I rischi di sicurezza della “registration fatigue”

A cura di:Paolo Passeri Ore

Le applicazioni cloud giocano oramai un ruolo fondamentale nelle nostre attività personali e professionali. Ogni giorno, che ne siamo consapevoli o meno, accediamo a decine di servizi cloud, dove riponiamo i dati di ogni tipo: dall’anagrafica dei clienti alle foto di famiglia.

Netskope ha coniato per questo fenomeno, la definizione di “Cloud Data Sprawl”, e pochi semplici numeri ne riassumono la portata: un’organizzazione con un numero di dipendenti compreso tra 500 e 2000 utenti, usa in media 1558 applicazioni cloud al mese, il 9% delle quali (corrispondente a 138) sono utilizzate per caricare, creare, condividere o immagazzinare dati. E naturalmente il numero di applicazioni cloud utilizzate in ambito aziendale, aumenta all’aumentare del numero di dipendenti salendo a 204 applicazioni per quelle organizzazioni con un numero di dipendenti compreso tra 2000 e 4000; e 326 applicazioni per le organizzazioni con oltre 4000 dipendenti.

Questa crescita esponenziale nel numero delle applicazioni utilizzate, aumenta considerevolmente l’esposizione degli utenti ad attacchi di phishing, sia in ambito personale che in ambito aziendale, con la differenza che se da un lato i rischi per gli account personali sono la conseguenza di un comportamento superficiale da parte dell’utente (ad esempio la registrazione imprudente ad un servizio cloud per una necessità contingente, che si dimenticherà subito dopo), i rischi per gli account aziendali nascono involontariamente dall’organizzazione stessa che adotta continuamente nuovi servizi cloud (o sostituisce gli esistenti). Un processo che se non correttamente governato, crea involontariamente confusione e security fatigue per l’utente.

Facciamo due esempi…

In ambito aziendale, i neoassunti sono quelli a maggior rischio, dal momento che debbono effettuare l’onboarding a molteplici applicazioni cloud. È possibile che abbiano già utilizzato alcune app in esperienze lavorative passate; tuttavia, nella maggior parte dei casi si troveranno a registrarsi in nuovi servizi che richiedono di norma la conferma via mail. In ambito aziendale si utilizzano decine di servizi per ogni scopo (dalla posta alle applicazioni office, dalla gestione delle risorse umane, alla visione dei feed sui social network) per cui se il processo non è ben gestito dall’organizzazione, e le informazioni di registrazione delle app non sono chiare, si può creare per l’utente uno stato di confusione con implicazioni pericolose in termini di sicurezza. Un utente scrupoloso, preso alla sprovvista da molteplici richieste di servizi cloud di cui fino a qualche istante prima ignorava l’esistenza, richiederà continuamente ai propri colleghi delucidazioni sulla legittimità della richiesta. Potete facilmente immaginare le implicazioni in un mondo dove l’utente interagisce quotidianamente con decine di applicazioni cloud: nel migliore dei casi l’utente finirà con il tempestare di richieste i propri colleghi di sicurezza (e non solo) aggiungendo stress e sovraccarico non richiesto nell’ambiente di lavoro. Nel peggiore dei casi si troverà a confermare pedissequamente tutte le richieste, aumentando drammaticamente il rischio di cadere vittima di phishing (e se consideriamo il numero di applicazioni enterprise compromesse recentemente, il rischio è tutt’altro che remoto).

E ovviamente lo stesso rischio esiste in ambito personale. Un utente ha una necessità impellente e temporanea di convertire un file video da un formato ad un altro, si registra ad un servizio online per effettuare la conversione (in generale una pessima abitudine visto che praticamente nessuno legge le condizioni del servizio, senza contare il rischio di cadere vittima di servizi malevoli, visto il rifiorire di tecniche criminali di Search Engine Optimization). Una volta svolto il compito, l’utente si dimentica di avere effettuato la registrazione. Nel peggiore dei casi può accadere che il servizio venga bucato da criminali informatici (come indicato in precedenza, purtroppo, uno scenario piuttosto plausibile di questi tempi) con il rischio certo di diventare l’obbiettivo di campagne di phishing. Altrimenti dopo qualche tempo, allo scadere della registrazione iniziale, l’utente riceverà la richiesta di confermare il proprio account (di cui nel frattempo si è totalmente dimenticato) con le stesse conseguenze viste sopra, continue richieste ai colleghi o, peggio, l’accettazione pedissequa di ogni richiesta, inclusi quelle provenienti da servizi di dubbia utilità o reputazione, oppure le richieste provenienti da attacchi di phishing.

Mitigare la registration fatigue

In ambito aziendale è necessario che sin dal primo giorno il dipartimento IT dell’organizzazione indichi chiaramente ai neoassunti la lista dei servizi cloud in uso e le modalità di registrazione (inclusa se possibile la data esatta di attivazione). È altrettanto importante che i fornitori delle applicazioni cloud inseriscano quanto più contesto possibile nella procedura di registrazione e conferma dell’account, indicando chiaramente gli step da effettuare (e i contatti da raggiungere) per fugare eventuali dubbi. Un processo analogo deve ugualmente essere in vigore per i nuovi servizi. È necessario che gli utenti vengano avvisati in anticipo dell’adozione di un nuovo servizio (anche in più fasi) e che sia indicata la data precisa di adozione in cui la richiesta di registrazione sarà ricevuta.

