Un'introduzione al nostro tema della cibersicurezza più recente: il layer 8 - Il fattore umano
![](https://www.wisdomtree.eu/-/media/eu-media-files/blog/refresh-images/technology/artificial-intelligence/istock-1150209335.jpg?h=564&iar=0&w=1151&sc_lang=it-ch&hash=F4B4C9CAD992A4269DA970A9F9311FA1)
Nel solo 2022 è aumentato il numero di attacchi informatici di alto profilo che sfruttano l'“anello più debole” delle difese di sicurezza di tutte le aziende: il fattore umano. Prendere di mira la componente umana non rappresenta una nuova strategia per chi sferra attacchi informatici, ma la situazione sta peggiorando perché iniziamo a vedere che vengono applicati strumenti e tattiche con effetti molto più potenti.
Quello che dieci anni fa un hacker adolescente combinava per divertimento, ora potrebbe far sprofondare le città nel buio. Inoltre, i danni che un pirata poteva causare attaccando qualcuno all'interno del suo spazio personale (smartphone, tablet, ecc.) erano in genere nettamente scollegati dal suo mondo aziendale, ma con tutto quello che è avvenuto negli ultimi due anni con il COVID-19 e il telelavoro, la separazione tra spazio personale e aziendale è saltata; così gli attacchi che si possono subire nel proprio ambito personale hanno potenzialità molto maggiori di espandersi in quello aziendale.
Vediamo che questo si sta verificando a causa di tre fattori principali: una maggiore disponibilità di strumenti, nuovi vettori di attacco e pirati informatici sempre più audaci. Ad esempio:
- maggiore disponibilità di strumenti: gli strumenti che cinque anni fa erano unicamente alla portata di Stati nazionali sono ora utilizzati dalle bande criminali, e quelli di cui disponevano soltanto queste ultime sono oggi accessibili a pirati dilettanti; man mano che gli strumenti raggiungono le fasce basse del mercato, aumenta la loro disponibilità e si fa strada una serie di nuovi attori. La presenza di mezzi più pericolosi e di “strategie governative” per i meno competenti o disciplinati crea un ambiente più irresponsabile e insidioso;
- nuovi vettori di attacco: date le tendenze della digitalizzazione e del telelavoro, la vita aziendale delle persone si incrocia sempre di più con i loro dispositivi personali e viceversa. I pirati informatici stanno approfittando del fatto che non c'è più una separazione tra questi due aspetti e puntano a colpire una persona in casa sua, dove non attua i sistemi difensivi di cui disporrebbe nel suo ambiente aziendale. Ne è un esempio recente la violazione dei dati subita da Uber nel settembre 2022, in occasione della quale un hacker adolescente, presumibilmente un membro del gruppo di criminali informatici Lapsus$, ha conquistato quasi totalmente il controllo amministrativo dei sistemi informatici della società, tra cui il codice sorgente del software e i sistemi di messaggistica interna; l'hacker ha ottenuto l'accesso bombardando il dispositivo personale di un appaltatore con una richiesta di autenticazione a più fattori, fino a quando il malcapitato non ha potuto fare altro che accettarla, e addirittura spacciandosi per un membro del dipartimento informatico di Uber per convincere l'appaltatore a rivelare le sue credenziali di autenticazione. L'hacker si è poi collegato alla VPN aziendale e ha fatto un giro per la rete alla ricerca di obiettivi1;
- pirati informatici sempre più audaci: è evidente che ormai gli autori delle minacce sono sempre più sfacciati, al pari dei loro tentativi in materia di ingegneria sociale (come la proposta di pagare i dipendenti dell'azienda, i suoi fornitori e i partner commerciali delle organizzazioni bersaglio per avere accesso alle credenziali e ottenere l'approvazione dell'autenticazione a più fattori). Inoltre, gli aggressori sono lesti ad annunciare le loro prodezze sui media sociali e persino a intromettersi nel processo interno di risposta all'incidente messo in atto dai loro bersagli, rafforzando così il proprio potere ed esercitando un'ulteriore pressione sulla vittima.
