Le spese dirette e indirette, di un attacco cyber sono in costante crescita. Per il mantenimento delle misure di difesa, le aziende si sono trovate a dover fronteggiare un problema enorme: come rimanere sicuri, proteggere i dati e la missione aziendale, pur tenendo sotto controllo gli investimenti? In altre parole, come mantenere sostenibile la cybersecurity a fronte di una sempre maggiore fragilità del business ed una maggiore incidenza degli attacchi?
I termini da tenere a mente sono “interdisciplinarità” e “formazione”. A questo proposito in Cefriel è stata sviluppata una metodica di formazione, documentata in un whitepaper di recente pubblicazione [12], che si basa sul cosiddetto ciclo OODA, una strategia utile a prendere decisioni sotto pressione, durante un attacco informatico.
L’interdisciplinarità per una cybersecurity “sostenibile
Per il cybercrime il Covid-19 ha rappresentato una opportunità unica e irripetibile. Nei fatti il cybercrime ha raggiunto livelli di complessità e rischio del tutto nuovi. Basti considerare che gli attacchi ransomware si sono ulteriormente acutizzati proprio durante la pandemia con una crescita del 148%. [1] Ogni azienda che voglia attenuare il rischio associato a queste crescenti minacce ha bisogno di attivarsi. Allo stesso tempo, però, occorre far sì che la cybersecurity sia “sostenibile”, non in termini energivori e non soltanto in termini economici, ma anche di tecnologie, processi, persone e, soprattutto, in termini di conoscenze.
Ransomware, boom in Italia: come prevenire e gestire un attacco
A seguito di queste considerazioni si parla insistentemente di multidisciplinarità nella cybersecurity (es., [2] [3]).
A ben vedere però, la multidisciplinarità affronta un fenomeno, un problema, un evento, da punti di vista e con strumenti di discipline diverse, con persone o gruppi di lavoro diversi. Il fenomeno è affrontato in modo più completo che non se fosse affrontato da un solo punto di vista, ma i diversi modi di osservarlo possono restare indipendenti e poco integrati fra loro.
L’interdisciplinarità invece, aggiunge all’approccio multidisciplinare la relazione e lo scambio fra le discipline coinvolte. In questo senso allora è meglio parlare di interdisciplinarità nella cybersecurity come della chiave per farla evolvere verso una maggiore sostenibilità aziendale.
L’interdisciplinarità nel cybercrime
L’interdisciplinarità nel contesto del cybercrime non è una novità. La “social engineering” (SE), come forma di attacco, sta vivendo da qualche anno di una seconda giovinezza a causa della crescente incidenza delle minacce informatiche che vanno a colpire quello che ancora oggi è l’anello più debole di un sistema informativo: i suoi utenti. I social e i nuovi media per la comunicazione interpersonale (es. chat, IM sia su PC che su terminali mobili) sono canali nuovi, al fianco di quelli classici (voce, mail e fax), che possono essere usati per sferrare attacchi ai danni del personale aziendale e privato. Anche i canali più classici come la mail hanno raggiunto livelli di diffusione e standardizzazione tali da permettere di veicolare messaggi complessi (soprattutto nella formattazione grafica). La social engineering è una tecnica non più usata da pochi attaccanti esperti, come accadeva in passato. Oggi la SE può essere automatizzata usando sistemi semantici, crawler di informazioni ecc, ma soprattutto è parte integrante della strategia di attacco delle nuove generazioni di malware: oggigiorno più del 95% degli attacchi andati a segno include strategie avanzate di social engineering. Stiamo quindi parlando di una tecnica di attacco che è responsabile direttamente della monetizzazione di quasi il 95% degli attacchi andati a segno, mentre solo il 3% dei malware tenta di sfruttare una falla puramente tecnologica [4] [5].
La cosa interessante della SE è il soggetto dell’attacco, gli esseri umani. Se in generale per attaccare un sistema informatico ho bisogno di competenze tecnologiche, informatiche, di networking ecc, per attaccare un umano ho bisogno di competenze umanistiche. E qui entra in gioco la prima forma di Interdisciplinarità che il mondo del cybercrime ha già compreso da qualche anno.
