Mi rimetto seriamente a studiare per OSCP. Purtroppo c’è questa cosa delle prime lezioni introduttive che per me sono uno scoglio per un motivo stupido… sono proprio le basi e dopo qualche decina d’anni un po’ di cose le impari. Le vivo come un ripassone quindi e devo ammettere che sono un po’ noiose.
Ho provato a trarre qualcosa di buono da queste sessioni: sto raccogliendo gli appunti (molto leggeri) sulla mia repo di GitHub. Con oggi ho chiuso i primi tre capitoli della dispensa “Penetration Testing with Kali Linux”, qui trovate le mie note.
Una notizia di oggi, segnalatami dal sempre attentissimo Nicola Del Ben, mi porta a riflettere ancora una volta sul ruolo delle assicurazioni come strumento per la gestione del rischio cyber. Negli ultimi anni ho visto un’evoluzione di approccio e di proposta passando da sterili questionari a veri e propri assessment in grado di dare una buona stima dei fattori di rischio in ambito sicurezza delle informazioni.
Non è questa la sede per parlare dell’efficacia del modello, anche perché servirebbe un dibattito con qualche decina di esperti in più settori. Il tema che porto all’attenzione è relativo alle parole di Mario Greco, AD di Zurich, che ritiene si stia andando verso uno scenario dove il rischio cyber non sarà assicurabile.
Pone inoltre l’attenzione su un’altra questione, ovvero sulla difficoltà di fare previsioni sulle conseguenze di un attacco, soprattutto in situazioni complesse che toccano servizi infrastrutturali o dati privati dei cittadini. Come discusso in molte occasioni anche con Andrea Dainese, il livello di pervasività tecnologica è così elevato da rendere effettivamente difficile fare previsioni su ciò che potrebbe accadere se venisse compromesso un sistema fondamentale per un’azienda, un’organizzazione o uno Stato.
Abbiamo delegato molto alla tecnologia e il concetto di security by design non è ancora permeato nella cultura di molte aziende produttrici, tanto meno nelle aziende utilizzatrici. Troppo spesso acquisiamo tecnologia che non abbiamo compreso, in alcuni casi anche il partner che ci sta proponendo una certa tecnologia non ne ha una completa padronanza. In altre parole stiamo costruendo sovrastruttura tecnologica che non governiamo ed è ovvio non riuscire a prevedere le conseguenze di un eventuale incident.
Gestire questa complessità richiede consapevolezza, la consapevolezza la otterremo a seguito di un percorso culturale fatto di studio, acquisizione di competenze, acquisizione di esperienze. Dobbiamo entrare nell’ordine di idee che la sicurezza informatica non si “compra” in senso stretto. E’ possibile comprare dei supporti (la tecnologia) e dei facilitatori (consulenti e partner esperti di sicurezza informatica).
Mia riflessione: lo strumento assicurativo, per quanto utile, non è la risposta alla prevenzione. Ha aiutato e può aiutare ad assorbile parte del rischio, ma il grosso del lavoro non è avere una buona polizza assicurativa (anche in virtù della previsione di Greco).
La gestione del rischio deve diventare un tema di strategia per aziende ed organizzazioni, non può restare una task list da dispacciare a diversi dipartimenti. Serve un filo conduttore a livello aziendale, una visione comune che tenga conto di cosa sia la cyber security e che utilizzi i mezzi a disposizione (tecnologia, competenze, assicurazioni, ecc.) come strumenti utili allo scopo e non come obiettivi.
La domanda che più frequentemente mi viene posta è: “quando trovi il tempo di studiare?”. Sono ragionevolmente convinto che sia lo stesso per molti colleghi del vasto mondo info sec. E’ un dato di fatto che nella maggior parte dei contesti lavorativi buona parte del tempo è dedicato alla prestazione ed una piccola parte all’allenamento. E’ evidente che chi riesce a bilanciare opportunamente queste due indiscutibili esigenze tendenzialmente si trova ad avere team più preparati e con una certa tendenza alla crescita.
