Incidenti di sicurezza informatica: I dipendenti come fattore di successo

CONTENUTO

I siti web sono come libri aperti
La semplicità è la cosa più pericolosa
Indirizzi e-mail: Il "capitale" del phishing
Sensibilizzazione alla sicurezza: Il cavallo di Troia arriva ufficialmente
Incidenti di sicurezza informatica: Un esempio di vita reale
Sicurezza informatica: I dipendenti come fattore di successo
Il tutto e il niente: sensibilizzare i dipendenti agli attacchi
ISO 27001: la consapevolezza come parte del catalogo di misure
Un incidente di sicurezza delle informazioni è solitamente sinonimo di caos
La backdoor del vostro sistema
Mancanza di consapevolezza: perfetta per un attacco mirato
Ridurre al minimo la probabilità di accadimento

I siti web sono come libri aperti

È risaputo che la sicurezza informatica e la sicurezza delle informazioni sono due paia di scarpe ben diverse, ma i confini possono ancora confondersi. È chiaro che gli incidenti di sicurezza informatica portano regolarmente a incidenti di sicurezza informatica. Certo, se sono un hacker che sta compromettendo una rete aziendale, dovrei stare seduto davanti allo schermo con gli occhi chiusi in modo convulso per evitare di raccogliere un'informazione o un'altra che non è destinata a me.

Tuttavia, è anche possibile che i criminali informatici raccolgano inizialmente informazioni che, a lungo termine, consentono loro di attaccare i sistemi informatici della vittima prescelta.

Presso la piattaforma di controlli di sicurezza greenhats.com, il nostro lavoro quotidiano consiste nell'hackerare le aziende, identificare le vulnerabilità e risolverle prima che i criminali le scoprano.

Fedele al motto "Parliamone", in questo articolo vorrei spiegarvi in dettaglio un metodo di attacco che riguarda tutti. E insieme a voi, vorrei affrontare la domanda: Perché vi sto dicendo tutto questo?

Incidenti di sicurezza informatica: La semplicità è la cosa più pericolosa

Stiamo parlando, ovviamente, del cosiddetto "attacco di phishing" - non preoccupatevi, cercherò di risparmiarvi altre parole straniere e vocaboli informatici. Non ne ho nemmeno bisogno, perché il phishing non è un attacco tecnico, ma un attacco all'anello più debole della catena di (quasi) tutti i concetti di sicurezza. Un attacco alle persone.

Supponiamo che io voglia attaccare voi. Allora non mi siedo a caso davanti al mio notebook e comincio a digitare sulla console nera. No, prima ho bisogno di... esattamente! Informazioni e dati personali. Questi includono:

Indirizzi e-mail della vostra azienda
Nomi del personale IT
Firme delle e-mail
Informazioni sulla vostra identità aziendale
Un argomento interessante per i vostri dipendenti

In linea di principio, il phishing non è un attacco tecnico, ma un attacco all'anello più debole della catena di (quasi) tutti i concetti di sicurezza.

Un attacco alle persone.

Partendo dal presupposto che non conosco nulla se non il nome della vostra azienda, mi viene spontaneo andare sul sito web, leggere e imparare tutto quello che c'è da imparare. Soprattutto, mi interessano gli indirizzi e-mail e le persone di contatto del vostro IT. Perché nell'attacco che segue voglio inviare un'e-mail falsa al maggior numero possibile di dipendenti (di cui mi servono gli indirizzi) evitando il più possibile di inviarla anche all'IT.

Indirizzi e-mail: Il "capitale" di un attacco di phishing.

Una volta trovati alcuni indirizzi e-mail, ne ricavo lo schema. Ad esempio, "firstname.lastname@samplecompany.com". Quindi cerco di scoprire la logica di come l'indirizzo e-mail del dipendente possa essere dedotto dal suo nome.

Poi vado di nuovo su Internet, questa volta sui social network. Non sto parlando degli attori "cattivi" come Facebook & Co. XING e LinkedIn sono molto più interessanti.

Lì cerco la vostra azienda e guardo quali persone dichiarano di lavorare per questa azienda. In questo modo ottengo un elenco di nomi da cui possiamo ricavare gli indirizzi utilizzando il modello identificato. Allo stesso tempo, posso già capire dai profili nei social network quali dei vostri colleghi potrebbero potenzialmente riconoscere il mio imminente attacco in base alla loro esperienza professionale e ai loro interessi informatici.