Vale inoltre la pena di ricordare che, con il contesto macroeconomico attuale e il rischio di licenziamenti di massa (per esempio Twitter, che ha tagliato metà del personale2, Meta, che ha licenziato 11.000 dipendenti3 e Amazon, che ha tagliato 10.000 posti di lavoro in ambito aziendale e tecnologico4), le minacce interne stanno aumentando e le organizzazioni potrebbero trovarsi maggiormente a rischio di attacchi dall'interno. Per di più, un altro effetto del COVID-19 è costituito dal fatto che molti dipendenti vengono assunti senza mai incontrare di persona un membro dell'azienda; questo significa che, se qualcuno ha cattive intenzioni, è molto più facile infiltrarsi nelle aziende inserendovi semplicemente dei dipendenti. Secondo il Cost of Insider Threats Global Report del 2022 condotto da Ponemon, negli ultimi due anni gli incidenti derivanti da minacce interne sono aumentati del 44%, con i costi per incidente che sono saliti di oltre un terzo, toccando i 15,38 milioni di dollari5.
In risposta alle minacce e ai rischi in questione, assistiamo all'emergere di una robusta gamma di soluzioni specializzate per questi problemi, comprendenti (in via non esaustiva):
- soluzioni anti-phishing;
- prevenzione dell'abuso di credenziali;
- soluzioni relative all'ingegneria sociale e al “Business Email Compromise”;
- simulazione di attacchi e violazioni e altri strumenti per prevenire errori di configurazione;
- istruzione, formazione e soluzioni per sensibilizzare professionisti della sicurezza informatica, sviluppatori di applicazioni e utenti comuni;
- soluzioni contro minacce interne, compresa l'analisi del comportamento delle entità utenti (UEBA - User Entity Behavior Analysis), ecc.
A causa della tendenza all'aumento degli attacchi che sfruttano la “debolezza umana”, attualmente concomitanti con il numero crescente di soluzioni specializzate che vengono elaborate per combatterli, abbiamo deciso di presentare un nuovo tema di sicurezza informatica che amplia il nostro elenco: il layer 8 - Il fattore umano.
Il layer 8 è un termine utilizzato per riferirsi al “livello utente”, che si aggiunge ai 7 livelli del modello OSI (Open Systems Interconnection) per le reti informatiche.6 Questo significa che esistono alcune misure di sicurezza che non rientrano affatto nello spazio tecnologico e sono costituite esclusivamente dai processi di controllo umano che affiancano i componenti tecnologici del sistema o, in alcuni casi, operano in loro assenza. In fin dei conti, gli umani hanno una superficie di attacco, fanno parte del sistema e, pertanto, la sicurezza deve prestare attenzione a quella superficie di attacco e ai fattori di mitigazione che agiscono effettivamente in quel contesto.
Inoltre, nell'ambito del layer umano, le persone operano molto più lentamente e con minore efficienza rispetto alle macchine, cosa che impone ulteriori limitazioni alle loro difese tecnologiche. A peggiorare le cose, queste limitazioni native per gli umani creano una superficie di attacco che può essere mitigata unicamente da controlli compensativi, vale a dire: non esistono patch per gli esseri umani; ogni altro layer al di là di quello fisico può essere risolto attraverso le patch.
Secondo Charles Blauner, CISO (direttore dei servizi informativi) residente di Team8 ed ex responsabile generale della sicurezza informatica di Citi, “Nel contesto delle nostra modalità di attuazione della sicurezza, gli umani sono intrinsecamente parte in causa. Indipendentemente da quanto un'azienda investa nei controlli di sicurezza, gli umani riusciranno sempre a superarli. In ogni aspetto dello spazio dobbiamo capire come tenerli fuori dai giochi. Sono gli umani a commettere errori di configurazione, sono loro a restare vittime di phishing e a tenere fogli Excel con tutti i loro nomi utente e le password. Un buon red team vince sempre perché l'unica cosa su cui può contare è la debolezza umana. Tutto il layer 8 riguarda come addestriamo gli umani, li responsabilizziamo, li monitoriamo o, in certi casi, li escludiamo dal circuito.”
