Dalla simulazione alla protezione: il nuovo approccio alla cybersecurity secondo BIP CyberSec
La crescente sofisticazione degli attacchi informatici richiede un cambio di paradigma nella sicurezza aziendale, rendendo necessarie tecniche di simulazione avanzate e capacità difensive stratificate.
Nel corso della 13a Cyber Crime Conference gli esperti di BIP CyberSec hanno condiviso la loro visione di una cybersecurity realistica e proattiva, offrendo uno spaccato illuminante sulle sfide attuali e le strategie per affrontarle.
L’evoluzione necessaria della cybersecurity
«Oggi per riuscire ad essere efficaci nel contesto della cybersecurity bisogna sicuramente studiare le normative ed essere esperti di architetture tecnologiche; al contempo, però, bisogna anche imparare a ragionare come i cyber criminali», ha spiegato Claudio De Paoli (Equity Partner e responsabile di BIP CyberSec) in apertura dell’intervento.
Questa necessità di pensare come l’avversario rappresenta un cambiamento fondamentale nell’approccio alla sicurezza informatica.
De Paoli ha raccontato come BIP CyberSec abbia saputo costruire un team di professionisti con competenze diversificate che spaziano dal diritto all’ingegneria, includendo molti giovani appassionati di tecnologie, in grado di intuire e replicare le mosse di potenziali attaccanti.
La diversità di competenze e mentalità è, infatti, essenziale per comprendere e contrastare le minacce multidimensionali che le organizzazioni devono affrontare nel mondo attuale.
Tale approccio multidisciplinare si traduce non solo in servizi di consulenza ma anche nello sviluppo di soluzioni difensive, tra cui spiccano tre prodotti innovativi – dedicati rispettivamente all’AI security, alla compliance e al risk management – per rispondere all’esigenza di colmare un gap di innovazione nel contesto italiano.
L’innovazione è quindi perseguita non solo come obiettivo, ma in quanto necessità imperativa per stare al passo con l’evoluzione delle minacce.
Guarda il video completo dell’intervento di Claudio De Paoli, Equity Partner & Head of BIP CyberSec insieme a Bruno Colella Garofalo, Senior Security Competence Lead di BIP CyberSec:
Le nuove frontiere del testing di sicurezza
Bruno Colella Garofalo (Senior Security Competence Lead di BIP CyberSec) ha approfondito aspetti più tecnici, offrendo una panoramica sui test di sicurezza che vanno oltre gli approcci tradizionali.
«Partiamo prima di tutto da un’overview dei test che le aziende possono svolgere per proteggersi, soffermandoci in particolare su quelli meno “classici”» ha affermato Garofalo, evidenziando l’urgenza di espandere l’orizzonte delle verifiche di sicurezza.
[slide] Tra le aree emergenti figura il testing delle intelligenze artificiali, un ambito completamente nuovo che richiede competenze specifiche: «Sono molto diversi rispetto ai test a cui eravamo abituati in passato, poiché per la prima volta ci troviamo davanti a qualcosa che cambia e non risponde sempre allo stesso modo» ha spiegato Garofalo, sottolineando che la natura dinamica e imprevedibile dei sistemi di AI pone sfide inedite per i test di sicurezza.
L’esperto ha evidenziato anche l’importanza di testare dispositivi come ATM e POS, che costituiscono punti vulnerabili troppo spesso sottovalutati.
«Ci è capitato più volte di parlare con responsabili di queste aree che non consideravano utili i test sugli ATM, ritenendoli già protetti da firewall a livello network; ma questa, purtroppo, non può più essere l’unica misura di sicurezza adottata» ha rivelato il relatore, mettendo in luce la pericolosa tendenza delle aziende a fare affidamento su singole misure di protezione.
Ugualmente critici sono i test sui laptop aziendali, che rappresentano uno dei principali vettori di attacco nelle moderne organizzazioni.
«Abbiamo scoperto che uno dei software di terze parti in uso ai dipendenti di una delle più grandi banche italiane era vulnerabile alla privilege escalation, permettendo a un attaccante di ottenere privilegi amministrativi» ha raccontato Garofalo.
Citando anche la persistente tendenza delle persone ad adottare password deboli, il relatore ha quindi esemplificato come vulnerabilità apparentemente minime possano avere conseguenze devastanti.
