di una campagna in atto (si consideri che email simili a quelle utilizzate nelle simulazioni effettuate difficilmente sono rilevate dagli strumenti antiphishing automatizzati), occorre essere attrezzati per poter in pochi minuti arginare gli effetti dell’eventuale “click” sul contenuto malevolo. Nel caso di un link, ad esempio, ci sono pochissimi minuti di tempo per svolgere le seguenti azioni di “messa in sicurezza”: bloccarne la raggiungibilità dei contenuti mediante i sistemi di filtraggio, e/o emettere alert al personale sui media interni (se efficaci), e/o aggiornare gli strumenti anti malware (sui PC o sulle reti). Una sfida tutt’altro che banale.
Tale sfida è resa ancora più ardua da un altro aspetto spesso non banale rilevato da Cefriel durante lo svolgimento di queste simulazioni: intercettare le segnalazioni effettuate dagli utenti durante le campagne. La difficoltà nel rilevare tali comportamenti, è legata alla carenza di awareness, alla poca chiarezza nelle procedure interne e alla poca cura prestata dalle aziende nello stabilire e comunicare precise informazioni di contatto a cui riportare urgentemente questi eventi.
Un ulteriore aspetto di interesse è legato al fatto che dall’analisi dei risultati non emergono significative differenziazioni rispetto ai principali fattori anagrafici, geografici e anche di ruolo/seniority lavorativi. In pratica, anche il management e il personale ICT, per citare esempi di personale che dovrebbe per varie ragioni essere maggiormente in grado di gestire la tematica, risulta vulnerabile come la media dei dipendenti. Questo può parzialmente spiegare le difficoltà di cui si parlava in precedenza, rispetto ad una corretta comprensione della natura del rischio legato al fattore umano, prima ancora che di una sua valutazione.
Come mitigare questo rischio?
Dal punto di vista di chi si occupa del governo della cybersecurity in azienda, l’obiettivo finale del considerare il fattore umano nelle attività di assessment dei fattori di rischio (tradizionalmente legato ad aspetti di natura tecnologica o di processo) dovrebbe essere quello di identificare un’appropriata strategia di mitigazione. Le contromisure “da letteratura” passano attraverso l’awareness. Il termine è da intendersi in modo ben distinto rispetto a quello di “formazione”. Certamente anche la formazione può aiutare, tuttavia l’estrema dinamicità del fenomeno da contrastare e il numero pressoché illimitato delle possibili varianti di attacco induce a privilegiare la costruzione di reale consapevolezza sul tema. L’awareness punta su aspetti di motivazione, attenzione e coinvolgimento sul rischio, rispetto ad approcci che si limitino a fornire “checklist” di cose da fare e da non fare che risultano spesso obsolete ancora prima di essere diffuse.
In un momento storico di estrema attenzione sul tema, ma anche sui budget, richiedere di investire tempo e risorse in programmi e metodi formativi che, già nei riscontri oggettivi ricavabili dai riscontri sul campo, mostrano un’efficacia quantomeno “marginale” può non essere una scelta vincente.
Strade promettenti appaiono essere invece essere quelle ché coinvolgono largamente la “gamification” (difficile da padroneggiare, ma efficace in termini di coinvolgimento dei destinatari): riconoscimenti, ingaggio “social”, feedback immediati e fruibili durante tutto il percorso lavorativo possono essere fattori differenzianti nella costruzione di un’efficace strategia sul tema.
L’appropriatezza di una strategia dipende comunque da una serie di altri elementi spesso specifici della singola organizzazione, che vanno esplorati attentamente alla luce di uria conoscenza puntuale delle dinamiche che può provenire solo dall’interno.
Il ruolo delle attività di assessmen del fattore umano nel programma di cybersecurity … e la loro sostenibilità
I rischi del cybercrime abilitati dalla social engineering possono essere compresi facilmente, se opportunamente condivisi, anche da decisori interni all’azienda di estrazione non tecnica. Poterli corredare di una valutazione di impatto (o quantomeno di esposizione) quantitativa può aiutare ad individuare risorse pe una remediation mirata. Dai dettagli di un’analisi contestualizzata possono derivai anche indicazioni specifiche sul fabbisogno formativo, la cui efficacia può essere monitorata attraverso ripetizioni periodale del test.