Benché il fattore umano sia un tema interessante ed emergente che iniziamo ufficialmente a seguire, in generale questo è stato un anno impegnativo per la sicurezza informatica sotto ogni punto di vista, dalla geopolitica alla guerra tra Russia e Ucraina , dalla deglobalizzazione alla professionalizzazione del ransomware e all'innovazione informatica. Nel bene e nel male, da quel che risulta attualmente, prevediamo che il 2023 non sarà diverso. Continuate a seguirci per l'elenco aggiornato completo dei temi del 2023 che guideranno il futuro della crescita per la cibersicurezza (l'elenco verrà annunciato all'inizio del 2023).
Dichiarazione di Team8
Il presente articolo “Il layer 8 - Il fattore umano” rappresenta le opinioni di Team8 Labs Inc. (“Team8”) e ha una finalità esclusivamente informativa. Non si deve considerare alcuna opinione espressa da Team8 come un incentivo specifico a effettuare un investimento in titoli, bensì solo come una manifestazione delle opinioni di Team8. Le dichiarazioni e i pareri di Team8 sono soggetti a modifiche senza preavviso. Team8 non è registrata come consulente finanziario ai sensi dell'Investment Advisers Act del 1940 e successive modifiche ("Advisers Act") e si avvale dell'“esclusione dell'editore” dalla definizione di consulente finanziario di cui all'articolo 202(a)(11) dell'Advisers Act. Pertanto le informazioni contenute nel presente articolo “Il layer 8 - Il fattore umano” non tengono conto di particolari obiettivi di investimento, situazioni o esigenze finanziarie e non intendono né devono essere interpretate in alcun modo come consulenza finanziaria. Le informazioni nel presente articolo “Il layer 8 - Il fattore umano” sono fornite esclusivamente a titolo informativo e di discussione e non intendono né devono essere considerate o interpretate come raccomandazione ad effettuare una transazione o un investimento né come consulenza finanziaria, fiscale, in materia di investimenti o come consulenza di qualsiasi altro tipo da parte di Team8. Il lettore deve stabilire autonomamente se concordare o meno con le informazioni contenute nel presente articolo “Il layer 8 - Il fattore umano”. Alcuni titoli menzionati nel presente articolo “Il layer 8 - Il fattore umano” possono costituire attualmente, o di volta in volta, componenti di un indice elaborato e gestito da WisdomTree Investments, Inc. utilizzando dati forniti da Team8, che è stato o sarà autorizzato a riscuotere una commissione per uno o più fondi di investimento. Inoltre, alcuni funzionari o dipendenti di Team8 o fondi o altre persone o entità affiliate o associate con Team8 possono detenere azioni di alcuni o tutti gli emittenti dei titoli menzionati nel presente articolo “Il layer 8 - Il fattore umano” o inclusi in tale indice, essere funzionari o amministratori di alcuni o di tutti i suddetti emittenti o essere altrimenti associati con loro. Team8 declina espressamente ogni responsabilità per qualsiasi atto od omissione che si basi sulle informazioni incluse nel presente articolo “Il layer 8 - Il fattore umano” e non rilascia alcuna garanzia o dichiarazione in merito a tali informazioni.
Fonti
2 Fonte: https://www.nytimes.com/2022/11/04/technology/elon-musk-twitter-layoffs.html
3 Fonte: https://www.nytimes.com/2022/11/09/technology/meta-layoffs-facebook.html
4 Fonte: https://www.nytimes.com/2022/11/14/technology/amazon-layoffs.html
Blog correlati
+ Conoscete il "tool sprawl" nell'ambito della cibersicurezza?