sicurezza informatica

Cyber, l’utilità di simulare minacce e modelli di attacco legati all’uomo



Indirizzo copiato

La sicurezza informatica va ripensata partendo dall’elemento umano. Una vision che Cefriel declina in sette temi, tra cui il problema della simulazione delle minacce ed i modelli di attacco legati all’uomo

Pubblicato il 9 giu 2023

Enrico Frumento

Cybersecurity Research Lead



privacy

In un mio precedente articolo, ho evidenziato la necessità di ripensare alcune dinamiche della sicurezza informatica, ponendo al centro le persone. La Social Engineering, o meglio e più in generale, lo sfruttamento ai fini dell’attacco alle organizzazioni degli errori dell’elemento umano, è da tempo la migliore strategia a disposizione dei cybercriminali.

Una nuova dimensione della sicurezza informatica

Occorre quindi introdurre una nuova dimensione della sicurezza informatica, che a differenza di quella classica, che si occupa dei sistemi tecnologici, si concentri sull’elemento umano. Per farlo occorre però riformulare una serie di attività perché l’ipotesi alla base è radicalmente differente: il soggetto dei sistemi di difesa sono le persone e non le macchine. Le persone non sono tutte uguali, non sono sistemi informatici, il loro comportamento cambia nel tempo e le scienze coinvolte sono quelle umanistiche e non quelle informatiche o elettroniche. La fonte del rischio cyber non è un sistema informatico, ma una persona o un gruppo di persone in carne ed ossa. Occorre ripensare quindi la sicurezza partendo dall’elemento umano. Questa riflessione passa per 7 temi, secondo la vision del Cefriel.

Dopo aver affrontato i primi quattro argomenti (primo, secondo, terzo e quarto) è ora il momento di guardare al problema della simulazione delle minacce ed i modelli di attacco legati all’uomo.

Simulazione di minacce e modelli di attacco IT

Una cosa chiara, parlando di dinamiche del cybercrime, è l’estrema rapidità con la quale cambiano gli scenari operativi e di attacco. Viviamo nell’era d’oro del crimine informatico, d’oro per l’estrema redditività degli attacchi, l’elevato numero di organizzazioni esposte e la rapidissima evoluzione delle tattiche e tecniche. In conseguenza, le difese informatiche sono sottoposte ad una pressione costante ed una crescente necessità di rivedere e aggiornare le proprie strategie difensive. Rimanere indietro può comportare la perdita di asset digitali, spesso cruciali per la sopravvivenza stessa dell’azienda. Questo è vero a maggior ragione per le piccole e medie imprese o per le microimprese.

Ci sono due punti di attenzione che concorrono a definire la situazione. Da una parte l’Italia è uno dei paesi con la minore spesa in cybersecurity (si veda la Figura 1) dall’altra gli attacchi informatici tendono oggigiorno, anche grazie all’automazione degli stessi tramite AI, a colpire sempre più le microimprese (Figura 2). Per quanto riguarda questo secondo punto, prima dell’avvento del COVID-19, il principale obiettivo, parlando per macrocategorie, erano le grandi imprese. Senza entrare nel merito delle ragioni, che sono differenti (es. valore degli asset, capacità di monetizzazione consistente con un solo attacco etc.), la massima espansione di questa tendenza è stata raggiunta poco prima dell’arrivo del COVID, con gli attacchi a grandi infrastrutture critiche americane (es. Colonial’s Pipeline) e grandi corporation (es. Microsoft, Solarwinds).