Questi colleghi non riceveranno alcuna mail falsa da parte mia.

Consapevolezza della sicurezza: Il cavallo di Troia arriva ufficialmente

Ora che conosco l'obiettivo del mio attacco, voglio spacciarmi per un dipendente della vostra azienda. Per farlo, prima mi metto in contatto con voi. Attraverso canali ufficiali, ad esempio come potenziale cliente. Vi scrivo un'e-mail e vi chiedo un preventivo. Voi rispondete, possibilmente con un portfolio di prodotti o simili.

La vostra risposta mi fornisce informazioni preziose:

Che aspetto ha la vostra firma e-mail?
Quali caratteri utilizzate?
Dove posizionate il vostro logo nei documenti?
Come evidenziate i titoli?
Quali colori utilizza?
E, e, e...

Fin qui non si tratta di scienza missilistica. Ma attenzione: arriva il trucco. Supponiamo che la vostra azienda si chiami "SampleCompany" e si trovi su Internet all'indirizzo "samplecompany.com". Ora cerco un indirizzo su Internet che sia molto simile al vostro. Ad esempio "samplecompany.eu". Compro questo indirizzo (in realtà costa solo pochi euro) e ora posso costruire il mio attacco su di esso.

Perché da "firstname.lastname@samplecompany.eu" posso inviare e-mail con la vostra firma che sembrano provenire direttamente da voi. Non mi interessa quali nomi o sinonimi utilizzo come mittente, perché tecnicamente non fa differenza.

Incidenti di sicurezza informatica: Un esempio di vita reale

Il vostro business manager non è il vostro business manager

Questo può essere molto pericoloso se, ad esempio, fingo di essere l'amministratore del vostro sistema informatico. Scrivo un'e-mail a voi e a tutti i vostri colleghi, in cui richiamo la vostra attenzione, ad esempio, su un nuovo portale video per le riunioni a distanza, in cui tutti i dipendenti devono autenticarsi una volta per verificare se i contatti esistenti sono stati trasferiti.

Oppure quando vi scrivo in qualità di assistente dell'amministratore delegato e vi spiego che la festa di Natale è stata annullata a causa della pandemia, ma che la direzione mette in palio cinque iPhone nuovi di zecca. Per garantire che tutti finiscano nel piatto della lotteria una sola volta, chiedete a ogni dipendente di autenticarsi una sola volta nel portale allegato - i vincitori saranno poi annunciati alla fine di dicembre.

Area di login falsa: Un gioco da ragazzi in tempi di digitalizzazione

Indipendentemente dal metodo scelto, devo inviarvi un link che porti al "portale" in questione. Questo potrebbe essere "raffle.samplecompany.eu" o "portal.samplecompany.eu".

A questo punto posso dare libero sfogo alla mia creatività. Poiché la pagina corrispondente è di mia proprietà, devo solo costruirci qualcosa che sembri affidabile per voi e per i vostri colleghi. Nel caso del concorso, ad esempio, una bella area di login nel design della vostra azienda, con il vostro logo e magari un piccolo Babbo Natale. O qualche stella cadente.

Le password finiscono all'aggressore - in testo semplice

Naturalmente, la sicurezza è una priorità assoluta nel mio portale! Tutto è crittografato in modo eccellente ed è impossibile per terzi leggere i vostri dati. Dopo tutto, state inserendo nomi utente e password, che sono informazioni sensibili. Da un punto di vista tecnico, tutto questo è assolutamente serio. I vostri dati vengono trasferiti in modo sicuro e finiscono nelle mani migliori: le mie.

Tra l'altro, la complessità della password è del tutto irrilevante in un attacco di questo tipo: finisce in chiaro all'aggressore. E tenete presente che (anche se minimamente più complesse) un'ampia varietà di soluzioni a 2 fattori può essere "phittata" se adatto il mio portale di conseguenza.

Sicurezza delle informazioni: I dipendenti come fattore di successo

Vi ho promesso di chiarire alla fine la domanda più importante: Perché vi sto dicendo tutto questo? La risposta è: Chi altro?

È importante capire che l'attacco che sto descrivendo, da un punto di vista puramente tecnico, non è affatto un attacco. Vi sto scrivendo un'e-mail da un indirizzo che in realtà mi appartiene. Non c'è nemmeno un allegato, tanto meno un malware. Siete stati reindirizzati a una pagina Internet che non cerca di compromettere il vostro sistema. Inoltre, come ho descritto in precedenza, questo sito è perfettamente protetto e tutto il traffico è crittografato in modo ottimale.