Il panorama delle minacce in evoluzione
Il 2024 ha visto un profondo cambiamento nelle tattiche degli attaccanti.
Al riguardo Garofalo ha citato l’aumento significativo degli attacchi manuali, in cui «si punta sempre più ad avere una persona dietro la tastiera che analizza l’ambiente ed effettua attacchi mirati, come dimostra l’aumento dello spear phishing potenziato dall’Intelligenza Artificiale».
Questa personalizzazione degli attacchi rappresenta una sfida significativa per i sistemi di difesa automatizzati, richiedendo risposte altrettanto sofisticate e personalizzate.
Particolarmente preoccupante è la tendenza alla specializzazione nel mondo criminale: «abbiamo attaccanti specializzati sull’Initial Access, che quindi hanno il tempo e le competenze per fare ricerca e sviluppare tecniche nuove. In passato una singola persona svolgeva l’intero attacco, mentre ora gli attaccanti cominciano a dividersi nelle varie fasi», ha spiegato Garofalo.
Una sorta di “industrializzazione” del crimine informatico, basata sulla divisione sempre più marcata dei ruoli, che permette ai criminali informatici di perfezionare le proprie tecniche e aumentare l’efficacia dei loro attacchi.
Per quanto riguarda le motivazioni, il quadro è chiaro: «l’86% degli attacchi è motivato finanziariamente» ha precisato l’esperto, aggiungendo che «questo si sposa molto bene col trend dei ransomware. Un terzo dei breach dello scorso anno erano legati a ransomware; perché, a prescindere dal settore attaccato, è un’ottima tecnica per ottenere un riscontro monetario».
Il ransomware continua quindi a rappresentare una delle principali minacce, proprio per la sua versatilità e la capacità di generare profitti immediati.
Le nuove tecniche di attacco
Garofalo ha delineato un allarmante panorama di tecniche emergenti che sfruttano vulnerabilità sia tecnologiche che umane.
Tra queste, il Supply Chain Attack rappresenta una delle più insidiose: «Sebbene sia il meno innovativo tra gli attacchi, è anche uno dei più pericolosi perché rompe la tradizionale simmetria “un breach, una vittima”. Nel momento in cui un attaccante è in grado di colpire un’azienda di consulenza o un fornitore, riesce infatti a compromettere molteplici obiettivi», ha spiegato.
Questa scalabilità degli attacchi provoca un “effetto domino” che ne amplifica enormemente l’impatto, rendendoli particolarmente insidiosi ed efficaci.
Anche una minaccia tradizionale come il phishing sta mostrando di evolvere rapidamente. «Più che via email, oggi osserviamo che il phishing avviene in misura crescente sui social media (pensiamo a LinkedIn o WhatsApp)», ha osservato Garofalo.
Lo spostamento verso piattaforme percepite come più personali aumenta le probabilità di successo degli attacchi, sfruttando la fiducia che gli utenti ripongono in questi canali e nei contatti da essi veicolati.
Il malvertising rappresenta un’altra tecnica in crescita: «Abbiamo visto attaccanti comprare pubblicità su Google affinché il loro malware fosse il primo risultato delle ricerche», ha raccontato l’esperto; una strategia che sfrutta la fiducia degli utenti nei motori di ricerca al fine di distribuire software malevolo.
Particolarmente allarmante è l’utilizzo di deep fake per infiltrarsi nelle organizzazioni, «facendosi assumere in azienda (o anche solo entrando nel processo di selezione) per cominciare a scambiare documenti e infettare i dispositivi» ha spiegato Garofalo.
Questa tecnica, utilizzata soprattutto da attaccanti nordcoreani, sfrutta tecnologie AI per creare false identità credibili; ciò rappresenta una nuova frontiera dell’infiltrazione, permettendo agli attaccanti di ottenere un accesso privilegiato dall’interno dell’organizzazione.
La simulazione come strategia difensiva
Per fronteggiare questo panorama in continua evoluzione, BIP CyberSec propone un approccio basato sulla simulazione realistica degli attacchi.
Come ha sottolineato Garofalo, se gli attaccanti evolvono «è indispensabile fare ricerca, per essere almeno al loro stesso livello». Questo permette di anticipare le mosse degli avversari, sviluppando contromisure efficaci prima che le nuove tecniche diventino di uso comune [slide].