La piramide delle competenze nel mondo del cybercrime
La domanda è, nell’ipotesi in cui la persona è il “sistema” sotto attacco, quali scienze contribuiscono alla sua modellazione per creare un attacco efficace? Quali sono le vulnerabilità che possono essere sfruttate per comprometterlo tramite una opportuna minaccia ed a quali competenze l’attaccante o il difensore devono attingere per avere successo? Questo, come si vede dalla Figura 1, è per definizione un problema Interdisciplinarità.
Questa affermazione è talmente confermata che da qualche anno si assistite ad una graduale inversione della piramide delle competenze nel mondo del cybercrime: prima vengono le competenze umanistiche (es. marketing, social engineering, psicologia cognitiva, memetica) e dopo quelle tecnologiche (es. developer). Testimone indiretto ne è un recente dato pubblicato da AtlasVPN (Figura 2).
Stando ai dati presentati [6], gli attacchi più dannosi, come i ransomware e gli attacchi altamente targetizzati, costano sul darkweb tra 66 e 500 dollari.
Gli attacchi di spearphishing costano tra 100 e 1.000 dollari. Lo spearphishing differisce dai normali attacchi di phishing perché sono mirati per una vittima specifica, che si tratti di un’organizzazione o di un individuo. Questo conferma una considerazione semplice che già si sapeva: la competenza più preziosa nel mondo cybercrime è quella del social engineer ovvero, di un ruolo con competenze di scienze umanistiche, psicologia e scienze comportamentali che sa come combinare memetica e evidenze OSINT per creare esce ben fatte ed efficaci, con un elevato ROI dal punto di vista del cyber criminale [4].
Figura 1 – una lista non esaustiva delle scienze umanistiche impiegabili per scopi “malevoli”
Figura – Prezzi medi dei servizi di cybercrime nel 2021 (fonte [6] )
Interdisciplinarità nella cybersecurity
Anche la cybersecurity nei recenti anni ha subito un processo di trasformazione che ha messo al centro la valenza di molteplici discipline scientifiche, non solamente legate al mondo informatico. Per motivi differenti la interdisciplinarità nella cybersecurity è emersa come una delle principali sfide. Sia nella pianificazione delle difese, sia nel mantenimento dei servizi di sicurezza informatica di una azienda, sia nei programmi di formazione.
Secondo l’ultima Davos Agenda del WEF, la carenza di competenze è fra le maggiori sfide per la cybersecurity mondiale per il 2021 e un sondaggio di S&P Global ha ribadito che l’IT Security rimane la maggiore priorità per le imprese. [7] Nessuno può permettersi di rimanere indietro nella gestione della propria cybersecurity che passa, innanzitutto, dalle persone. Ogni azienda che voglia attenuare il rischio cyber ha bisogno di attivarsi per acculturare il proprio personale, sia quello generico che quello impegnato nelle difese.
Lacune e carenze nella sicurezza informatica
Una recente ricerca condotta da Ipsos per il British Department for Digital, Culture, Media & Sport distingue fra lacune e carenze nella sicurezza informatica. Le lacune (gaps) si verificano quando gli individui non soddisfano le competenze richieste. Le carenze (shortages), invece, sussistono quando il numero di persone impiegate è insufficiente. Nel primo caso, sono emerse le seguenti problematiche per i lavoratori: il 18% delle aziende ha assunto persone senza le abilità tecniche necessarie, mentre un altro 23% le ha scelte competenti tecnicamente, ma senza le dovute abilità manageriali e comunicazionali. A ciò si sommano le carenze numeriche. Dal gennaio 2019 il 37% delle posizioni aperte risulta difficile da occupare e le principali ragioni sono la mancanza di conoscenze personali (48%), la mancanza di esperienza (35%), la mancanza della giusta attitudine (30%) e la mancanza di soft skills (28%). [8] La cybersecurity ha, infatti, un problema di attrazione e non solo nel Regno Unito.