Il libro è “Hacking, The art of exploitation”
Ora è anche vero che trovare il giusto compromesso non è sempre facile e molto dipende dal contesto in cui si opera. Aggiungo che molto dipende anche da cosa noi volgiamo per noi stessi: esistono temi che personalmente mi affascinano molto e che vorrei approfondire ma che oggi sarebbero poco applicabili nel contesto lavorativo. Non tutti lavoriamo in un contesto R&D ed è normale che nello spazio degli slot operativi non ci sia modo di studiare tutto quello che vorremmo studiare. Io in particolare passere decine di ore ad approfondire e sperimentare, potrei fare solo quello senza mai stancarmi ma obiettivamente non è fattibile se non in contesti specifici.
Personalmente faccio parte di quella enorme schiera di appassionati che, oltre a cercare di dedicare quello spazio operativo all’allenamento, dedica spazi personali allo studio. Il motivo principale è che mi piace, sono appassionato di scienza e tecnologia e dedico il mio tempo libero a leggere ed approfondire diversi ambiti, dall’astronomia alla fisica, dalla cyber sec. alla programmazione. Il secondo motivo, non meno importante, è relativo ai miei obiettivi personali: mi piace il lavoro che ho scelto, mi piace confrontarmi con gli altri colleghi, mi piace poter condividere ciò che imparo tanto quanto mi piace imparare dagli altri. Tutto questo mi spinge a studiare.
E arriviamo alla domanda: quando? Ogni volta che posso 🙂 Nel tempo ho creato una mia routine, dedico alcune sere allo studio personale ed alla condivisione di alcuni argomenti (su questo blog trovate diversi esempi). Da qualche mese condivido in live le sessioni di laboratorio, sono di fatto mie occasioni di studio. Da oggi (18 ottobre) sarò live con la mia sessione di studio del martedì sera sul mio canale Twitch.
A questo si aggiungono le opportunità di partecipare a webinar ed eventi formativi, oltre che a corsi specifici. Sui corsi e sulle certificazioni si apre un capitolo a parte, ne parliamo un altra occasione 🙂
Qualche giorno ho tenuto la mia docenza al Master organizzato da 24Ore Business School in Cybersecurity e Data Protection. E’ la mia terza docenza in questo contesto ma questa volta siamo riusciti ad organizzare la sessione in presenza. Bisogna dirlo: è tutta un altra cosa. Sono un convinto sostenitore del lavoro da remoto e del lavoro agile e in questo contesto va anche apprezzata l’esperienza “dal vivo” laddove questa porta valore.
l’aula di sabato 8/10, sono quello con la barba
Se l’esperienza ha portato valore ai colleghi in aula lo dovranno dire loro, apprezzati i feedback di chi leggerà questo post. Ha sicuramente portato valore a me che, nel poter guardare in faccia i colleghi, ho potuto ricevere immediati feedback anche solo dagli sguardi dei presenti e, tema non banale, ho apprezzato una maggiore partecipazione.
Tutti temi scontati e ovvi? Probabilmente si, ma in un mondo in cui la soggettività sta emergendo in modo preponderante non so quanto l’ovvio, inteso come senso comune, sia veramente ovvio. Di questa riflessione pseudo-sociologica, che ho letto non mi ricordo dove, ha trovato un chiaro esempio a questa ultima sessione del Master grazie ad una domanda.
Durante la sessione si è spesso parlato di rischi percepiti in riferimento al fatto che molte aziende non conoscono come alcune minacce cyber si manifestano, situazione che porta le aziende ad ottenere una cattiva postura di sicurezza. Di questo tema ho molto parlato in passato parafrasando Sun Tzu che a tal proposito suggerisce di sviluppare una buona conoscenza del nemico per definire una buona strategia di difesa.
Mostrando alcuni elementi “base” di ciò che i threat actor osservano delle proprie potenziali vittime e di come vengono sfruttate determinate informazioni apparentemente di poco conto una domanda ricorrente è stata: “ma le aziende sono consapevoli?“. Domanda estremamente corretta visto il contesto è che punta ad un tema che è forse il vero punto di partenza di un percorso, in ambito sicurezza informatica, che abbia veramente un senso. Come è possibile che elementi che sono ovviamente – dal mio punto di vista – sfruttabili da potenziali avversari siano così poco gestiti dalle organizzazioni?