A picture containing text, screenshot, font, designDescription automatically generated

Figura 1 – percentuale di budget IT allocato per la sicurezza informatica, per paese (fonte)

Dall’avvento del COVID-19, con la proliferazione delle modalità di lavoro da casa (work from home) e successivamente da qualsiasi altro posto (work from anywhere) il baricentro degli interessi del cybercrime si è spostato gradualmente sempre più verso le piccole e medie imprese. Questo è avvenuto soprattutto a seguito della moltiplicazione dei target esposti (i.e., i lavoratori connessi da casa), da un giorno all’altro. Per un certo periodo la situazione è risultata talmente esplosiva da aver fatto sorgere il dubbio che le difese cyber fossero sostanzialmente inadeguate (es. il cyber risk report del World Economic Forum nel 2020 riportava, fra i principali rischi tecnologici la “information infrastructure breakdown”[1] e nel 2021, la “cybersecurity failure”[2]).

Con l’inizio della guerra Russo-Ucraina nel 2022 lo scenario cambia ancora, introducendo le motivazioni geopolitiche, al fianco delle motivazioni economiche. Ma la vera rivoluzione, che ha comportato un ulteriore spostamento del baricentro del cybercrime, è stato l’avvento delle tecniche di attacco tramite intelligenza artificiale[3]. Questo ha permesso di allargare la platea di entità attaccabili tramite tattiche ad-hoc, altamente targetizzate, includendo sempre più frequentemente le microimprese. Lo stesso ransomware ha gradualmente abbandonato i grandi target aziendali (protetti in modo più efficiente, ma soprattutto sempre meno predisposti o vincolati da contesti legali che impediscono di pagare i riscatti) a favore delle piccole realtà aziendali, meno protette, con asset di vitale importanza e molto più frequentemente disposte a pagare piccoli riscatti (in senso assoluto, rispetto ai precedenti riscatti milionari).

Figura 2 – macro-rappresentazione delle pervasività media degli attacchi informatici, in relazione alla dimensione media dell’impresa.

La necessità di svolgere simulazioni efficaci e cosa significa fare simulazioni efficaci

Riassumendo la situazione il cybercrime è un fenomeno oggigiorno altamente dinamico, spesso imperscrutabile, che sfrutta attacchi ad-hoc, coadiuvati da sistemi AI, in grado di colpire realtà sempre più piccole, non solo tecnologicamente, ma anche tramite le persone.

In uno scenario di questo tipo compiere simulazioni diventa una necessità non solo per le grandi aziende ma anche per le piccole medie e microimprese. Tramite una simulazione si stimano i rischi cyber in anticipo, si testano gli scenari e le mitigazioni e si preparano le persone ad affrontare il problema, quando capita. Occorre però farlo in modo efficiente (i.e., sostenibile per risorse, costi, tempi e persone) ed efficace (i.e., con simulazioni veritiere) e lungo tutto il ciclo di attacco e difesa. Dal punto di vista aziendale l’obiettivo delle simulazioni è quello di capire come l’insieme di tecnologie, policy e persone interagiscono e reagiscono ad un attacco informatico.

Esistono due tipi fondamentali di esercitazioni: i cyber ranges e le esercitazioni table-top.

Nel caso del Cyber range, l’idea ruota attorno al concetto di digital twin ovvero il “gemello digitale” un paradigma inventato da Michael Grieves nel 2002 che rispecchia il compito della soluzione, replicare a tutti gli effetti un oggetto/sistema fisico reale in un sistema virtuale declinandolo in questo caso alle esercitazioni Cyber[4].

Nel caso delle esercitazioni table-top[5] ci si concentra sugli scenari teorici di attacco, senza la parte tecnologica, spesso per contenere i costi, ma anche per allargare il numero di ipotesi vagliate. Tramite le esercitazioni table-top si simula un attacco informatico o una violazione della sicurezza informatica in cui i partecipanti si riuniscono per discutere e risolvere il problema senza effettivamente eseguire alcuna azione fisica o tecnica. Il vantaggio di questo tipo di esercitazione è che gli scenari considerati possono essere più complessi, non dovendo confrontarsi con le limitazioni tecniche. Ad esempio, un possibile scenario table-top è la gestione della unità di emergenza nel caso di attacco ransomware, simulando l’assenza di persone chiave in quel momento, la creazione di comunicati stampa, l’interazione con i giornalisti e come comportarsi nel caso in cui la notizia trapeli sui giornali anzitempo (si parla di simulazione del gold team).

