15 minute read
STORIA DI COPERTINA
LE NUOVE PRIORITÀ DEL POST PANDEMIA
L’ascesa dello smart working, l’uso sistematico di dispositivi personali e servizi cloud, la crescita dei data breach: nel 2021 l’agenda della sicurezza informatica si trasforma alla luce dei pesanti cambiamenti avvenuti durante i lockdown.
Il 2020 è stato un anno di importanti cambiamenti, segnato fra le altre cose anche da una forte crescita del rischio cyber. Come ha osservato di recente la Polizia Postale, è stato un anno di continua evoluzione delle minacce rivolte sia ai singoli sia alle imprese di tutte le dimensioni e settori. Con la pandemia di covid-19 sono cambiate anche le priorità della cybersicurezza: in cima alla lista, la necessità di poter lavorare da remoto senza rischi, di ripensare ai meccanismi di autenticazione (vista la frequenza di attacchi mirati al furto di credenziali) di estendere il raggio della
sicurezza ai dispositivi Internet of Things e di smart home. Per molti l’ultimo anno ha portato a un decisivo cambiamento dell’approccio alla cybersecurity, dal quale sembra non si tornerà indietro. E ne sono diretta conseguenza le tendenze di cybersicurezza che caratterizzeranno il 2021.
Uno smart working più sicuro
Secondo un’indagine condotta a livello globale da Dimensional Research per conto di Check Point, il 95% dei 613 professional intervistati ha completamente cambiato nel corso del 2020 la propria strategia di sicurezza in azienda per rispondere alla nuova situazione di lavoro da remoto creatasi nei mesi del lockdown. Nel 2021, mettere in sicurezza gli smart worker rimarrà quindi la principale priorità (citata dal 47% dei rispondenti), seguita dalla prevenzione degli attacchi di phishing e social engineering (42%), dalla protezione degli accessi da remoto (41%) e di applicazioni e infrastrutture cloud (39%). Tuttavia portare a termine questi obiettivi richiederà molto lavoro, servirà qualche anno. Intanto, per rispondere a una disruption delle modalità operative delle aziende che non ha precedenti, assisteremo già nel 2021 a uno spostamento deciso verso nuovi modelli di endpoint security, basati sul concetto di “zero trust”. Se fino a ieri la sicurezza veniva progettat per difendere la rete, o il perimetro aziendale (entro cui ad esempio operava il Soc, Security Operation Center, per monitorare la situazione e gestire eventuali incidenti), oggi i problemi si sono spostati altrove: direttamente nelle attività svolte dai lavoratori, che accedono da qualsiasi posto, con device diversi, o addirittura nel cloud. Il concetto della sicurezza “zero trust2 (non nuovo, ma oggi estremamente attuale) sposta il controllo su qualsiasi accesso e tende ad assegnare un livello minimo di autorizzazioni tramite policy che limitano il rischio di esporre i dati a malintenzionati.
L’HOME OFFICE FA GOLA AI CRIMINALI
Con il boom del lavoro da remoto, le nostre abitazioni si sono trasformate in uffici personali. E per le aziende gli ambienti informatici distribuiti (on-premise e nel cloud), lo smart working e l’uso di dispositivi domestici da parte dei dipendenti significano un allargamento della superficie di attacco esposta al rischio. Un problema da affrontare sarà quello di mettere sotto controllo un ambiente così distribuito, con oggetti consumer connessi che fino a ieri non erano risorse da proteggere. Tanto più che gli attaccanti sono molto bravi ad avvalersi di vulnerabilità collegate a terze parti, a supply chain estese, come hanno dimostrato molti dei più gravi data breach avvenuti nella storia. Secondo il report “Xfinity Cyber Health” di Comcast dello scorso novembre, quasi tutti i consumatori (il 95%) sottostimano i rischi informatici che riguardano i dispositivi domestici, come computer, smartphone, tablet, webcam, router e Nas. In media, gli intervistati pensano di essere stati oggetto di circa 12 attacchi al mese, un numero però smentito dall’osservazione di Comcast, secondo cui le abitazioni sono bersaglio di una media di 104 minacce al mese. Nel caso di sistemi privi di schermo, spesso l’utente non si accorge affatto di aver subito un attacco. Le aziende dovranno considerare questi aspetti e preoccuparsi di mettere in sicurezza la propria forza lavoro anche in ambienti domestici altamente vulnerabili.