Non ci sono scorciatoie per ottenere una buona postura di sicurezza, necessariamente dobbiamo prima maturare una certa consapevolezza di ciò che dobbiamo affrontare, ognuno nel nostro campo (non esiste solo il mondo tech). Adottare soluzioni che fungono in realtà da rimedio temporaneo ad un malessere che non abbiamo compreso bene rischia di non farci raggiungere l’obiettivo. Ogni tanto qualcuno afferma che sia “meglio di niente” in riferimento all’introduzione di nuove tecnologie o servizi pensati per la sicurezza informatica. Probabilmente lo è, ma in questo paragone dovremmo cominciare ad inserire anche il peso di un falso senso di sicurezza. Le classiche situazioni da “porte blindate e finestre aperte” sono fin troppo frequenti e non rappresentano un miglioramento.
E’ corretto portale l’attenzione sulla consapevolezza, cosa che possiamo acquisire visto che siamo capaci di ragionare ed assimilare informazioni.
Questa sessione del Master ci ha dato modo di confrontarci direttamente oltre che presentare ciò che era in programma. Il confronto diretto resto, per me, uno strumento potentissimo che vorrei continuare ad incentivare. In questo momento chi vuole confrontarsi con me e con gli altri attori di questo mondo mi trova sempre disponibile su LinkedIn ed ogni venerdì sera in una Live dedicata su Twitch. Vi aspetto.
Il 5 ottobre ho presenziato al GDPR day organizzato dal super Federico Lagni a Bologna. Quest’anno il mio team ha partecipato con una sponsorizzazione all’evento che ha l’obiettivo, che condivido pienamente, di formare oltre che informare.
Per 25 minuti abbiamo raccontato uno spaccato di realtà di come operano i threat actor (anche io uso un po’ di parole fighe ogni tanto) illustrando le fasi di un tipico attacco, tratto da esperienze sul campo, per analizzarlo assieme e comprenderne i meccanismi. L’obiettivo è, come spesso racconto, conoscere meglio il nostro “nemico” e, di conseguenza, comprendere come difenderci in modo efficace.
In questo post, che probabilmente sarà un po’ lungo, voglio raccontarvi quello di cui abbiamo parlato. Ovviamente leggerlo su queste pagine non è uguale ad ascoltarlo durante la sessione con la possibilità di interagire e discuterne assieme, ma confido in future occasioni alle prossime edizioni di questo o altri eventi.
Fasi di un attacco
Spesso si ha l’idea che un attacco sia una singola e deflagrante azione, un singolo colpo. Ciò che avviene è in realtà molto diverso sia per la quantità di attività che precedono l’azione di attacco vero e proprio che per i tempi che queste attività richiedono. Gli addetti ai lavori parlano infatti di “fasi” di un attacco informatico. Esistono diversi modelli che sintetizzano le fasi di un attacco di cui nell’immagine che segue ne riporto uno relativamente recente in riferimento ad una specifica tipologia di attacco: i ransomware.
Più in generale l’attacker inizia la sua attività da una fase ricognitiva in cui raccoglie informazioni sul target. Ognuno di noi, sia come individui che come membri di una organizzazione, semina diverse tracce ed informazioni in rete sul proprio conto: contatti, abitudini, preferenze, qualifiche. Questo patrimonio di dati viene raccolto ed analizzato al fine di costruire un modello del target da studiare; ovviamente vi è una proporzionalità tra l’accuratezza della profilazione e la quantità di informazioni disponibili.
Alcune informazioni possono essere reperite grazie ad azioni più invasive come una campagna di phishing mirata e studiata appositamente per entrare in possesso di una credenziale valida. Altre potrebbero non richiedere azioni dirette verso il target: in alcuni casi l’attacker potrebbe accedere o acquistare informazioni o dati relativi a precedenti azioni offensive verso l’organizzazione o ai datti di uno dei dipendenti.
Facciamo un paio di esempi pratici per comprendere meglio che dati possono essere utilizzati contro di noi ed in che modo vengono reperiti.
Banking scam
Un’azienda si rende conto di aver subito una truffa bancaria: un cliente afferma di aver provveduto ad un pagamento a seguito di una email da parte di uno dei commerciali dell’azienda ma tale pagamento non è mai giunto a destinazione.
Dal DFIR report (Digital Forensics and Incident Response) emergono alcune evidenze:
l’email inviata al cliente risulta essere autentica
viene identificato un accesso non autorizzato all’account email del commerciale
la password dell’email personale del commerciale è disponibile su “have I been pwned”
l’account del commerciale non dispone di MFA
Con queste informazioni certe in mano possiamo cominciare ad ipotizzare cosa sia successo.