L’esperto ha insistito sull’importanza di effettuare i test in condizioni reali, senza limitazioni che potrebbero alterare i risultati: «è importante che questi test vengano effettuati in produzione, senza disattivare le misure di sicurezza o introdurre altre varianti che rendano lo scenario non realistico», in quanto solo simulazioni autentiche permettono di valutare l’effettiva resilienza dei sistemi.
In particolare, per quanto riguarda i ransomware, Garofalo ha sottolineato la necessità di verificare anche le tecniche distruttive: «è importante verificare, ovviamente in modo controllato, anche tecniche distruttive (come la cancellazione di file) perché spesso le misure presenti non sono efficaci».
Tale verifica permette di identificare potenziali falle nelle difese prima che le stesse vengano sfruttate in un attacco reale.
L’approccio metodologico di BIP CyberSec
La metodologia di BIP CyberSec per la simulazione degli attacchi si articola in cinque fasi fondamentali, tutte orientate a migliorare concretamente la postura di sicurezza delle organizzazioni.
[slide] Si parte dalla creazione di una campagna personalizzata in base allo specifico threat model del cliente, riconoscendo che ogni organizzazione ha un profilo di rischio unico.
Segue la simulazione delle tecniche di attacco più rilevanti per quel contesto, replicando il più fedelmente possibile le tattiche degli attaccanti reali.
La terza fase prevede una valutazione approfondita delle capacità di detection e risposta dell’organizzazione, identificando punti ciechi e ritardi nella reazione. Questo porta naturalmente alla quarta fase, caratterizzata dalla collaborazione con il blue team interno, condividendo conoscenze e best practice; il processo si conclude con un fine-tuning delle regole e dei sistemi di rilevazione, per affinare la capacità di identificare e bloccare attacchi simili in futuro.
Come esempio concreto dell’efficacia di questo approccio, Garofalo ha citato un test condotto presso una delle principali banche europee. «[Simulando un attacco] siamo riusciti a disattivare e potenzialmente disinstallare degli EDR, il che avrebbe portato il blue team a una totale mancanza di visibilità su quanto stava accadendo».
Un risultato allarmante, che evidenzia come anche le difese più avanzate possano essere compromesse se non adeguatamente testate e aggiornate.
La necessità di un approccio stratificato alla cyber difesa
La conclusione che emerge dall’intervento degli esperti BIP CyberSec è che nessuna soluzione di sicurezza, per quanto sofisticata, può essere considerata infallibile.
«Dobbiamo tenere in conto che queste misure possano fallire e ragionare di conseguenza: quindi avere dei controlli, degli health check, per verificare che tutte le soluzioni di sicurezza stiano effettivamente funzionando e – nel caso falliscano – avere un piano B, un piano C, un piano D…», ha concluso Garofalo.
Questo approccio stratificato alla difesa rappresenta un cambiamento fondamentale nella sicurezza informatica, abbandonando il mito della “soluzione perfetta” in favore di una resilienza costruita su molteplici livelli di protezione.
De Paoli ha ribadito l’importanza di questo approccio approfondito, sottolineando che normative recenti come il regolamento DORA prevedono espressamente attività di breach and attack simulation, nonché penetration test di alto livello; l’allineamento tra best practice tecniche e requisiti normativi rappresenta un’importante evoluzione del settore, nel quale è sempre più riconosciuta la necessità di test realistici e approfonditi.
Il vero beneficio derivante dai test condotti con questo livello di dettaglio è «avere una comprensione molto più chiara di quali potrebbero essere i reali casi di attacco». La conoscenza approfondita degli scenari di rischio permette alle organizzazioni sia di reagire efficacemente agli attacchi sia – soprattutto – di anticiparli, implementando misure preventive mirate e riducendo drasticamente la superficie esposta.
In un panorama di minacce in continua evoluzione, dove gli attaccanti diventano sempre più sofisticati e specializzati, la simulazione realistica e il testing approfondito delle difese si rivelano strumenti indispensabili per costruire una cybersecurity efficace.
Basandosi su ricerca continua, simulazione realistica e collaborazione tra red e blue team, l’approccio proposto da BIP CyberSec rappresenta un modello di sicurezza informatica evoluto, in grado di affrontare le sfide attuali e future del cybercrime.
