Smettetela di dare la colpa all’utente: siamo noi a doverlo proteggere

Nov 18, 2019 Giancarlo Calzetta Approfondimenti, In evidenza, RSS, Scenario 0

Barcellona è una bella città: viva e proiettata verso il futuro, ha dalla sua anche una esposizione sul mare invidiabile. Ma è anche un ottimo posto dove parlare di sicurezza, dal momento che Palo Alto l’ha scelta quest’anno come sede per il suo Ignite 2019, l’evento europeo destinato a clienti e partner in cui presenta i nuovi prodotti e la sua visione del futuro.

Per noi di Security Info, però, la parte più ghiotta è quella che ci permette di scambiare due chiacchiere con chi è ogni giorno in prima linea contro i criminali. Quest’anno abbiamo avuto la fortuna di avere a disposizione Ryan Olson, Vice President Threat Intelligence della Unit 42 di Palo Alto, una persona che mangia malware a colazione.

La nostra chiacchierata è iniziata con un “In ogni azienda c’è qualcuno che clicca dove non dovrebbe e il responsabile della sicurezza inizia a maledirlo”. Ma subito ci siamo trovati d’accordo sul fatto che questo è l’approccio sbagliato.

“E’ ovvio” – dice Ryan Olson – “che la prima reazione sia quella di prendersela con l’impiegato che ha fatto un clic di troppo e iniziare a pensare che il problema sia lì, ma non è così. Limitarsi a credere che sia colpa di chi clicca è un grave limite al creare una struttura di sicurezza informatica efficace”.

Il problema sta nei numeri: è impossibile credere che tutti gli impiegati di una azienda stiano sempre così attenti da evitare clic sbagliati. Esattamente come pensare che sia possibile che nessuno clicchi per errore su di un allegato o un link malevolo mentre sta scorrendo una pagina. E se anche dovessero diventare così bravi da non cascare in nessuna trappola “di massa”, esistono attacchi che semplicemente sono troppo avanzati per una analisi umana.

“Durante le investigazioni sulla campagna OilRig” – ci svela Olson– “abbiamo visto come una persona abbia inviato una mail assolutamente lecita a un suo contatto che stava aspettando quella comunicazione. Dopo l’invio, però, il messaggio di posta elettronica è stato intercettato, l’allegato aperto, weaponizzato, riallegato e reinstradato verso il suo destinatario originale, senza che dall’esterno si vedesse alcun segno di compromissione. Come possiamo sperare che attacchi come questo non vadano a buon segno? Davvero possiamo dare la colpa a chi ha aperto l’allegato?”

Ovviamente no. Anche perché se ogni impiegato deve diventare un esperto di sicurezza informatica invece di un esperto nel suo campo, c’è evidentemente qualcosa che non va.

“La cosa che bisogna tenere presente” – continua Olson – “è che le tecnologie che evitano le compromissioni in attacchi come quello visto in OilRig sono le stesse che ci tengono al sicuro dagli impiegati che cliccano un po’ troppo allegramente sugli allegati di dubbia origine”.

Intendiamoci, la formazione agli impiegati va fatta ed è una cosa importantissima per moltissimi aspetti che hanno a che fare con la sicurezza dei dati aziendali, ma bisogna essere coscienti del fatto che non può essere che una componente dell’insieme e che il clic “sbagliato” arriverà, per un motivo o per un altro.

“Del resto” – ci dice Olson – “c’è da considerare anche che ogni azienda ha i suoi ‘scheletri nell’armadio’: sistemi che non può aggiornare in maniera appropriata perché non più supportati, ma impossibili da sostituire; dispositivi che sottintendono a mansioni in dismissione; infrastrutture o processi di business costituiti tempo fa e che necessitano di tempo per esser modificati. Tutte cose con cui bisogna comunque fare i conti e che sono altrettanto scottanti quanto l’imperizia degli utenti”.

Insomma, l’infrastruttura informatica va progettata con in mente una forte componente di resilienza. Gli attacchi arrivano e non tutti potranno esser fermati. L’importante è pianificare le difese in modo che le violazioni restino sempre circoscritte e confinate in un ambito molto ristretto.

Condividi l'articolo