Di fatto, oggi è possibile reperire sul mercato un certo numero di servizi che, ad un costo pressoché trascurabile, mettono disposizione gli strumenti tecnici ( per l’esecuzione di questa tipologia di test corredata del materiale a supporto della formazione sul fenomeno. La diffusione di tali strumenti è avvenuta in anni recenti, sebbene in Cefriel la necessità di presidiare ( e affrontare questo tipo di rischio sia stata compresa con largo anticipo.
Tuttavia, la pura esecuzione test (inteso come l’invio delle email e il tracciamento dei “click è la parte “facile” dell’attività, e peraltro quella a minor valore aggiunto. L’esperienza sul campo mostra come le fasi preliminari rispetto all’attuazione della verifica, così come l’interpretazione dei risultati e la pianificazione di strategie efficaci per la mitigazione del rischio abbiano un peso uguale o forse superiore, specie in realtà aziendali complesse.
Una metodologia strutturata e un opportuno ingaggio preliminare degli stakeholder permettono sia di “scardinare” alcune resistenze intrinseche in questo tipo di valutazione, sia (soprattutto) di favorire quella necessaria condivisione di intenti che abilita il successivo riuso dei risultati in ottica di comunicabilità (anche attraverso la sola informativa agli utenti dell’avvenuto test).
In caso contrario, si rischia di i ricadere in un’attività che viene fatta “da nerd per nerd” (o più seriamente attuata e condivisa tra soli “tecnocrati”).
È sufficiente?
Viene da chiedersi: “l’adozione di quanto proposto finora, che appare già come ‘sfidante’, è sufficiente a mitigare efficacemente il rischio rappresentato dai comportamenti impropri delle persone?”
Il perimetro tecnologico dell’azienda media si sta progressivamente non solo allargando, ma anche “sfilacciando”. Le nuove tecnologie entrano ed escono dall’IT aziendale, in modo variamente presidiato.
Certo, monitorare in ottica di anticipazione dei rischi l’evoluzione tecnologica è fondamentale ma anche sempre più complesso: se da un lato le contromisure “tradizionali” vanno preservate e aggiornate, dall’altro devono costantemente essere integrate con quelle che si appoggiano sulle nuove opportunità offerte dalla tecnologia.
Inoltre, occorre pensare ad aggiungere elementi di sicurezza a tutte quelle infrastrutture che sono già in produzione e che hanno debolezze intrinseche. Un esempio (e non a caso rappresenta uno degli hype del momento dal punto di vista della sicurezza) è quello delle infrastrutture SCADA/ICS, che in generale per motivi storici e di difficoltà implementative sono state realizzate senza considerare (o considerando solo parzialmente) gli aspetti di sicurezza.
In queste situazioni, da un lato occorre agire tempestivamente introducendo elementi di sicurezza attraverso azioni mirate, dall’altro è necessario attrezzarsi per ottenere l’introduzione di paradigmi di sicurezza “by design” e “by default” (in questo periodo tra l’altro spinti da molti driver, non ultimo il nuovo GDPR – General Data Protection Regulation).
Per concludere, la cybersecurity oggi affronta un contesto complesso e fortemente dinamico, in cui il perimetro della tecnologia da monitorare è in continua evoluzione, ma in cui il presidio del ‘ fattore umano” si pone come una delle poche necessità costanti.
Pertanto, è essenziale intraprendere iniziative volte a comprendere quali siano le effettive vulnerabilità connesse alla debolezza del fattore umano all’interno delle imprese e a mitigarne il relativo rischio dal punto di vista della sicurezza informatica. L’introduzione di tematiche “nuove” come questa all’interno dei programmi strategici di cybersecurity consente di scardinare una condizione di partenza (anche e soprattutto di carattere “culturale”) che prevede che la sicurezza ICT sia un “di cui” delle attività proprie dell’IT stesso. Andare oltre questo preconcetto apre la strada a momenti di condivisione formali e a tavoli decisionali che rappresentino le diverse funzioni e abbiano un reale potere di indirizzo e governo della strategia di sicurezza complessiva.
A questi tavoli, i risultati di Vulnerability Assessment sul fattore umano sono quelli che tipicamente riescono a innescare le reazioni maggiormente concrete, anche sfruttandone il potere attuativo e persuasivo, e che possono alimentare un “effetto volano” che consenta di rendere la sicurezza pervasiva all’interno di tutte le strutture aziendali.