Nello stato di carenza descritto, il 4% degli addetti cyber decide di abbandonare la propria posizione. [9] L’attrazione è un problema di non facile risoluzione poiché non riguarda soltanto gli impiegati, ma anche chi si trova sul punto di iniziare un percorso di studi orientato a una professione. Ci sono molte ragioni per cui il settore della cybersecurity fatichi sia a richiamare talenti sia a mantenerli. Certamente alla sicurezza IT è associata un’immagine distorta che spesso è accompagnata da una narrativa densa di tecnicismi tanto da farla percepire come una materia oscura, adatta soltanto a giovani nerd. Non essendoci consapevolezza sulla varietà di ruoli di questo settore, viene percepita come un ramo dell’IT ristretto, quasi di nicchia, a cui si somma l’incapacità dell’istruzione accademica di coprire efficacemente i suoi sotto ambiti [10]. Secondo ENISA (2019), una delle principali cause di questa carenza globale è da ricondursi proprio alle difficoltà di accesso a percorsi universitari o post-universitari in cybersecurity. [11] La realtà professionale, infatti, è ben diversa dalla narrativa nerd. Ci sono innumerevoli ruoli che non sono puramente tecnici e richiedono abilità relazionali, di business e perfino politiche. Nelle grandi aziende sono in corso processi trasformativi trasversali che esigono competenze in cybersecurity a livello manageriale. Sarebbe opportuno rompere il cliché radicatosi e creare una nuova narrativa, orientata al business con percorsi di formazione che siano capaci di attrarre profili anche da altri settori. Tant’è vero che il team di cybersecurity ideale è interdisciplinare. Esattamente come il team di cybercrime ideale.
Le security ceremonies
Il fondamento teorico alla base della interdisciplinarità nel contesto della cybersecurity rientra nel campo delle security ceremonies (introdotti per la prima volta da Ellison [5]). Il termine è usato per descrivere l’insieme di sistemi informatici, protocolli ed esseri umani che interagiscono per uno scopo specifico.
Figura 3 – Martina, J. E. et al. “An adaptive threat model for security ceremonies.” International Journal of Information Security 14 (2014): 103–121.
Una security ceremony (Figura 3) può essere descritta come un protocollo nel suo contesto d’uso, fatto di macchine, protocolli, applicativi ed umani. Ogni protocollo può avere differenti livelli di astrazione, dalla semplice interazione uomo-browser-sito web, fino all’applicazione di policy aziendali o di strategie comunicative intra aziendali in un momento di crisi.
Molti protocolli (ad esempio, organizzativi o di governance) che si sono dimostrati sicuri in teoria, sono insicuri o fallaci nella pratica, quando vengono impiegati nel mondo reale. I test di sicurezza spesso testano i protocolli in modo isolato e, non considerano la vasta gamma di attacchi possibili quando si allarga il perimetro di indagine, includendo l’ingegneria sociale, le interfacce / interferenze con altri protocolli e con l’ambiente, la comunicazione con gli stakeholder ed i shareholder, le conseguenze economiche sulle quotazioni ecc.
Le security ceremonies sono un superset dei normali protocolli di sicurezza, un’estensione che include operazioni che normalmente non sono considerate o sono date per scontate (es. la reazione psicologica degli operatori ad uno stimolo esterno). Ad esempio, chi ha progettato un protocollo di intervento di un SOC, a fronte di una minaccia informatica aveva in mente un operatore con caratteristiche di reattività e competenze specifiche?
L’inclusione dell’interazione umana, e di conseguenza del comportamento e dei processi cognitivi, è una caratteristica delle cerimonie, che normalmente è difficile considerare perché lo spettro delle possibili reazioni è al di fuori dai limiti dei sistemi attuali di modellazione dei protocolli operativi.