Partiamo dalla cattiva abitudine di riutilizzare password in diversi account. Ne parlo spesso: se la credenziale è la stessa o simile per tutti gli account ovviamente siamo nella condizione in cui anche un solo breach possa avere impatto verso tutti i nostri account. Nel caso specifico la credenziale individuata dall’attacker era quella dell’account di posta elettronica personale del dipendente. E’ già un caso abbastanza eclatante, molto più frequentemente vengono sfruttati data breach di servizi anche molto banali e forse considerati di bassissimo impatto per l’utente che ne fruisce. Potrebbe essere il portale della biblioteca comunale o il sito di un piccolo esercizio dove siamo clienti occasionali. Non importa, se utilizziamo la stessa password che utilizziamo per la posta elettronica aziendale stiamo semplicemente aumentando la superficie attaccabile.
L’assenza di MFA riduce la complessità di una azione offensiva: sarebbe stato molto più complesso e probabilmente non fattibile per l’attacker accedere all’account di posta elettronica se l’organizzazione avesse implementato questo tipo di tecnologia. Da sottolineare che anche in questo caso vi sono metodi di bypass che fanno conto sull’ingenuità e sulla pigrizia degli utenti (parleremo in un altra occasione degli attacchi alla MFA).
Per chi è del mestiere la situazione è già abbastanza chiara. L’attacker ha trovato una credenziale valida e si è assicurato un accesso al servizio di posta da cui ha potuto comodamente consultare i contenuti, gli scambi, i contatti della vittima. Una volta contestualizzato il tutto è stato scelto un cliente con cui la vittima abitualmente dialogava per inviare una email di cambio coordinate bancaria.
Nella sua semplicità l’attacco è estremamente efficace e ci si rende conto di ciò che è avvenuto a cose ormai fatte. Ragionare sui modelli utilizzati dagli attacker per eseguire azioni offensive ci consente di individuare dove l’organizzazione deve migliorare:
c’è sicuramente un tema di awareness da considerare visto l’utilizzo un po’ ingenuo delle credenziali da parte della vittima
probabilmente qualche presidio di sicurezza in più per i servizi IT non sarebbe male, abbiamo parlato di MFA ma anche un controllo sulle tipologie di accesso aiuterebbe
è evidente che non ci sono o non vengono rispettare procedure di verifica delle comunicazioni laddove vi è uno scambio di informazioni sensibili o che toccano processi CORE come la fatturazione e la gestione del credito
Il ragionamento può essere esteso alle metodologie di assessment utili ad eseguire una qualifica dei punti deboli di un’organizzazione al fine di costruire un piano di rimedio coerente con le effettive esposizioni che il target presenta agli occhi di un attacker. L’idea è quindi di spostare il focus, il più velocemente possibile, sulle azioni da compiere per ridurre la superficie attaccabile laddove l’esposizione corrisponde ad una opportunità reale di attacco con relativo impatto sul business.
Ancora una volta prima degli strumenti viene la cultura e la consapevolezza.
Condivido le slide presentate anche se, come sempre, hanno più senso se commentate. Se l’argomento è di interesse (attendo feedback) valuto la registrazione di una presentazione del contenuto per intero. Qui allego le slide:
E’ un tema su cui continuerò a scrivere e che probabilmente porterà a dovermi ripetere spesso, ma è necessario che il fenomeno venga compreso a livello di funzionamento e strategia prima di affrontare i temi tattici e tecnici. Inoltre è molto più facile per le figure dirigenziali comprendere i concetti strategici rispetto alle tematiche che coinvolgono l’ambito tecnologico… validissimo motivo per approfondire.
Per prima cosa dobbiamo comprendere lo scenario in cui stiamo operando e vivendo. Il luogo comune, del quale ancora fatichiamo a liberarci, vuole che “l’hacker cattivo” (espressione di per se impropria) sia un ragazzotto in felpa e cappuccio che dal suo scantinato riesce a tenere in scatto aziende, enti e persino governi.
Questo pensiero è il refuso di una visione distorta ed estremamente obsoleta del mondo digitale sul quale media e cinema hanno giocato per anni disinformando il pubblico e spesso anche gli addetti ai lavori. Se è vero che c’è stato un periodo in cui diversi appassionati di settore giocavano in rete facendo talvolta qualche danno è altrettanto vero che oggi il mondo del crimine informatico è composto da figure estremamente diverse ed è governato dal logiche di puro business.
