Il fattore umano nella sicurezza di una rete: Trasformare una minaccia in una risorsa

Introduzione

Nell’ultimo decennio si è assistito ad un cambiamento nella quantità e nella tipologia di attacchi informatici, soprattutto per quanto riguarda gli attacchi zero day.

Un attacco zero day è un attacco che sfrutta una vulnerabilità non ancora risolta. La finestra di esposizione è il periodo che va da quando viene registrato l’attacco per la prima volta a quando viene rilasciata la patch di sicurezza.

Attacchi di questo tipo si diffondono rapidamente infettando moltissimi dispositivi in poco tempo.

Gli attacchi zero day passeranno da una media di uno a settimana nel 2015 ad una media di uno al giorno nel 2021.  ^{[1] [2]}

Gli attacchi zero day colpiscono chiunque in modo indiscriminato; la maggior parte dei danni li subiscono i liberi professionisti e le piccole imprese, che non sono preparati a fronteggiare la minaccia informatica.

Questo nuovo scenario preoccupa non solo gli utenti, ma anche le aziende che vendono prodotti o servizi di sicurezza informatica.

La velocità con cui gli attacchi informatici si modificano è molto più elevata rispetto alla capacità di trovare soluzioni adeguate.

“L’imprevedibilità e la rapidità con cui si diffondono i nuovi attacchi informatici apre la sfida nel trovare nuovi modi di pensare la sicurezza informatica che siano altrettanto rapidi e capaci di mutare.”

Gli investimenti in sicurezza informatica sono indispensabili per mitigare i rischi, ma alla luce dell’incertezza sulla previsione di attacchi zero-day, non si può non prendere in considerazione il fallimento degli strumenti di rilevazione della minaccia.

Nel caso in cui Antivirus, firewall, IDS…etc., non siano in grado di bloccare automaticamente la minaccia, l’ultimo (e unico) strumento per mitigare l’attacco è l’azione tempestiva dell’uomo.

L’intento dell’articolo è quello di argomentare l’utilità di un nuovo approccio nella risoluzione di attacchi zero day per liberi professionisti e PMI.

La domanda che ci dobbiamo porre è: “Se l’utente finale fosse opportunamente allertato all’inizio di un attacco zero-day, metterebbe in atto le misure necessarie a mitigare l’attacco?”

 Alla luce di questa domanda e delle considerazioni fatte sugli attacchi zero day si potrebbe valutare l’utilità di un canale di comunicazione dedicato alla sicurezza informatica e diretto all’utilizzatore finale.
In particolare per la comunicazione all’utente servirebbe la notifica di allerta in caso di attacco zero day. All’utente finale sarebbero inoltre fornite le istruzioni per verificare la presenza della vulnerabilità, le informazioni sui rischi e le opzioni che può mettere in atto per prevenire e/o mitigare l’attacco.

La soluzione proposta è solo la punta dell’iceberg di un diverso paradigma di sicurezza informatica che considera l’uomo come strumento di difesa.

Quale lezione abbiamo imparato da WannaCry?

Nel maggio del 2017 il ransomware WannaCry ha infettato oltre 230.000 computer in 150 paesi, con richieste di riscatto in BitCoin in 28 lingue differenti sfruttando la vulnerabilità EthernalBlue esposta in un leak della NSA. ^[3] La minaccia si diffuse in tutto il mondo molto rapidamente e la maggior parte dei software antivirus non furono in grado di bloccare la minaccia.

Nel caso di WannaCry una comunicazione tempestiva all’inizio dell’attacco avrebbe ridotto il numero di dispositivi colpiti.

Ad esempio avremmo potuto avvertire gli utenti così:
“Attenzione, è in corso in queste ore un attacco ai sistemi operativi Windows xx che provoca il malfunzionamento del computer e la perdita di tutti i dati.

Per risolvere il problema si può aggiornare il sistema operativo oppure seguire le istruzioni per disabilitare un modulo chiamato SMB [..] L’attacco si diffonde automaticamente da un computer all’altro all’interno della stessa rete. Puoi diminuire le probabilità di essere colpito disabilitando la ricezione di pacchetti detti ping. Per farlo devi…”

Il lettore potrebbe pensare che questo tipo di informazione esista già. E’ vero. Infatti queste informazioni si trovano su internet nelle ore immediatamente successive all’attacco.