Una sola password non basta più
Il costo del cybercrimine è in continua crescita: secondo le stime del Center for Strategic and International Studies di Washington, ha sull’economia globale per 1,9 milioni di dollari ogni minuto nel 2020, ovvero per 1.000 miliardi di dollari in tutto l’anno. Una quota pari
a circa l’1% del Pil mondiale. Poiché almeno l’80% degli attacchi coinvolgono delle credenziali utente, è chiaro che nel prossimo futuro l’autenticazione tramite password sarà sempre meno diffusa. Già oggi vediamo nuovi servizi digitali nascere fin da subito con meccanismi di autenticazione a due o più fattori, cioè basati su un doppio passaggio (per esempio l’inserimento di credenziali e di un codice token usa e getta, inviato su smartphone o prodotto da una chiavetta). Inoltre, si assiste a un’esplosione di nuovi meccanismi di autenticazione passwordless, da quella biometrica alle chiavi hardware ai QR code, e soprattutto, all’utilizzo di tecniche basate su intelligenza artificiale o machine learning e sull’analisi dei comportamenti. Con la diffusione del covid-19 e con l’aumento esponenziale di accessi da remoto, da molteplici device, dotarsi di metodi sicuri per autenticare le persone è diventata una priorità per le aziende. Vedremo in futuro quali saranno i meccanismi che andranno per la maggiore: al momento, i metodi biometrici sembrerebbero quelli più difficili da contraffare da parte degli attaccanti, in quanto indipendenti dal device dispositivo per inviare le informazioni come l’hash generato.
CLOUD, UN BENE DA PROTEGGERE
Come avremmo fatto, nei mesi del lockdown più rigoroso, senza l’aiuto di Pc, smartphone, applicazioni di videoconferenza, collegamenti Internet a banda larga, siti di e-commerce? Si può veramente dire che il 2020 sia stato l’anno del cloud. Dal punto di vista dell’IT, però, non sono mancati problemi relativi alla complessa gestione di ambienti multi-vendor e alle necessità di sicurezza del cloud. Si tratta ora di individuare la strada migliore per riprendere il controllo di tutto e specialmente per gestire la sicurezza, aumentare la visibilità, introdurre nuove misure e processi di cloud security. Non sarà un passaggio facile e neanche veloce. Le vulnerabilità degli ambienti cloud stanno diventando un grattacapo sempre più grave: servizi configurati male, cloud hijacking o furto di credenziali aziendali o personali (poi riutilizzate per esfiltrare i dati o per altre gravi frodi), intercettazione del traffico verso il cloud, phishing e ransomware che prendono di mira i contenuti archiviati. I dati di mercato indicano che un’azienda su tre fa ampio uso del cloud computing, e potrebbe sperimentare uno di questi problemi. Inoltre, con la prevista crescita del fenomeno (secondo gli analisti, entro il 2023 il 75% dei database sarà in una piattaforma cloud) avremo una vera esplosione di questi attacchi. Nell’ultimo anno, per rispondere alle esigenze del lavoro da remoto durante la pandemia, i passi avanti nei percorsi di digitalizzazione del business sono stati enormi. Il problema è che la sicurezza non è riuscita a tenere il passo con la trasformazione dei modelli operativi. Come correre ai ripari? Innanzitutto, per poter usare il cloud senza rischi è necessario che l’azienda si faccia carico della sicurezza di dati e ambienti IT anche quando questi sono posizionati al di fuori dell’on-premise. Senza aspettarsi, quindi, che la sicurezza sia solo responsabilità del provider, ma piuttosto adottando un modello di responsabilità condivisa. Quindi bisogna tener conto delle vulnerabilità del cloud e rafforzare i processi interni, da un lato per garantire una migliore visibilità di ciò che è posizionato in cloud, dall’altro lato per diffondere una cultura di sicurezza intrinseca in ogni attività. Aspetto da non sottovalutare è la corretta configurazione dei servizi: nella fretta di usare queste risorse, le aziende trascurano spesso alcuni processi e configurano in modo errato i cloud pubblici, lasciando porte aperte a eventuali attaccanti. A livello di misure di sicurezza, sempre per rendere più rapido e veloce l’impiego di queste risorse, molti trascurano la necessità di impostare password complesse, di autenticare gli utenti, di gestire i privilegi degli utenti o di crittografare i dati, come se queste misure fossero garantite dal cloud provider in modo predefinito. Sottovalutare questi aspetti è invece molto grave e può mettere a rischio le informazioni sensibili dell’azienda.