Abbiamo quindi a che fare con figure mosse dal lucro ingaggiate o facenti parte di organizzazioni criminali, l’obiettivo degli attacchi informatici è principalmente quello di ricavarne un profitto diretto (con meccaniche di estorsione) o indiretto grazie all’utilizzo di informazioni trafugate che possano danneggiare il target.
E’ inoltre interessante analizzare le revenues di questo modello di business per comprendere su quali fronti il crimine informatico è più attivo. Una stima proposta tra il 2019 ed il 2020 da più studi tra cui Atlas parlava di un 1.500 miliardi di USD l’anno… quasi il PIL di un paese industrializzato.
Ancor più interessante è la ripartizione di questo business. Una considerevole fetta riguarda la compravendita illegale di beni online, ambito di analisi interessante ma che difficilmente va a danneggiare direttamente il business delle aziende. Il resto della torta è sostanzialmente diviso per tre parti: compravendita di dati, compravendita di informazioni riservate e caas/ransomware.
Questa fetta del “mercato” del crimine informatico si riferisce quindi a tutte quelle tipologie di attacco che hanno come obiettivo la compromissione ed il furto di dati o il danneggiamento di sistemi (quelli informatici quanto quelli industriali: in entrambi i casi è possibile chiedere un riscatto). E’ inoltre interessante constatare come gli attacchi che utilizzano la tecnica forse più nota e più discussa — i ransomware — rappresentino una relativamente piccola fetta del totale: “solo” 1 miliardo di USD l’anno. Eppure è un dato di fatto che una delle prime preoccupazioni degli interlocutori con cui abbiamo a che fare sono i ransomware. Evidentemente il fenomeno del crimine informatico è solo in minima parte percepito da chi è chiamato a gestire il tema, cosa che porta inevitabilmente ad esporsi a rischi di cui non si conosce la natura.
Viviamo in un contesto in cui chi attacca è spesso “ingaggiato” da gruppi criminali e lavora dietro compenso al fine di colpire target da cui poi trarre un facile profitto e i dati ci dicono che “loro” di cui i criminali informatici vanno a caccia sono le informazioni.
E chiudo con una riflessione sul modello opportunista (nel senso proprio del termine) che si osserva: è evidente che da un punto di vista economico l’attacco deve costare meno di quanto si ritiene di poter ricavare, altrimenti il modello non sta in piedi. Il target non è quindi selezionato a caso ma viene accuratamente scelto sulla base di parametri anche abbastanza ovvi come la capacità di sostenere un riscatto e la possibilità reale di poter compromettere l’operatività del target con l’attacco così da indurlo al compromesso del pagamento.
La diretta conseguenza di questo ragionamento è che le aziende che espongono superfici attaccabili particolarmente “morbide” — identificabili con specifiche tecniche di analisi — vengono selezionate come appetibili per il mercato del crimine informatico.
Uno dei nostri obiettivi, tra gli altri, è quello di non essere catalogabili come appetibili.
Da qualche giorno ho iniziato a riflettere su un tema etico che interessa tutto il mondo della ricerca scientifica in — credo — tutti i campi: la possibilità che il proprio lavoro sia trasformato in un’arma.
Siamo tutti consapevoli del fatto che la ricerca nel campo della sicurezza offensiva sviluppa competenze, tecniche e strumenti che possono essere / sono utilizzati anche dal mondo del crimine organizzato. E’ un tema con cui conviviamo da sempre e chi opera in questo settore sa quanto siano necessari questi strumenti per supportare le organizzazioni nello sviluppo di una strategia di difesa efficacie.
La riflessione che vorrei proporre è un’altra e va in una direzione assolutamente legale, mi riferisco all’evidente crescente esigenza delle organizzazioni governatore e militari di ricorrere all’impiego di “armi cyber” per perseguire i propri scopi istituzionali. E’ un capitolo immenso di una storia che è appena agli inizi, ma non ha senso ignorarla.
Ragionando mi sono posto mille domande di cui di seguito alcune:
Le organizzazioni interessate a sviluppare delle strategia di difesa che comprendano l’uso di armi cyber si attrezzeranno in autonomia o valuteranno collaborazioni con aziende e consulenti esterni? (preso atto del fatto che la materia è ad oggi padroneggiata per lo più da realtà private)
Si paleserà un mercato “aperto” di armi cyber così come oggi esiste un mercato che vede protagonisti grandi gruppi industriali che producono armi “tradizionali”?