Conclusioni
La interdisciplinarità rientra fra le esigenze di una cybersecurity efficace e sostenibile, anche perché il cybercrime ne ha già da qualche tempo compreso i vantaggi. In questo contesto le carenze croniche di personale qualificato si amplificano perché oltre alla formazione di tecnici capaci si deve iniziare a considerare la formazione di altri tipi di figure meno tecnologiche, ma altrettanto fondamentali, con la complicazione addizionale di dover reinventare la narrativa della cybersecurity in ottica meno tecnologica. Questo, senza dimenticare di armonizzare ruoli e percorsi formativi che spesso sono completamente ortogonali (es. informatica e scienze umanistiche).
In generale, la formazione nel contesto della cybersecurity va riformata secondo criteri di adeguatezza rispetto al rischio cyber che si intende mitigare, di sostenibilità e di affidabilità del processo formativo (anche intesa in termini di ROSI – return of security investment), distinguendo i percorsi fra awareness, training e learning. In sintesi, si può parlare di formazione come di un processo che deve necessariamente essere altamente targettizzato, costruito cioè intorno ai bisogni formativi delle singole persone. Tali bisogni vanno definiti sicuramente in base a strategie di up-skilling o re-skilling, e di riduzione del rischio aziendale, ma anche in accordo a tutte le discipline e competenze coinvolte nella gestione delle emergenze.
Il metodo OODA
Il metodo OODA è stato ideato dal colonnello John Boyd per l’aeronautica degli Stati Uniti negli anni ‘50 e concepito per i piloti dei caccia durante i duelli aerei. Il suo scopo è stabilire un processo efficace che consenta una reazione veloce così da non essere mai presi alla sprovvista (off guard). In origine si proponeva come strategia per aumentare le chance di vittoria.
- Observe: raccogli rapidamente le informazioni sul contesto.
- Orient: dai un senso alle informazioni raccolte, individua gli errori e orientati per trarre vantaggio.
- Decide: decidi quale tra le opzioni formulate debba essere scelta.
- Act: traduci in azione la tua decisione o testa la tua ipotesi.
La strategia assume che anche l’avversario abbia il proprio ciclo OODA. L’esito della sfida dipenderà soprattutto dal tempo di reazione. L’altro elemento è proprio insistere sulla collaborazione fra differenti competenze e sensibilità per la risoluzione dell’emergenza. I ruoli tecnici sono ovviamente importanti, ma vanno considerate anche tutte le altre competenze come la comunicazione (sia interna che verso gli stakeholder e gli shareholder), il marketing e la psicologia. Tutte competenze che nel caso di una crisi di cybersecurity debbono essere accompagnate da strategie comunicative e di collaborazione efficaci, interdisciplinari ed oggi più che mai decisive.
Note
[1] A. Culafi, «Ransomware attacks see 148% surge amid COVID-19» TechTarget, 17 Aprile 2020
[2] Network Digital 360, «L’approccio multidisciplinare alla cyber security»
[3] M. Gianniello, «Privacy e cyber security: approccio multidisciplinare al principio di accountability» 19 03 2020.
[4] E. Frumento, «Social Engineering: an IT Security problem doomed to get worse» 2018
[5] E. Frumento e a. et, «D2.1 The role of SE in the evolution of attacks» 2018
[6] TechRepublic, «Dark Web: Many cybercrime services sell for less than $500,» 13 10 2021.
[7] A. Pipikaite, M. Barrachin e S. Crawford, «These are the top cybersecurity challenges of 2021» 21 1 2021
[8] Ipsos MORI for the Department for Digital, Culture, Media and Sport (DCMS), «Cyber Security Skills Gaps and Shortages in the UK Cyber Sector in 2021,» United Kingdom, 2021.
[9] Department for Digital, Culture, Media & Sport and Matt Warman MP, «Cyber security skills in the UK labour market 2021» 23 Marzo 2021.
[10] J.-C. Gaillard, «The Cyber Security Skills Gap: Real Problem or Self-inflicted Pain?,» Corix Partners, 2020.
[11] «Leading the Digital Decade launch event» 2 06 2021.
[12] E. Frumento e A. Guerini, «Formazione: come può evolvere con successo nell’ambito della cybersecurity?,» 09 2021