Automazione e intelligenza
La crescita dell’attività cybercriminale nel corso del 2020 si è tradotta per le aziende in un incremento degli alert prodotti dalle soluzioni di sicurezza informatica adottate, oltre che in un incremento del numero di incidenti. Quindi, un notevole aumento dei volumi di attività per i responsabili della cybersecurity interni alle aziende e per chi opera nei Soc. Gestire un numero di alert così ampio sta diventando impossibile senza opportuni aiuti, e in aggiunta, senza strumenti di automazione e machine learning che possano distinguere gli alert più urgenti da una marea di dati di minore importanza (o falsi positivi) e che permettano una risposta più rapida agli attacchi già in corso. Elena Vaciago, associate research manager di The Innovation Group
COVID, UN OBIETTIVO E UN PRETESTO PER GLI HACKER
Due fenomeni paralleli cavalcano l’onda della pandemia: attacchi di alto livello, come quello subito dall’Ema, e phishing rivolto verso la massa degli utenti digitali.
Un dato impressionante giunge dal “Cost of a Data Breach Report 2020”, uno studio quantitativo di Ponemon Institute, che ha analizzato 524 violazioni informatiche dell’anno passato, relative ad aziende di vari settori e Paesi: in media, un singolo attacco con perdita di dati causa danni per 3,86 milioni di dollari. Il danno monetario è ancor maggiore nel settore di sanità e industria farmaceutica, dove la media è di 7,13 milioni di dollari persi per ciascuna violazione. Il fenomeno è in ascesa: i ripetuti attacchi alla supply chain dei vaccini per il covid-19 hanno dimostrato la capacità degli hacker di infiltrarsi anche nelle reti di istituzioni come l’Ema (Agenzia europea del farmaco) e di ministeri governativi. E di certo le capacità non mancano a Lazarus, un gruppo cybercriminale celebre tra gli addetti ai lavori, forse legato al governo nordcoreano e in attività da almeno un decennio: sarebbero opera sua, a detta di Kaspersky, due attacchi dell’autunno 2020 ai danni di un ministero della Salute e di una società farmaceutica. Nomi e Paesi non sono stati svelati, mentre sappiamo che entrambe le operazioni ricalcano metodi usati in passato da Lazarus ed entrambe impiegano malware con funzionalità backdoor (cioè capaci di controllare da remoto i dispositivi infettati, spesso per fini di spionaggio). “Questi due incidenti rivelano l’interesse del gruppo Lazarus per l’intelligence legata al covid-19”, ha commentato Seongsu Park, esperto di sicurezza di Kaspersky. “Crediamo che tutte le organizzazioni attualmente coinvolte in attività come la ricerca sui vaccini o la gestione della crisi dovrebbero stare molto attenti agli attacchi informatici”. Ancor più clamoroso è l’attacco subito lo scorso dicembre dall’Agenzia europea del farmaco: una violazione che ha fatto approdare sul dark web una cinquantina di file di informazioni classificate sull’iter autorizzativo e commerciale del vaccino Pfizer-BioNTech, con tanto di email confidenziali, nomi e cognomi di funzionari dell’Ema coinvolti. Il bottino degli hacker è stato scoperto online, su un forum di compravendita di dati rubati, dai ricercatori della società di cybersicurezza Yarix, che hanno rinvenuto il leak e allertato la Polizia Postale. Gli esperti di Yarix non hanno dubbi: la finalità dell’attacco è stata certamente “quella di arrecare un importante