Digital Retail

Malware anche nei Pos? Forrester parla di cybercrime e sicurezza nel retail

Il retail ha subito diversi cyber attacchi. Forrester ha condotto uno studio sull’impatto degli incidenti malware sui POS (Point of Sale) nella distribuzione e sui danni causati. Analisti ed esperti sottolineano come l’approccio attuale alla cybersecurity può far cogliere impreparati i brand di fronte a nuove minacce

Pubblicato il 07 Apr 2016

retail-pos-sicurezza-160407100736

Negli anni scorsi il settore retail ha subito diversi cyber-attacchi. Anche le aziende più grandi e dotate di maggiori risorse economiche da dedicare alla sicurezza ne sono state vittime. Il problema, sottolineano gli esperti, va considerato da un altro punto di vista.

“Crediamo che le organizzazioni che si occupano di sicurezza informatica debbano cambiare il proprio punto di riferimento – spiega Andrew Rose, analista principale per la sicurezza e il rischio di Forrester Research -. Allo stato attuale, il centro di gravità è l’attacco malware: come funziona, come si propaga, cosa fa e come è possibile affrontare il successivo processo post incidente di clean-up. Il problema di questo approccio è che è intrinsecamente lento e farraginoso e qualche sfortunata organizzazione deve subire gli effetti di un attacco zero-day prima che tutti gli altri possano beneficiare delle soluzioni”.

Difendersi vuol dire essere già in ritardo

I cybercriminali sono in grado di creare un codice e successivamente modificarlo nell’arco di qualche minuto. Una vasta rete di utenti può rapidamente organizzarsi su internet per un reciproco vantaggio. Limitazioni in termini di esperienza, capacità e comprensione del codice possono essere superate affidandone la gestione ad altri individui estremamente veloci ed efficenti. Il numero crescente di siti web che ospitano lo scambio di informazioni tra i cyber criminali nella dark internet è una testimonianza del fatto che la comunità di hacker è sofisticata e in continua crescita.

Allo stesso tempo, parlando di difesa, ci vogliono tempi ben precisi per esaminare, da un punto di vista forense, qualsiasi tipo di attacco. I dettagli emergono lentamente e le società colpite sono naturalmente riluttanti a rendere pubbliche le specificità degli attacchi subiti. Di conseguenza, le modalità e le regole necessarie per fermare un attacco di questo tipo necessitano di tempo per essere trasferite alla community della sicurezza informatica e – potenzialmente – anche di più per rientrare nella categoria di prodotti di sicurezza esistenti e rivolti alla protezione delle aziende contro attacchi simili in futuro. Gli strumenti di sicurezza rule-based e legacy sono utilizzati continuamente per recuperare terreno contro le aggressioni di ieri.

Escludere i fornitori?

“La scoperta del modo in cui gli hacker sono riusciti a violare i retailer – prosegue Rose – ha generato una serie di critiche sulle misure di sicurezza adottate dai retailer stess. Il retailer ha dovuto quindi affrontare una serie di azioni legali aventi per oggetto la violazione dei dati dei consumatori: clienti e banche hanno avviato un totale di 68 class action. Nel corso di questi procedimenti è stato evidenziato come i retailer non abbiano implementato le misure necessarie per proteggere le informazioni relative ai propri clienti. Questo tipo di osservazioni tradisce un fraintendimento della realtà delle aziende moderne e delle reti globali”.

Come sottolineano gli esperti, fare business nell’era di Internet significa condividere informazioni con il mondo e stabilire nuove connessioni e collaborazioni tra più parti che lavorano insieme. Le reti sono interconnesse per natura, non sono silos di informazioni isolati tra loro. Non è possibile quantificare l’enormità del vantaggio generato da queste interconnessioni; tuttavia, questo comporta inevitabilmente l’accesso da parte di un gran numero di entità esterne: imprenditori, fornitori, freelance, gli stessi dispositivi personali dei dipendenti e via dicendo. Cercare di combattere questo trend è impossibile, e pensare che le reti possano essere rese sicure contro qualsiasi vulnerabilità è da ingenui, se non da persone in malafede. È chiaro quindi che il controllo delle frontiere non funziona quando il perimetro della propria rete si estende fino alla catena dei fornitori. La morale? Nessun retailer, grande o piccolo, può essere in grado di rimuovere le minacce alle proprie reti e ai propri sistemi.