Ed anche per le applicazioni personali, i fornitori dovrebbero inserire quanto più contesto possibile nella richiesta di registrazione e conferma per far sì che gli utenti ne comprendano la legittimità o si ricordino il momento di effettuazione della registrazione (ad esempio “stai ricevendo questa comunicazione poiché in data X hai effettuato la registrazione al servizio Y, e ti viene ora richiesto di confermarla). Ovviamente, in questo caso la principale strategia di mitigazione del rischio è a carico dell’utente e consiste nella buona abitudine di non inserire le proprie credenziali al primo servizio che capita (e purtroppo ci sono ancora molti utenti che lasciano ovunque anche le credenziali aziendali). Se la registrazione è proprio necessaria, esistono servizi di mail che consentono di generare indirizzi effimeri per il solo scopo della registrazione, mitigando i rischi di tracciamento e di account compromessi in caso di data breach.

Da un punto di vista tecnologico, oltre all’utilizzo di MFA per le applicazioni aziendali, è necessario che le organizzazioni adottino una soluzione di protezione dal phishing ubiqua ed erogata dal cloud, ugualmente efficace per il traffico web e cloud. Come indicato in precedenza, il rischio che gli utenti accettino pedissequamente ogni richiesta (incluse quelle malevole) è dietro l’angolo, un rischio ancora maggiore considerando il crescente uso personale dei dispositivi aziendali.

A cura di Paolo Passeri, Cyber Intelligence Principal, Netskope

Profilo Autore
Paolo Passeri

Cyber Intelligence Principal, Netskope

Altri Articoli
Condividi sui Social Network:

Articoli simili

Cybersecurity per la Blockchain e la Blockchain per la cybersecurity (3/3)

Cybersecurity per la Blockchain e la Blockchain per la cybersecurity (3/3)

A cura di:Rosita Galiandro Ore Pubblicato il

Introduzione La blockchain rappresenta un approccio innovativo alla cyber security perché è una tecnologia che permette di progettare sistemi rispettando il principio security by design. La sicurezza della tecnologia Blockchain si basa principalmente su tre elementi fondamentali: Riservatezza: la Blockchain offre funzionalità estese per garantire l’anonimato dell’utente. Le chiavi utente sono l’unico collegamento tra un utente e i…

Come affrontare in sicurezza la nuova realtà del lavoro da remoto – Cyber Security Virtual Conference 2021

Come affrontare in sicurezza la nuova realtà del lavoro da remoto – Cyber Security Virtual Conference 2021

A cura di:Redazione Ore Pubblicato il

26 maggio 2021 – Ore 09:00 Come affrontare in sicurezza la nuova realtà del lavoro da remoto L’anno della pandemia ha generato un avanzamento tecnologico proiettandoci in avanti di circa quindici anni nella diffusione delle tecnologie di comunicazione remota a supporto del lavoro agile, ma questo salto in lungo è avvenuto senza le necessarie precauzioni…

Il Phishing Assessment per la Sicurezza Aziendale

Il Phishing Assessment per la Sicurezza Aziendale

A cura di:Sergio Caruso Ore Pubblicato il

Il phishing è uno dei metodi di attacco più comune, sfrutta come tecnica principale il Social Engineering e viene utilizzato per compromettere le credenziali e rubare dati sensibili. Attraverso il phishing, gli aggressori inviano messaggi di posta elettronica che sembrano essere legittimi e possono contenere nomi, indirizzi e-mail e loghi di organizzazioni fidate (es. Banche,…

A case history: come ho risolto un WanaCrypt0r 2.0 Attack

A case history: come ho risolto un WanaCrypt0r 2.0 Attack

A cura di:Vincenzo Digilio Ore Pubblicato il

Lo scorso 11 Maggio questo worm colpì più di 75.000 macchine in 99 Paesi di tutto il mondo fra ministeri, università, banche, servizi sanitari, case automobilistiche, ferrovie, compagnie telefoniche e logistiche. L’Italia grazie alla sua “ridotta interconnessione informatica tra le divere strutture” (come la definì un giornalista1), per non dire di peggio, limitò la virulenza…

Atti Convegno Cyber Crime Conference 2018 – Umberto Gori

Atti Convegno Cyber Crime Conference 2018 – Umberto Gori

A cura di:Redazione Ore Pubblicato il

Strategie e manovre nello spazio cibernetico: l’uso delle cyber weapons nella conflittualità del XXI secolo Il sistema internazionale ha subìto negli ultimi anni trasformazioni così radicali da rendere desueta, o comunque non più soddisfacente, una lettura del medesimo attraverso i classici paradigmi interpretativi. E’ nata la politica post-internazionale caratterizzata da interdipendenze complesse e da turbolenza….

Immagina di poter disporre di un analista SOC molto competente su ciascuno dei tuoi dispositivi

Immagina di poter disporre di un analista SOC molto competente su ciascuno dei tuoi dispositivi

A cura di:Redazione Ore Pubblicato il

Gli addetti alla sicurezza devono essere in grado di monitorare e proteggere tutti i punti ai margini della propria rete, dall’endpoint al cloud. Anche se molte soluzioni di rilevamento e risposta degli endpoint consentono agli operatori di individuare gli elementi dannosi, molti di essi non offrono il contesto necessario per comprendere cosa sia stato rilevato…