Che in ambito sicurezza IT l’utente rappresenti una vulnerabilità è risaputo, ma i numeri che arrivano dall’ultimo rapporto Clusit fanno emergere con evidenza la necessità di mantenere l’argomento al centro delle discussioni: se la crescita complessiva del numero di attacchi 2016 su 2015 è stata del 3,75%, l’aumento di quelli compiuti con tecniche di phishing e social engineering è di una portata straordinaria: +1166%, la percentuale più alta in termini di tipologia di attacco mai registrata dal Clusit (figura 1). D’altra parte, il veicolo principale per la propagazione del malware sono proprio e-mail di spear phishing contenenti allegati o link ad allegati infetti. Alla luce di questo scenario risulta chiaro che i cybercriminali hanno individuato nell’utente un canale di accesso privilegiato, il punto debole per eccellenza e stanno lavorando per sfruttarlo al meglio.
Figura 1 – Distribuzione generale delle tecniche di attacco – Fonte: Rapporto Clusit 2017
Non stupisce dunque che il recente Security Summit, dove è stato presentato il rapporto Clusit, abbia ospitato, tra gli altri (su ZeroUno già abbiamo dedicato un articolo all’intervento IDC), anche approfondimenti dedicati a questi temi; tra questi quello di Luca Mairani, Senior Sales Engineer, Forcepoint, mirato a spiegare perché l’utente rappresenti oggi una minaccia e quali siano le strategie necessarie a contenere i rischi: “Nel momento in cui una persona ha la possibilità di accedere al dato, diventa un punto critico”: gli utenti, come spiega il manager, abituati a sfruttare la tecnologia consumer nella loro vita privata, spesso portano lo stesso approccio “disinvolto” e poco attento anche nella sfera lavorativa quando utilizzano gli strumenti aziendali; il cybercrime, dal canto suo, sferra attacchi sempre più mirati a ingannare le persone sfruttando tecniche di social engineering e attuando ricatti e tentativi di corruzione.
A questi due elementi si aggiunge una riflessione sul fatto che i comportamenti e le situazioni che possono portare gli utenti a diventare una minaccia per la propria azienda (categoria di utenti di seguito definita “insider”) sono dei più svariati (figura 2):
Tre diversi profili di insider
Figura 2 – Il comportamento delle persone che mette a rischio l’azienda – Fonte: Ponemon 2016 Cost of Insider Threats
Insider intenzionali – “Sul black market ci sono almeno due o tre siti che offrono soldi per divulgare o dare accesso alle risorse aziendali – dice Mairani – Potenzialmente una tentazione per un dipendente con problemi economici o per qualcuno che ha del risentimento nei confronti della propria azienda [e che dunque non è frenato dalla fidelizzazione che ci si aspetta normalmente da un dipendente – ndr] ”. Il manager sottolinea che la fiducia su cui molte aziende italiane confidano, se da un lato, laddove sostenuta da un ingaggio reale dei dipendenti, rappresenta un aiuto importante per chi si occupa della sicurezza di un’impresa, dall’altro è l’elemento che rischia di minare la solidità aziendale se acceca, come spesso accade, rispetto ai rischi che inevitabilmente si legano al fattore umano.
Insider accidentali – Esiste poi la possibilità di errori involontari, dettati dalla mancanza di formazione degli utenti, dall’abitudine di questi ultimi a usare strumenti consumer indipendentemente dalle policy aziendali o semplicemente da forme di distrazione: “Se l’utente è stanco o ha mal di testa, l’attenzione che mette di solito a leggere le e-mail e in generale a gestire le informazioni può venire meno: bisogna tener conto anche di situazioni simili”, dice Mairani.
Insider compromessi – Infine, l’account di un utente può essere infetto e dunque potrebbe essere utilizzato da un outsider per azioni malevoli all’insaputa dell’utente.
Quantifichiamo ora i danni che queste tre categorie di insider possono causare: secondo una ricerca Ponemon 2016 (intervistati 280 IT e professionisti della sicurezza IT in 54 aziende Usa con più di 1000 dipendenti) in un’azienda tipo, il 22% degli insider sono intenzionali, il 68% accidentali e il 10% compromessi. Il costo medio per incidente maggiore è legato agli insider compromessi (quasi 500 dollari), ma il costo totale annualizzato maggiore (in media quasi 2300 dollari – figura 3) è da legare agli utenti accidentali, “perché se il singolo danno di per sé mediamente non è alto, questa categoria di insider in compenso è molto più numerosa”; eppure, paradossalmente, fa notare Mairani, è proprio questa la classe di utenti più relativamente semplice da affrontare sul piano della Sicurezza IT.
Quali soluzioni?
Figura 3 – Costi degli attacchi causati da insider – Fonte: Ponemon 2016 Cost of Insider Threats
Per essere all’altezza della sfida è necessario certamente fare formazione (“Perché l’utente sia alleato della security – dice Mairani – deve essere consapevole dei rischi: prima di ‘cliccare’, deve ragionare su quello che sta facendo”) ma anche rispondere sul piano tecnologico attraverso il monitoraggio del comportamento delle persone e la definizione di indicatori di rischio: “Un solo allarme di access denied è un errore; 50 possono significare la volontà di sapere quali sono le risorse alle quali un utente ha accesso”, commenta il manager, che quindi sottolinea come spesso gli insider malintenzionati si “preparino” attraverso tentativi falliti all’azione malevola vera e propria, ed è dunque prezioso saper tracciare questi tentativi a fini preventivi. Non si deve infine dimenticare di comunicare agli utenti l’esistenza di questi controlli (Mairani sottolinea che non ci sono contrasti sul piano delle normative in materia di privacy): come spiega il manager, spesso basta far sapere che la navigazione in Internet e nelle risorse aziendali vengono monitorate perché gli utenti aumentino il loro livello di attenzione e gli insider intenzionali vengano dissuasi dal perseguire i propri intenti.