Tuttavia l’attuale paradigma di sicurezza informatica non prevede di allertare l’utente finale all’inizio dell’attacco zero day.

La comunicazione dell’attacco all’utente finale è un punto chiave del nuovo paradigma.

La comunicazione dell’attacco zero-day

Consideriamo la sicurezza (security + safety) in settori diversi da quello informatico.

In autostrada in caso di incidente o coda i cartelloni luminosi avvertono gli automobilisti del pericolo imminente.

In alcuni comuni quando un fiume è a livello di guardia la popolazione nella zona colpita viene avvertita tramite sms.

Quando i ladri mettono a segno uno o più colpi in uno stesso paese il passa parola tra compaesani mette in guardia le persone.

Il comportamento che si ripete in questi esempi è quello di avvertire le persone dello stato di allarme tramite una comunicazione mirata al fine di prevenire ulteriori incidenti.

Questo modo di agire non è in uso per la sicurezza informatica.

La comunicazione rivolta alle persone in sicurezza informatica è solo incentrata sulle best practice.

In caso di zero day attack la comunicazione avviene solo agli esperti del settore tramite bollettini, detti CVE.

A questo punto il lettore potrebbe pensare che se l’utente seguisse tutte le best practice non ci sarebbe bisogno di comunicare lo stato di allarme.

Tuttavia sarebbe ipocrita pensare che le persone seguano le best practice H24.

Conclusione

Quando l’utente acquista un prodotto/servizio di protezione dai virus informatici si fida del brand e indirettamente della macchina (software o hardware). L’attuale paradigma di sicurezza informatica è basato su due pilastri; il rilevamente della minaccia da parte della macchina e l’attuazione delle best practice da parte dell’uomo.

In un attacco zero day è molto probabile che entrambi questi pilastri vengano a mancare.

Nell’articolo è stata discussa l’ipotesi di valutare la risorsa umana come strumento di prevenzione dell’attacco.

A questo punto ci si potrebbe domandare come integrare la risorsa umana nell’attuale paradigma.

Possiamo immaginare che all’acquisto di un antivirus venga associato un servizio gratuito che avverta l’utente finale del fallimento del sistema di protezione in seguito ad un attacco zero day.  All’inizio dell’attacco l’azienda che ha venduto il prodotto all’utente invierà un sms di allerta e farà in modo di attivare un servizio di assistenza che l’utente potrà chiamare per avere maggiori informazioni.

L’utente verrà guidato nel mettere in atto le misure necessarie a prevenire e/o mitigare l’attacco in corso.

Una soluzione di questo tipo è indipendente dalla natura dell’attacco, rapida e infallibile.

Note

^[1] http://investor.symantec.com/About/Investors/press-releases/press-release-details/2016/One-New-Zero-Day-Discovered-on-Average-Every-Week-in-2015-Twice-the-Rate-of-a-Year-Ago-as-Advanced-Attackers-Exploit-Stockpile-and-Resell-High-Value-Vulnerabilities/default.aspx

^[2] https://cybersecurityventures.com/zero-day-vulnerabilities-attacks-exploits-report-2017/

^[3] https://it.wikipedia.org/wiki/Ransomware

A cura di: Francesco Ermini

Profilo Autore

Francesco Ermini

Studente in ingegneria delle Telecomunicazioni all'università di Firenze, appassionato di sicurezza informatica

Altri Articoli

• Francesco Ermini

  https://www.ictsecuritymagazine.com/author/francesco-ermini/

  Come può un computer fidarsi di un altro computer?
• Francesco Ermini

  https://www.ictsecuritymagazine.com/author/francesco-ermini/

  Una riflessione sulla continuità operativa negli sportelli al pubblico
• Francesco Ermini

  https://www.ictsecuritymagazine.com/author/francesco-ermini/

  Economia della Cyber security