Negli anni scorsi il settore retail ha subito diversi cyber-attacchi. Anche le aziende più grandi e dotate di maggiori risorse economiche da dedicare alla sicurezza ne sono state vittime. Il problema, sottolineano gli esperti, va considerato da un altro punto di vista.
“Crediamo che le organizzazioni che si occupano di sicurezza informatica debbano cambiare il proprio punto di riferimento – spiega Andrew Rose, analista principale per la sicurezza e il rischio di Forrester Research -. Allo stato attuale, il centro di gravità è l’attacco malware: come funziona, come si propaga, cosa fa e come è possibile affrontare il successivo processo post incidente di clean-up. Il problema di questo approccio è che è intrinsecamente lento e farraginoso e qualche sfortunata organizzazione deve subire gli effetti di un attacco zero-day prima che tutti gli altri possano beneficiare delle soluzioni”.
Difendersi vuol dire essere già in ritardo
I cybercriminali sono in grado di creare un codice e successivamente modificarlo nell’arco di qualche minuto. Una vasta rete di utenti può rapidamente organizzarsi su internet per un reciproco vantaggio. Limitazioni in termini di esperienza, capacità e comprensione del codice possono essere superate affidandone la gestione ad altri individui estremamente veloci ed efficenti. Il numero crescente di siti web che ospitano lo scambio di informazioni tra i cyber criminali nella dark internet è una testimonianza del fatto che la comunità di hacker è sofisticata e in continua crescita.
Allo stesso tempo, parlando di difesa, ci vogliono tempi ben precisi per esaminare, da un punto di vista forense, qualsiasi tipo di attacco. I dettagli emergono lentamente e le società colpite sono naturalmente riluttanti a rendere pubbliche le specificità degli attacchi subiti. Di conseguenza, le modalità e le regole necessarie per fermare un attacco di questo tipo necessitano di tempo per essere trasferite alla community della sicurezza informatica e – potenzialmente – anche di più per rientrare nella categoria di prodotti di sicurezza esistenti e rivolti alla protezione delle aziende contro attacchi simili in futuro. Gli strumenti di sicurezza rule-based e legacy sono utilizzati continuamente per recuperare terreno contro le aggressioni di ieri.
Escludere i fornitori?
“La scoperta del modo in cui gli hacker sono riusciti a violare i retailer – prosegue Rose – ha generato una serie di critiche sulle misure di sicurezza adottate dai retailer stess. Il retailer ha dovuto quindi affrontare una serie di azioni legali aventi per oggetto la violazione dei dati dei consumatori: clienti e banche hanno avviato un totale di 68 class action. Nel corso di questi procedimenti è stato evidenziato come i retailer non abbiano implementato le misure necessarie per proteggere le informazioni relative ai propri clienti. Questo tipo di osservazioni tradisce un fraintendimento della realtà delle aziende moderne e delle reti globali”.
Come sottolineano gli esperti, fare business nell’era di Internet significa condividere informazioni con il mondo e stabilire nuove connessioni e collaborazioni tra più parti che lavorano insieme. Le reti sono interconnesse per natura, non sono silos di informazioni isolati tra loro. Non è possibile quantificare l’enormità del vantaggio generato da queste interconnessioni; tuttavia, questo comporta inevitabilmente l’accesso da parte di un gran numero di entità esterne: imprenditori, fornitori, freelance, gli stessi dispositivi personali dei dipendenti e via dicendo. Cercare di combattere questo trend è impossibile, e pensare che le reti possano essere rese sicure contro qualsiasi vulnerabilità è da ingenui, se non da persone in malafede. È chiaro quindi che il controllo delle frontiere non funziona quando il perimetro della propria rete si estende fino alla catena dei fornitori. La morale? Nessun retailer, grande o piccolo, può essere in grado di rimuovere le minacce alle proprie reti e ai propri sistemi.
Nascondersi nella routine non paga
Ciò che è interessante dei cyber attacchi non è tanto il come gli hacker si siano insidiati nel sistema ma il comportamento che essi hanno manifestato nel corso del loro attacco multi-fase all’interno della rete. Le fasi di preparazione di un attacco sono quelle a più elevato livello di rischio perché richiedono più tempo e maggiore ingegno per evitare di essere scoperti visto che si deve agire in un modo che, per natura, è anomalo.