Nella cybersecurity esiste il concetto di security ceremony, interessante per definire gli scopi di una simulazione efficace. Il termine è usato per descrivere l’insieme di sistemi informatici, protocolli ed esseri umani che interagiscono per uno scopo specifico. Una security ceremony può essere descritta come un protocollo nel suo contesto d’uso, fatto di macchine, protocolli, applicativi ed umani. Molti protocolli (ad esempio, organizzativi o di governance) che si sono dimostrati sicuri in teoria, sono insicuri nella pratica, quando vengono impiegati nel mondo reale. I test di sicurezza spesso testano i protocolli in modo isolato, non considerano la vasta gamma di attacchi possibili quando si allarga il perimetro di indagine, includendo l’ingegneria sociale, le interfacce / interferenze con altri protocolli e l’ambiente.

In tal senso si può quindi riassumere che sia nel caso dei cyber range che delle esercitazioni table-top lo scopo sia quello di individuare delle security ceremony da testare, ipotizzare uno scenario di attacco ed implementarlo o simularlo a tavolino, misurando infine la reazione dei team coinvolti o della intera organizzazione.

Simulazioni di entrambi i tipi tipicamente coinvolgono gli asset in ordine di importanza e rischio, così come emergono da un sistema di asset management, di crown jewels analysis e di stima dei rischi cyber. Occorre ovviamente anche includere tutti i gestori di tali asset, enti o persone che ne determinano le modifiche nel tempo (i.e., i cosiddetti asset handlers).

Le aree di simulazione

Le aree di simulazione sono tipicamente: generazione traffico malevolo, automazione di attacco e difesa, simulazione di anomalie creati da ipotetici utenti illeciti. etc. Cosa è difficile simulare, se non impossibile, è la parte di social engineering di un attacco, quella parte di un attacco cioè che viene prima del vettore di attacco tecnico. Quello che io ho definito in termini generali lo human attack vector in un precedente articolo[6], quella parte di attacco che induce in errore un asset handler umano. Il punto cruciale è che qualsiasi tipo di simulazione avviene in un contesto controllato, nel quale i protagonisti sono a conoscenza del fatto che si sta svolgendo una simulazione. Questo da una parte comporta una minore attenzione alle scelte che vengono compiute (ne parlo qui), ma dall’altra rende impossibile coinvolgere umani inconsapevoli nelle simulazioni. Il risultato è che una larga ed oggigiorno fondamentale fetta degli attacchi non viene simulata affatto nei cyber ranges e nelle simulazioni table-top: la social engineering.

Il ruolo degli umani

Riassumendo, gli umani sono asset handler ma anche a loro volta asset da proteggere. Per meglio capire è bene ricordare che la cybersecurity ha tre aree importanti nelle quali gli umani sono essenziali

  • Impiegati Il Cefriel propone da alcuni anni i cosiddetti SDVA, una specifica metodica di test dell’elemento umano, che si aggancia alla crescita di attacchi di phishing altamente contestualizzati. Questo richiede un processo apparentemente inconciliabile: simulazioni di phishing molto aggressive per non sotto stimare il rischio cyber ed essere realistici nel contesto però di un quadro etico e giuridico corretto (si veda qui e qui)
  • Esperti IT il Cefriel propone da qualche anno i cosiddetti FSVA, un tipo di simulazione differente dai cyber ranges o le esercitazioni table-top perché i partecipanti non sono a conoscenza di partecipare ad una simulazione.
  • Gold Team. Il Cefriel sta preparando percorsi specifici per le unità di crisi, per la gestione sotto pressione, degli stakeholder, della stampa, della negoziazione con i criminali, etc[7]. E’ noto che errori in queste fasi di un attacco possono portare a conseguenze peggiori dell’attacco vero e proprio[8].

