I collaboratori continuano a giocare un ruolo fondamentale negli attacchi informatici moderni, qualunque sia la tecnica utilizzata (minacce interne, attacchi di phishing e di malware mirati, ecc.). Basta un clic indesiderato o un download avventato per esporre la nostra azienda a perdite di dati, danni alla reputazione e interruzioni del servizio.
Per proteggere i nostri collaboratori e i nostri dati, dobbiamo cercare di interrompere la catena d’attacco il più presto possibile, prima che i criminali informatici violino il perimetro di sicurezza. In questo articolo, sottolineerò l’importanza di creare una cultura della sicurezza informatica per raggiungere tale obiettivo e il ruolo fondamentale che gli utenti ricoprono in questo processo.
Il fattore umano nella catena d’attacco
Inizialmente coniato da Lockheed Martin, il termine “catena d’attacco” o “kill chain” fa riferimento alle diverse fasi della diffusione di una minaccia informatica. L’idea è quella di esaminare in dettaglio come i criminali informatici stabiliscono un contatto, come vengono distribuiti ed eseguiti i payload dannosi, come vengono esfiltrati i dati, ecc.
Una volta suddiviso in fasi un attacco, i team della sicurezza possono valutare i loro meccanismi di rilevamento, i controlli di protezione e i piani di risposta in ogni fase, invece che considerare una minaccia informatica come un attacco amorfo su larga scala che cercano di prevenire.
Gli attacchi contro le persone non sono una novità. I criminali informatici creano un profilo per determinare chi dispone di accesso ai dati o delle credenziali di cui desiderano entrare in possesso. Una volta identificati i loro obiettivi, i criminali informatici cercano il modo migliore per comprometterli, sia direttamente via email o tramite i social media, sia sfruttando una terza parte fidata.
Nella maggior parte dei casi, gli attacchi vengono veicolati dall’email, un vettore facile, accessibile, poco costoso e che può essere implementato su larga scala. Rappresenta lo strumento ideale per i criminali informatici. Le informazioni disponibili sui social media vengono spesso utilizzate in questa fase per personalizzare i messaggi in base agli interessi dell’obiettivo, al fine di sfruttare maggiormente il fattore umano. Di fronte a tutte queste tecniche di social engineering, è fin troppo facile per gli utenti lasciarsi ingannare.
Grazie a un account compromesso, un criminale informatico può spostarsi lateralmente all’interno delle reti e colpire un maggior numero di persone per elevare i propri privilegi d’amministratore. Ma ora, il criminale informatico è in possesso di un account interno legittimo che gli altri utenti non sospetteranno sia stato compromesso.
La difesa inizia dalla sensibilizzazione
Per gli attacchi incentrati sulle persone servono difese che adottano lo stesso approccio. La sensibilizzazione rappresenta il primo passo per creare una difesa di questo tipo. Gli utenti devono comprendere i rischi a cui sono esposti e come devono comportarsi quando si trovano ad affrontarli. È la base.
Così come dobbiamo conoscere le basi del codice della strada e dei segnali stradali prima di poter guidare, i tuoi collaboratori devono familiarizzare con le basi della sicurezza informatica prima di poter difendere i tuoi dati.
Ma naturalmente non è sufficiente. La sensibilizzazione è una cosa, ma un reale cambiamento dei comportamenti è un’altra.
Per continuare con l’analogia della guida, il fatto di sapere che esiste un limite di velocità di 50 km/h non significa che si sappia esattamente quando si applica o che lo si rispetti. Ecco perché esistono i cartelli stradali, gli autovelox e la polizia stradale. Gli equivalenti della sicurezza informatica includono contenuti di sensibilizzazione, test di abilità e simulazioni di phishing per determinare se i nostri collaboratori si comportano come dovrebbero.
Ma come si comportano quando nessuno li osserva? Come ridurre il rischio che i nostri collaboratori infrangano le regole quando è improbabile che vengano scoperti? È come chiedersi perché molti automobilisti rispettino i limiti di velocità quando nessuno li sorveglia. In generale, si tratta di una questione di abitudine e di aspettative della società, o cultura. Lo stesso approccio va adottato per la sicurezza informatica.
La spina dorsale della cultura della sicurezza informatica
Un buon punto di partenza per instaurare una cultura della sicurezza informatica nella tua azienda consiste nel ricordare ai tuoi collaboratori le regole in vigore e le loro responsabilità.
Più si vede un segnale di limite di velocità a 30 km/h, più si è consapevoli del fatto che si dovrebbe rispettare tale limite. Lo stesso vale per la formazione regolare e le risorse visibili sulle best practice di sicurezza. Questa formazione di sensibilizzazione alla sicurezza informatica ti permette di garantire che i tuoi collaboratori sappiano come comportarsi.
Il passo successivo è concentrarsi sul motivo per cui è importante. Le discussioni sulla differenza di incidenti mortali tra i 30 km/h e i 50 km/h, le spiegazioni sulla presenza di attraversamenti pedonali in prossimità delle scuole o i tassi di incidenti precedenti in aree ad alto rischio testimoniamo le potenziali conseguenze dell’eccesso di velocità. Fai passare questo messaggio e i tuoi utenti capiranno che adottare un comportamento corretto è fondamentale.
Infine, desideriamo che queste regole siano rispettate dal maggior numero possibile di persone e che coloro che decidono di rispettarle siano accettati dalla società, mentre chi le infrange subisca pressioni. Tali pressioni possono essere sottili ma efficaci. Un utente non vuole essere l’unico a superare uno stop quando tutti gli altri si fermano.
L'analogia non è perfetta, poche lo sono, tuttavia, creando una cultura, che si tratti di sicurezza informatica o di guida, possiamo aumentare le possibilità che le persone facciano le scelte corrette, anche se non sono controllate dal CISO (o dalla polizia). Se i tuoi collaboratori si comportano in questo modo, tutti in azienda diventeranno dei campioni della sicurezza informatica. Tutti vogliono fare la cosa giusta il più spesso possibile, il che ti offre una solida base per combattere le minacce della sicurezza informatica.
Insegna ai tuoi collaboratori a interrompere la catena d’attacco
Una solida cultura della sicurezza informatica è senza dubbio la miglior difesa contro gli attacchi informatici mirati incentrati sulle persone. Ma per creare una tale cultura ci vuole tempo.
In primo luogo, è necessario capire a che punto ti trovi in termini di sensibilizzazione. Quindi puoi concentrarti sulla formazione, lo sviluppo delle conoscenze e la comprensione e la creazione delle basi per la tua strategia di sicurezza informatica. Devi poi implementare una formazione obbligatoria regolare, che tenga conto delle minacce attuali, rivolta alle persone che ne hanno più bisogno.
Più approfondita è la conoscenza dei tuoi collaboratori sulle minacce informatiche, più saranno in grado di tenerle a bada e più velocemente potrai eliminare i comportamenti pericolosi. Solo così puoi creare una cultura della sicurezza informatica in grado di interrompere la catena d’attacco prima che il perimetro venga compromesso.
Scopri come Proofpoint può aiutarti a interrompere la catena d’attacco. Inoltre, scarica il report State of the Phish 2023 di Proofpoint per saperne di più sulle minacce informatiche più temibili a livello regionale e scoprire come trasformare i tuoi utenti nella tua miglior linea di difesa.