L’approccio basato sull’intelligence
Potrebbe non essere possibile tenere le minacce lontane dai propri sistemi, ma si può invece organizzare una difesa migliore riconoscendo in anticipo gli attacchi, spostando l’attenzione sul comportamento che adottano i malintenzionati una volta che si trovano all’interno della rete. È proprio lì che entra in gioco la vera sofisticazione dell’attacco, dal momento che l’hacker si prepara a mettere in atto le diverse fasi della sua missione – ognuna strategicamente progettata per raggiungere l’obiettivo. Questi hacker hanno dimostrato di essere molto bravi a nascondersi agli strumenti antivirus, ai software di sicurezza rule-based e agli amministratori di rete. Quando sono entrati in azione, i loro movimenti sono stati discreti, attraversando la rete e identificando i loro obiettivi senza destare l’attenzione. Tuttavia, hanno agito in modo che, per definizione, non era normale, considerando la tipica attività della rete e dei suoi utenti.
A questo proposito, la scienza comportamentale sta portando la security a fare passi da gigante. Nei laboratori di ricerca e sviluppo di Darktrace, ad esempio, è stata progettata una soluzione che si chiama Enterprise Immune System. Basata sull’auto-apprendimento e su un approccio matematico pioneristico, è in grado di rilevare le minacce nel momento in cui queste si manifestano nella rete, collegando tra loro una serie di deboli anomalie e rilevando così comportamenti atipici che possono rappresentare una minaccia. Il valore aggiunto? Trattandosi di un’appliance, può essere utilizzata in diverse parti della rete aziendale.
Mentre emergono maggiori dettagli sulla natura esatta dei recenti attacchi, è possibile osservare come, grazie al suo complesso modello matematico in grado di interpretare il comportamento di reti, dei dispositivi e degli utenti, la piattaforma di Darktrace offre un avviso anticipato relativo all’attacco in corso.
Come funziona Enterprise Immune System
Supponiamo che l’Enterprise Immune System (EIS) di Darktrace fosse stata implementato e che avesse avuto visibilità dei servizi offerti ai clienti sia dall’head quarter che da strutture remote di uno dei retailer colpiti di recente. Analizzando in dettaglio i recenti attacchi, emergono le numerose connessioni di rete anomale tra le diverse macchine connesse alla rete aziendale estesa. L’EIS di Darktrace avrebbe rilevato un comportamento anomalo lungo le diverse fasi degli attacchi. Sulla base delle informazioni disponibili in merito ai recenti attacchi ai retailer, possiamo osservare che Darktrace sarebbe stata in grado di individuare:
- l’attività anomala sulla macchina originariamente compromessa nelle prime fasi della preparazione dell’attacco
- le inusuali connessioni tra i terminali POS e gli host compromessi
- un considerevole volume di dati in movimento tra macchine insolite all’interno della rete aziendale
- una volta che i dati sono stati accumulati in questi host compromessi, il passaggio via Internet dei dati dall’infrastruttura corporate a un sito FTP esterno
L’approccio di Darktrace, basato sulla tecnologia Enterprise Immune System, avrebbe permesso il rilevamento di numerose anomalie mentre la minaccia si sviluppava all’interno dell’organizzazione. Proponendo modelli matematici del comportamento normale dell’organizzazione, così come di ogni utente e dispositivo, Darktrace avrebbe permesso il contenimento della minaccia in tempo reale mentre si evolveva – e non solo in seguito al furto e al completamento del danno.
La sicurezza dei consumatori e del business
Il settore retail ha urgente bisogno di premere il tasto reset, e di passare dal suo tradizionale atteggiamento di controllo dei danni per limitarli a un approccio proattivo basato sull’intelligence. Questo significa che deve smettere di agire solo a seguito del verificarsi dei danni e prepararsi a contrastare le minacce nell’ambito del proprio territorio per vincerle.
“È una situazione che continua e che si evolve constantemente – conclude Rose -. Anche se dall’esterno sembra non essere cambiato molto. Qualcosa deve però evolvere in fretta se si vuole interrompere il trasferimento dei nostri dati personali dai server dei retailer alle mani dei criminali, ed evitare la perdita di fiducia nei confronti dei brand a cui siamo più affezionati”.