Conclusioni

In entrambi i casi di test SDVA e FSVA gli utenti sono ignari di partecipare ad una simulazione. Questa condizione è necessaria per simulare l’intera catena di attacco (i.e., un attacco è composto dalla parte umana seguita da quella tecnologica). Rimangono però fuori da questo tipo di simulazioni altri due elementi: OSINT e OPSEC.

Parte integrante di un attacco è la raccolta delle informazioni tramite le operazioni di open source intelligence (OSINT) e di indagine della Digital Shadow aziendale. Un tipico attacco altamente targettizzato compie sulle vittime selezionate un operazione di dossieraggio preventiva, volta a “modellare” la persona che si sta per attaccare. Si parla di attacchi ad-personam. Questo tipo di attacchi sono difficili da simulare, a meno di specifici contratti per soggetti apicali che li prevedano, perché cadono nella sfera personale. Tipicamente, infatti, nei cyber ranges e nelle esercitazioni table-top non sono inclusi.

Altro punto critico è la capacità operativa di un attaccante di non lasciare tracce, e di rivendere gli asset rubati senza attirare attenzione. Semplificando notevolmente questo è quella che viene chiamata capacità operativa di un attore criminale (operational sacurity OPSEC). Una esercitazione di qualsiasi tipo si concentra sugli aspetti tecnologici ed in qualche caso umani degli attacchi, ma trascura le capacità OPSEC dell’ipotetico attaccante. Simularle comporta avere una conoscenza di dettaglio che sfugge alle normali organizzazioni, a meno di non essere un criminale informatico ed a maggior ragione sfugge alle microimprese. La OPSEC è però un aspetto fondamentale perché è il risultato dalle capacità generali dell’attaccante, dalle inconsistenze dei contesti legali dei paesi coinvolti (i.e. sede della ditta attaccata e dell’attaccante) e influisce pesantemente sul livello di rischio generale (e.g. attaccanti con bassa capacità operativa tipicamente non si attivano). La simulazione di questo aspetto può derivare solo dalla conoscenza generale delle dinamiche commerciali ed operative del deep-web.

La ricerca sta cercando di includere questi aspetti nelle simulazioni degli attacchi: gli umani nei loro differenti ruoli, la OSINT, la OPSEC. Ma il vero problema che rimane ancora irrisolto è come fare si che questo diventi alla portata delle microimprese che citavo in apertura di articolo. In Cefriel stiamo cercando di affrontare il problema con alcuni progetti di ricerca finanziati dall’Unione Europea.

Note

  1. World Economic Forum, Global Risks Survey 2020 Results
  2. World Economic Forum, Global Risks Perception Survey 2021 Results
  3. Ad esempio si veda l’articolo E. Frumento and F. Morano, “Towards the automation of highly targeted phishing attacks with Adversarial Artificial Intelligence,” DeepSec 2023, Jan. 2023, doi: 10.13140/RG.2.2.28717.26085.
  4. Per maggiori dettagli si veda ad esempio https://www.giovannicerrato.it/cyber-range/
  5. Ad esempio si veda questo link https://www.cm-alliance.com/cybersecurity-blog/cyber-security-tabletop-exercise-examples
  6. Si veda E. Frumento, F. Freschi, D. Andreoletti, and A. Consoli, “Victim communication stack (VCS),” Proceedings of the 12th International Conference on Availability, Reliability and Security, 2017.
  7. Si veda ad esempio questo articolo Comunicazione nella crisi cyber: perché è importante e conviene (dblue.it)
  8. van Laere, J., Johansson, B.J.E., Olsson, L., Määttä, P. (2020). Mitigating Escalation of Cascading Effects of a Payment Disruption Across Other Critical Infrastructures: Lessons Learned in 15 Simulation-Games. In: Nadjm-Tehrani, S. (eds) Critical Information Infrastructures Security. CRITIS 2019. Lecture Notes in Computer Science, vol 11777. Springer, Cham. https://doi.org/10.1007/978-3-030-37670-3_9

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4