Lo stesso vale per gli altri siti (affidabili) a cui vi collegate. E proprio come inserite la vostra password privata su LinkedIn o XING per autenticarvi, ora la inserite sul mio sito.

Da un punto di vista tecnico, i phisher non falsificano le e-mail. Falsificano l'intera azienda. Ed è proprio per questo che le misure di protezione tecnica non funzionano. La soluzione è riconoscere e prevenire l'attacco, e questo dipende da voi.

È importante capire che, da un punto di vista tecnico, non sto falsificando un'e-mail. Sto falsificando la vostra intera azienda.

Ed è proprio per questo che le misure di protezione tecnica non funzionano. La soluzione sta nel rilevare e prevenire l'attacco, e questo dipende da voi. Così come le misure appropriate per sensibilizzare i dipendenti in questa direzione.

Perché, se ho configurato questo scenario in modo ordinato, il rilevamento dell'attacco è possibile solo notando la differenza nell'indirizzo, quindi nel nostro caso il ".eu" invece del vostro ".com". Sono consapevole che l'uno o l'altro di voi è assolutamente sicuro di avere la visione d'insieme necessaria per farlo anche nello stressante lavoro di tutti i giorni. Pertanto, vorrei dare ai più esperti un piccolo spunto di riflessione:

Riconoscereste anche voi "samplecompany.com" come un falso? Un piccolo suggerimento: la "l" non è una L ma la lettera greca "Iota". Per l'occhio umano non c'è alcuna differenza, il vostro computer probabilmente la vede in modo un po' diverso. Posso assicurarvi che in tutti gli attacchi di phishing che abbiamo simulato per le aziende, non c'è stato un solo cliente in cui nessun dipendente abbia rivelato i propri dati.

Il meglio: sensibilizzare i dipendenti agli attacchi

La questione non è quindi se i vostri colleghi cadrebbero in un attacco del genere. La questione è piuttosto quanti dipendenti riconosceranno l'attacco, quanto velocemente lo segnaleranno all'IT e quanto tempo l'IT avrà a disposizione per rispondere.

È proprio qui che il dipendente diventa un fattore di successo per la sicurezza delle informazioni e la sicurezza informatica in termini di consapevolezza della sicurezza.

Non voglio essere uno di quei white-hacker che tengono per sé le proprie strategie e si godono i risultati disastrosi di tali attacchi. Vorrei piuttosto contribuire insieme a voi a rendere la vostra azienda un po' più sicura.

Ora tocca a voi: Quello che vi ho appena descritto è solo un esempio dei molti modi in cui le persone e la loro gestione a volte negligente delle informazioni possono essere sfruttate e utilizzate per trarre profitto come attaccanti. I reparti IT possono proteggersi da tutto ciò solo in misura limitata o non possono farlo affatto; è il loro compito. Pensate voi stessi agli attacchi, pensate a come potreste dirottare i vostri colleghi e fatene un argomento al tavolo da pranzo (virtuale).

ISO 27001: la consapevolezza come parte del catalogo di misure

Mettete alla prova la vostra azienda con regolarità e rendete la consapevolezza parte del vostro piano di sicurezza. Leggendo un po' tra le righe, troverete questo concetto anche nello standard riconosciuto a livello internazionale per un sistema di gestione della sicurezza delle informazioni (ISMS).

Lanorma ISO/IEC 27001, ad esempio, richiede di garantire la consapevolezza e quindi la sensibilizzazione dell'anello più debole della catena su come gestire le informazioni dell'azienda (capitolo 7.3 e allegato 7.2.2). Questo inizia con qualcosa di semplice come un indirizzo e-mail. Anche altri requisiti normativi o legali, come il GDPR, mirano all'approccio preventivo per evitare incidenti.

"Un ISMS secondo la norma ISO 27001 definisce requisiti, regole e metodi per garantire la sicurezza delle informazioni che vale la pena proteggere nelle aziende. Lo standard fornisce un modello per introdurre, implementare, monitorare e migliorare il livello di protezione. L'obiettivo è identificare i rischi potenziali per l'azienda, analizzarli e renderli controllabili attraverso misure appropriate. La norma ISO 27001 formula i requisiti di tale sistema di gestione, che vengono verificati nell'ambito di un processo di certificazione esterna. Lo standard è disponibile sul sito web dell'ISO."