Nascondersi nella routine non paga

Ciò che è interessante dei cyber attacchi non è tanto il come gli hacker si siano insidiati nel sistema ma il comportamento che essi hanno manifestato nel corso del loro attacco multi-fase all’interno della rete. Le fasi di preparazione di un attacco sono quelle a più elevato livello di rischio perché richiedono più tempo e maggiore ingegno per evitare di essere scoperti visto che si deve agire in un modo che, per natura, è anomalo.

L’approccio basato sull’intelligence

Potrebbe non essere possibile tenere le minacce lontane dai propri sistemi, ma si può invece organizzare una difesa migliore riconoscendo in anticipo gli attacchi, spostando l’attenzione sul comportamento che adottano i malintenzionati una volta che si trovano all’interno della rete. È proprio lì che entra in gioco la vera sofisticazione dell’attacco, dal momento che l’hacker si prepara a mettere in atto le diverse fasi della sua missione – ognuna strategicamente progettata per raggiungere l’obiettivo. Questi hacker hanno dimostrato di essere molto bravi a nascondersi agli strumenti antivirus, ai software di sicurezza rule-based e agli amministratori di rete. Quando sono entrati in azione, i loro movimenti sono stati discreti, attraversando la rete e identificando i loro obiettivi senza destare l’attenzione. Tuttavia, hanno agito in modo che, per definizione, non era normale, considerando la tipica attività della rete e dei suoi utenti.

A questo proposito, la scienza comportamentale sta portando la security a fare passi da gigante. Nei laboratori di ricerca e sviluppo di Darktrace, ad esempio, è stata progettata una soluzione che si chiama Enterprise Immune System. Basata sull’auto-apprendimento e su un approccio matematico pioneristico, è in grado di rilevare le minacce nel momento in cui queste si manifestano nella rete, collegando tra loro una serie di deboli anomalie e rilevando così comportamenti atipici che possono rappresentare una minaccia. Il valore aggiunto? Trattandosi di un’appliance, può essere utilizzata in diverse parti della rete aziendale.

Mentre emergono maggiori dettagli sulla natura esatta dei recenti attacchi, è possibile osservare come, grazie al suo complesso modello matematico in grado di interpretare il comportamento di reti, dei dispositivi e degli utenti, la piattaforma di Darktrace offre un avviso anticipato relativo all’attacco in corso.

Come funziona Enterprise Immune System

Supponiamo che l’Enterprise Immune System (EIS) di Darktrace fosse stata implementato e che avesse avuto visibilità dei servizi offerti ai clienti sia dall’head quarter che da strutture remote di uno dei retailer colpiti di recente. Analizzando in dettaglio i recenti attacchi, emergono le numerose connessioni di rete anomale tra le diverse macchine connesse alla rete aziendale estesa. L’EIS di Darktrace avrebbe rilevato un comportamento anomalo lungo le diverse fasi degli attacchi. Sulla base delle informazioni disponibili in merito ai recenti attacchi ai retailer, possiamo osservare che Darktrace sarebbe stata in grado di individuare:

  • l’attività anomala sulla macchina originariamente compromessa nelle prime fasi della preparazione dell’attacco
  • le inusuali connessioni tra i terminali POS e gli host compromessi
  • un considerevole volume di dati in movimento tra macchine insolite all’interno della rete aziendale
  • una volta che i dati sono stati accumulati in questi host compromessi, il passaggio via Internet dei dati dall’infrastruttura corporate a un sito FTP esterno

L’approccio di Darktrace, basato sulla tecnologia Enterprise Immune System, avrebbe permesso il rilevamento di numerose anomalie mentre la minaccia si sviluppava all’interno dell’organizzazione. Proponendo modelli matematici del comportamento normale dell’organizzazione, così come di ogni utente e dispositivo, Darktrace avrebbe permesso il contenimento della minaccia in tempo reale mentre si evolveva – e non solo in seguito al furto e al completamento del danno.

La sicurezza dei consumatori e del business

Il settore retail ha urgente bisogno di premere il tasto reset, e di passare dal suo tradizionale atteggiamento di controllo dei danni per limitarli a un approccio proattivo basato sull’intelligence. Questo significa che deve smettere di agire solo a seguito del verificarsi dei danni e prepararsi a contrastare le minacce nell’ambito del proprio territorio per vincerle.

“È una situazione che continua e che si evolve constantemente – conclude Rose -. Anche se dall’esterno sembra non essere cambiato molto. Qualcosa deve però evolvere in fretta se si vuole interrompere il trasferimento dei nostri dati personali dai server dei retailer alle mani dei criminali, ed evitare la perdita di fiducia nei confronti dei brand a cui siamo più affezionati”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Round table
Keynote
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 2