danno di reputazione e credibilità a Ema e Pfizer”. Riguarda similmente il tema del covid-19 ma è di tutt’altro genere e livello un’ulteriore attività cybercriminale in gran spolvero nell’ultimo anno: il phishing. A differenza degli attacchi mirati a obiettivi strategici, come quelli realizzati da Lazarus, il phishing tipicamente richiede ai suoi autori minori abilità tecniche e punta sui grandi numeri, su bersagli numerosi e indifferenziati. Con una email truffaldina, che impiega loghi, firme, indirizzi mittenti contraffatti, si tenta di convincere il destinatario a cliccare su un link o a scaricare un allegato, per poi inserire le proprie credenziali, dati personali o dati di carta di credito con promesse di vario genere. L’argomento coronavirus è stato sfruttato a piene mani con rivelazioni sui contagi, offerte imperdibili su mascherine in vendita, proposte di improbabili farmaci salvavita e addirittura finte notifiche di multe per mancato rispetto del distanziamento sociale. A fine 2020 il “Report Phishing and Fraud” del laboratorio di ricerca di F5 (F5 Labs) evidenziava come nelle settimane di picco dei contagi il volume degli attacchi di questo tipo fosse più che quadruplicato rispetto alla media annuale dei rilevamenti. “Gli aggressori sfruttano l’attuale debolezza emotiva legata a una situazione che sfortunatamente continuerà ad alimentare minacce pericolose e diffuse”, sottolinea David Warburton, senior threat evangelist degli F5 Labs.
Valentina Bernocco
IDENTITÀ DIGITALE, COME DIFENDERLA?
Il sistema delle password non è il più sicuro, ma anche la biometria ha dei limiti. Ne parliamo con Antonio Lioy, professore ordinario di cybersecurity del Politecnico di Torino.
Diremo addio a user ID e password, sostituendole con metodi di autenticazione biometrica come la lettura dell’impronta digitale o il riconoscimento facciale? Se ne discute da anni, dato il rischio che le credenziali vengano rubate con attacchi di phishing o hackeraggi. Non mancano esempi di aziende che hanno intrapreso il percorso della biometria, come Apple (con il Touch ID e il FaceID dell’iPhone) e Fujitsu (con i suoi computer con incorporati scanner per la lettura del tracciato venoso del palmo della mano). Le credenziali alfanumeriche sono però ancora il sistema di autenticazione più usato nel quotidiano, nel Web e sui telefoni. A che punto siamo, e che cosa ci riserva il futuro? Ne abbiamo discusso con Antonio Lioy, professore ordinario di cybersecurity del Politecnico di Torino.
Qual è il suo punto di vista sulle debolezze dell’autenticazione classica? Nonostante siano decenni che si avvisino tutti della debolezza delle password in uso, molti continuano a sottovalutare il problema e continuano a usarle in modo poco sicuro anche per accedere a servizi che richiederebbero molta più attenzione. Ora è stato fatto un grosso passo in avanti in Europa richiedendo il doppio fattore di autenticazione per tutte le transazioni finanziarie e per tutti gli acquisti con carta di credito, anche sui diversi siti di e-commerce (con la cosiddetta Sca, Strong Customer Authentication). Eppure, anche questo passaggio è stato criticato: ho letto articoli allarmistici secondo cui questi meccanismi avrebbero potuto portare a un calo dell’e-commerce. Dobbiamo però fare delle scelte e puntare con decisione a educare le persone.