Soddisfare i requisiti dello standard con misure di sensibilizzazione, come linee guida, formazione, comunicazioni sulle novità in corso o persino attacchi di phishing simulati, come facciamo per i nostri clienti. E: Siate onesti con voi stessi e chiedetevi quanto le vostre precedenti misure di formazione siano state efficaci nel prepararvi a un'emergenza come quella appena descritta.

Man and a woman with a laptop in a server room

ISO 27001 - Domande e risposte

Le informazioni di valore sono l'oro di oggi e quindi anche un bene da proteggere nella vostra azienda. La ISO 27001 ha in serbo molte soluzioni.

Le risposte alle domande più importanti sulla ISO 27001: proprio qui

Un incidente di sicurezza delle informazioni è solitamente sinonimo di caos

A proposito di onestà: come reagireste a un incidente di sicurezza delle informazioni provocato da un cyberattacco? Certo, il tema della sicurezza reattiva è sempre un po' scomodo, ma è qualcosa di cui si dovrebbe parlare.

A tutti piace pensare che sia come un'esercitazione di allarme antincendio: a un certo punto, durante l'orario di lavoro, suona inaspettatamente un campanello, tutti escono dall'edificio in modo ordinato e calmo, aspettano fuori per un po' e chiacchierano con i colleghi del tempo, e dopo un po' tutti possono rientrare e, durante il tragitto, possono prendere un caffè.

Ma non è così.

Il mio team è già stato contattato da un paio di aziende in cui c'è stato un attacco e posso assicurarvi che è il caos: È un caos. Anche diversi giorni dopo l'evento vero e proprio. Tra le altre ragioni, questo è dovuto al fatto che gli hacker moderni sfruttano l'arroganza delle loro vittime.

Fate in modo che la consapevolezza sia parte del vostro concetto di sicurezza e mettete regolarmente alla prova la vostra azienda. Leggendo un po' tra le righe, troverete anche questo nello standard riconosciuto a livello internazionale per un sistema di gestione della sicurezza delle informazioni, l'ISO 27001.

Voglio spiegarvi questo concetto, quindi torniamo al nostro attacco di phishing. Supponiamo che io, in qualità di aggressore, riesca a collegarmi in remoto ai sistemi informatici di uno dei vostri colleghi utilizzando la sua password. Pensate che non saprei che qualcuno nella vostra azienda si accorge di un attacco e lo segnala all'IT? Nel migliore dei casi, lo fate personalmente, ne sono pienamente consapevole.

Incidenti di sicurezza informatica: La porta di servizio del vostro sistema

Ecco perché faccio due cose: Primo, faccio qualcosa di ovvio che infastidisca la vostra azienda e vi dia qualcosa da fare. Ad esempio, invio e-mail di spam ai vostri clienti a nome di un vostro collega. Questo si fa notare e dà a voi e al vostro reparto IT qualcosa da fare. Ora potete tirare fuori dall'armadio tutti i vostri piani di emergenza e lavorare con i vostri rappresentanti IT per risolvere l'incidente di sicurezza delle informazioni in modo perfetto. Comprese le sofisticate misure di marketing che porteranno l'immagine appannata a una nuova lucentezza e forse vi faranno apparire come "sopravvissuti" ancora meglio di prima. I professionisti possono farlo.

Ma allo stesso tempo, in qualità di attaccante, sto cercando di creare una backdoor per un sistema che il vostro IT non noterà in tutto questo trambusto. È come entrare in una gioielleria, rovesciare la vetrina più grande e mettere in tasca di nascosto tutti gli anelli e gli orologi più costosi mentre tutti si accaniscono sui pezzi rotti.

Inutile dire che la mia porta sul retro è estremamente difficile da trovare se non si sa cosa si sta cercando. E poi non faccio nulla. Per settimane, per mesi.

"Mi faccio strada nella vostra rete, in silenzio. Mi sparpaglio e aspetto...".

Ora sto cercando di farmi strada nella vostra rete aziendale, in silenzio. Senza alcun software di scansione "rumoroso", che esaurirebbe la vostra rete e allarmerebbe i vostri sistemi di sicurezza. Completamente manualmente, quasi alla vecchia maniera. A proposito, è qui che si separa il grano dalla pula dal lato degli hacker. Se la vostra rete è stata esposta agli scanner di sicurezza solo in scenari di test, ora non vi sarà di alcun aiuto. Mi sparpaglio e aspetto, pazientemente. Cerco di identificare quando e come vengono effettuati i backup, chi comunica con chi e dove la vostra organizzazione è più sensibile. Nel nostro esempio, probabilmente lo faccio di notte, o almeno dopo l'orario di lavoro, quando è ancora meno probabile che mi osservino. E, naturalmente, copro le mie tracce ogni giorno.