APT: COS’È? PERCHÉ “NON BASTA L’ANTIVIRUS”?
Gli Advanced Persistent Threat (APT) sono una tipologia di attacchi sofisticati e mirati a uno specifico obiettivo che hanno lo scopo di ottenere accesso ai sistemi informatici e sottrarre informazioni critiche o riservate come ad esempio proprietà intellettuali o dati sensibili di utenti.
Gli APT sono tipicamente guidati da organizzazioni criminali di attivisti o addirittura da governi, e sfruttano differenti metodologie e strumenti di attacco, con lo scopo di ottenere un punto di accesso privilegiato e persistente all’interno del perimetro di un’azienda.
Attraverso questo punto di accesso, l’attaccante cerca di muoversi in maniera silente per ottenere senza essere scoperto le informazioni di valore. Questo tipo di attacchi è salito alla ribalta nelle cronache negli ultimi anni attraverso i nomi delle società che ne sono state colpite. RSA, Sony, JP Morgan Chase, Target sono solo alcune delle aziende che sono state colpite da attacchi di questo tipo.
Gli APT seguono uno schema comune che, a fronte dell’ottenimento di un primo punto d’accesso, vede l’attaccante ottenere privilegi sempre più ampi sui sistemi dell’organizzazione. In virtù di tali privilegi, l’attaccante acquisisce informazioni sulla struttura informatica interna, mantenendo il più possibile il basso profilo per non essere identificato. Se ben strutturata, questa fase può arrivare a durare settimane o mesi, senza che l’azienda vittima se ne accorga. Una volta rilevati gli asset e le informazioni critiche, si procede con la loro distruzione o sottrazione, in relazione alle finalità dell’attacco e al tipo di asset.
È facile comprendere come in attacchi di questo tipo il solo antivirus (ma in generale gli strumenti tecnologici tradizionali) possa non bastare. Al contrario, la vulnerabilità può essere indirizzata a livello “culturale”: risulta pertanto cruciale la consapevolezza degli utenti che rappresentano l’elemento centrale dell’attacco, e che possono quindi contribuire ad innalzare l’efficacia delle difese aziendali.
QUANDO IL PERSONALE RAGGIRATO È IN POSIZIONI DI VERTICE: IL “CEO SCAM”
Un esempio recente è rappresentato dalle campagne che vanno sotto il nome di “CEO scam”, un tipo di truffa in cui un attaccante, dotato di un minimo di informazione riguardo all’organizzazione interna della compagnia, sfrutta tutti i classici elementi della social engineering (urgenza, autorità, ecc.) per forzare l’esecuzione di azioni improprie. Nello specifico, questa tipologia di attacchi va a colpire il personale dell’amministrazione di un’azienda, tramite una mail di sollecito di un pagamento che sembra essere inviata dall’amministratore delegato dell’azienda (o dal CFO o altri ruoli apicali con analoghi poteri). Ovviamente in questo attacco il mittente è falsificato e l’obiettivo dell’attaccante e far eseguire un bonifico verso il suo conto corrente.
CARBANAK: FUGA DI DATI… E DI SOLDId
Gli attaccanti sono ben consci di poter manipolare gli utenti per ottenere da lo-ro informazioni sensibili relative alla privacy, ad aspetti finanziari e di business o semplicemente per indurli ad eseguire azioni improprie sul proprio PC (o smartphone). In questo modo l’attaccante accresce in modo significativo la percentuale di successo rispetto ad attacchi puramente tecnologici (ossia, che fanno leva sulle vulnerabilità tecniche nei sistemi esposti su Internet, comun-que spesso presenti). Questo scenario, di fatto, è alla base di molti dei più recenti data breach. Ad esempio, durante la scorsa campagna per la presidenza del governo degli Stati Uniti, è emerso lo scandalo relativo alle email trafugate dagli account di Hilary Clinton e di John Podesta, il responsabile della campa-gna presidenziale. Anche in quel caso, proprio una finta email che sembrava provenire da Google ha permesso di compromettere l’account personale di quest’ultimo e di ottenere le informazioni che sono state poi rivelate al pubblico. Le email di phishing sono inoltre la base di Carbanak, considerato uno dei più grandi attacchi organizzati verso istituzioni finanziarie che ha permesso di sottrarre un miliardo di Euro.
Fonte: Gruppo Sole 24 Ore