La PSD2, la direttiva europea sui servizi di pagamento, prevede per tutti i retailer europei attivi su Internet l’obbligo di introdurre un’autenticazione a due fattori. Ma è una misura sufficiente? Sicuramente permette di rafforzare la sicurezza nei pagamenti, anche se rimane il rischio: se invece di collegarci al sito italiano scegliamo il sito statunitense, lì non c’è questo controllo. Per i consumatori si tratta solo di piccole complicazioni in più, in sostanza un buon prezzo da pagare per una maggiore sicurezza. Quello che invece servirebbe per migliorare ancora di più la sicurezza potrebbe essere un’autenticazione risk based e context based, ossia un meccanismo per adattare il livello di sicurezza al singolo caso, sulla base dell’importanza della transazione o della modalità in cui avviene. Se ad esempio una persona accede con un indirizzo IP e un dispositivo mai utilizzati prima, o effettua un acquisto non usuale, si può pensare a un controllo in più, a una tripla autenticazione. Ma tenere conto sia del fattore di rischio sia del contesto in cui avviene la transazione è molto più complicato, per cui al momento si preferisce estendere il secondo fattore in tutti i casi.
Ad oggi questa autenticazione risk e context based avviene già? Presso il Politecnico di Torino abbiamo lavorato su questi aspetti per vari progetti in ambito europeo: si tratta di una soluzione utile nell’adattare il livello di complessità al livello di rischio e al valore della transazioni, quindi per aspetti finanziari importanti sicuramente già oggi avviene. Alcuni meccanismi di questo tipo sono anche utilizzati da anni per le carte di credito anche se ancora non in modo così generalizzato, legato più ad anomalie che non a valutazioni di contesto.
Come vede l’uso della biometria? I sistemi biometrici, oltre al problema di non essere standardizzati, sono utilizzabili solo localmente, a livello di singolo device, ad esempio per sbloccare il cellulare o il Pc. Ma poi per funzionare in rete richiedono altri meccanismi. Una tecnica di autenticazione che invece è decisamente più forte, e potrebbe essere una delle chiavi del futuro, è il sistema Fido che sta prendendo ora piede negli Stati Uniti. In sostituzione di userID e password, utilizza chiavi asimmetriche per l’autenticazione ed è attivabile con smartphone, o come software installato su Pc o come hardware con chiavette apposite. È un sistema estremamente forte, che rispetta l’anonimato e la non linkability, il tracciamento delle persone. Ma ritengo che spesso si scelga di non adottare queste soluzioni proprio perché lo scopo è quello di tracciarci, di conoscere per ogni individuo abitudini di acquisto e siti visitati.
Con lo smart working come sono cambiate le problematiche di sicurezza? Oggi c’è un rischio altissimo lavorando da casa, legato al fatto che le persone utilizzano i propri dispositivi personali e mentre lavorano navigano su vari siti. Quindi, da una parte possono infettare il device, mentre contemporaneamente sono attivi su cloud aziendale. Un’autenticazione debole su un sito di ecommerce può permettere quindi a un malware di attaccare un Pc e bypassare anche l’autenticazione forte verso altri ambienti. Servirebbe invece mettere completamente in sicurezza la postazione di lavoro, e non guardare soltanto al sistema di autenticazione forte.
A proposito dell’Italia, non si può non citare il successo di Spid, che da marzo 2020 a oggi è passato da 6 a quasi 13 milioni di utenti. Come si potrebbe migliorare questo sistema? Alcuni difetti di Spid sono stati visti da tutti, ad esempio, con il “click day” si è notato che i sistemi non erano dimensionati per numeri elevati di accessi. Si tratta però di un problema di giovinezza che nel frattempo dovrebbe essere stato risolto, sia per i server finali della Pubblica Amministrazione sia per i sistemi Spid stessi. Una cosa sicuramente molto positiva è che il livello di sicurezza di Spid è migliore di quello di tanti altri metodi. Va ricordato, infatti, che Spid non è solo un sistema di autenticazione quanto piuttosto un sistema di identità, ossia c’è la certezza che la persona che si autentica sia proprio lei, una sicurezza in più garantita dallo stesso Stato italiano. Diventa molto più difficile organizzare truffe o sostituzioni di persona se si usa Spid. È quindi molto utile sia per l’autenticazione più forte sia per la maggiore certezza sui dati personali associati a quelle credenziali di autenticazione, quindi sulla validità legale della transazione abilitata. E.V.