Lemisure di sicurezza informatica proattive e, in particolare, una marcata consapevolezza della sicurezza sono gli elementi più importanti del concetto di sicurezza informatica di un'azienda. Tuttavia, una consapevolezza della sicurezza ben sviluppata comprende anche la consapevolezza che può accadere a voi. E se dovesse accadere, dovreste essere preparati.

E poi, mesi dopo, si verifica il grande incidente di sicurezza informatica. Completamente all'improvviso per la vostra azienda. Ad esempio, utilizzo uno dei numerosi Trojan di crittografia per ricattarvi. Per "coincidenza", però, grazie al mio lavoro preliminare, il trojan viene eseguito con i massimi privilegi, aggira le vostre misure di sicurezza e si diffonde per primo nei sistemi con i vostri file più importanti. E se, in tutto il tempo che ho avuto a disposizione, ho notato un punto debole nel vostro sistema di backup... Come ho detto, il caos.

Mancanza di consapevolezza: perfetta per un attacco mirato

Sì, siamo ancora nel nostro esempio, ma questo non è assolutamente Hollywood. Si tratta di una pratica comune e di un motivo fondamentale per cui sentiamo e leggiamo ancora spesso di aziende alle prese con questi trojan di crittografia. Qualche anno fa, questi virus erano più o meno scatenati su Internet e solo le pecore più deboli del gregge ne erano vittime: le aziende che avevano una sicurezza tecnica debole all'esterno.

Oggi le cose sono diverse. La mancanza di consapevolezza dei dipendenti viene sfruttata per colpire le aziende e solo quando la vittima è completamente controllata viene distribuito il software di attacco automatico.

Sono ancora convinto che le misure di sicurezza informatica proattive e, in particolare, una forte consapevolezza della sicurezza siano gli elementi più importanti del concetto di sicurezza informatica di un'azienda - ci sono semplicemente troppi esempi e casi concreti che lo confermano. Tuttavia, una consapevolezza della sicurezza ben sviluppata comprende anche la consapevolezza che è possibile essere colpiti. Mi ci metto anch'io. E se ciò dovesse accadere, dovreste essere preparati.

Ridurre al minimo la probabilità di accadimento

Ho volutamente inserito l'esempio dell'allarme antincendio nelle mie osservazioni. Questo prepara l'azienda all'eventualità che, nonostante tutte le misure proattive, scoppi un incendio. Alcune aziende hanno qualcosa di simile anche per gli incidenti legati alla sicurezza delle informazioni e alla sicurezza informatica. E se per voi questo è un po' troppo (dipende sempre dall'azienda in ogni singolo caso), ho comunque un consiglio da darvi:

Se implementate test di penetrazione o altre simulazioni di attacco come parte delle vostre misure di sicurezza proattive, non accontentatevi di risolvere semplicemente le vulnerabilità trovate. Ponetevi sempre la domanda: Questa vulnerabilità è stata sfruttata in passato? Sono state installate delle backdoor?

"Non smettere di fare domande".

Oppure, in altre parole, trattate ogni "scoperta" con la serietà di un vero e proprio incidente di sicurezza informatica. In questo modo, ridurrete al minimo le probabilità di accadimento e metterete alla prova i vostri piani di sicurezza reattivi, di cui vi auguro sinceramente di non avere mai bisogno. Come l'allarme antincendio.

Tutto questo fa parte della consapevolezza e allo stesso tempo è solo una parte del tutto. Con questa importante componente, tuttavia, potrete sorridere quando vi chiederò: "Se domani mi mettessi d'impegno, potrei cogliervi in fallo?". Speriamo.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

Siamo lieti di rispondere alle vostre domande

Che tipo di impegno dovete affrontare per certificare il vostro sistema di gestione della sicurezza delle informazioni? Scopritelo, senza impegno e gratuitamente. Non vediamo l'ora di parlarne con voi.

Contattaci

Fiducia e competenza

I nostri testi e le nostre brochure sono scritti esclusivamente dai nostri esperti di standard o da auditor con molti anni di esperienza. Se avete domande sul contenuto del testo o sui nostri servizi all'autore, non esitate a contattarci.

Scegli la tua lingua