Le competenze e l’addestramento dei “soldati” e degli “operatori” chiamati ad utilizzare queste armi da chi sarà portato avanti? (tenendo in considerazione le verticalità dei temi e delle relative figura professionali)
Lungi da me fare la morale, non è il mio ruolo e non è mio interesse, ma un invito a riflettere mi sembra quanto meno opportuno. Tutti i ricercatori ed i professionisti che operano nel campo della sicurezza informatica sono potenzialmente interessati in prima persona, meglio avere le idee chiare per evitare di fare scelte azzardate, qualsiasi sia la direzione che si desidera prendere.
Negli anni ho approcciato il tema della condivisione di contenuti in molte forme e spesso senza una particolare struttura ne una precisa strategia… tanta volontà e un po’ di tempo investito. Mi rendo conto – e leggo da tutte le parti – che divulgare un contenuto richiede anche altro e, dopo tanti esperimenti, provo a strutturare i miei contenuti ed i canali di comunicazione.
Ho sempre utilizzato la scrittura in un mondo in cui si tende a non aver tempo per leggere. Continuerò a scrivere (mi piace) ma affiancherò al testo dei contenuti “raccontanti” tramite altre piattaforme social che, proprio in queste ore, sto studiando per comprendere quale sia quella più appropriata.
Le motivazioni alla base di questo progetto sono assolutamente egoiste: per passione e per professione ho l’esigenza di confrontarmi con persone che comprendano i temi di cui parlo e non è scontato che tutti abbiano il tempo o l’opportunità di documentarsi a fondo su temi complessi talvolta fuori dal proprio contesto. Spero che il mio contributo consenta a professionisti e neofiti di comprendere meglio il complesso mondo digitale analizzato dal punto di vista della sicurezza informatica e spero che questo porti ad un confronto di valore per tutti gli interlocutori.
Nelle ultime settimane molti mi hanno chiesto opinioni in relazione al sistema operativo che si dovrà adottare ora che il progetto CentOS si è avviato alla conclusione. Sono molte le realtà che utilizzano la distribuzione come base per le proprie piattaforme ed io stesso, nonostante sia storicamente legato a Debian, l’ho utilizzato molto come sistema general purpose. Devo dire che trovo interessante lo scompiglio che si è generato.
Lungi da me dare suggerimenti su cosa scegliere visto che la scelta deve essere necessariamente compiuta in relazione a delle esigenze specifiche che solo voi potete identificare, mi limito a condividere qualche riflessione… e la prima cosa da dire è estremamente banale: siete particolarmente legati a CentOS, avete investito in competenze, infrastruttura, tempo… amici miei, fatevi due conti e valutate Red Hat. Sul sistema operativo non si può dire nulla (anche perché sarebbe poco sensato dopo anni di utilizzo di CentOS) e anche la vision degli amici con il cappello rosso non suona male, a partire dai temi legati all’automazione.
Se siete in vena di spendere qualche quattrino in licenze non si può non citare SUSE Linux Enterprise Server (spesso abbreviata in SLES, acronimo che non rende assolutamente giustizia). Sullo stesso stile ma senza gli oneri economici si potrebbe considerare Open SUSE. In entrambi i casi si tratta di distribuzioni mature con una lunga storia alle spalle, non sarebbe quindi una scelta così azzardata… anzi.
Per i puristi, neanche a dirlo, c’è la nostra amata Debian… ma non raccontiamocela troppo: la maggior parte, soprattutto chi non l’ha lungamente utilizzata, si stancherà rapidamente del prezzo da pagare per un sistema stabile (pacchetti non sempre recenti) e scivolerà rapidamente verso Ubuntu Server. La distribuzione di Canonical non è affatto male ma non la considererei, nel merito, un’alternativa a Debian, paradossalmente potrebbe essere più vicina alle esigenze di chi utilizzava CentOS rispetto alle “rigidità” dei figli di Debian (ammettiamolo, siamo un po’ rigidi anche se con ragion d’esserlo visto che lo scopo è la stabilità e la sicurezza).
Provando ad uscire un po’ da questi ragionamenti, che mi aspetto faranno più o meno tutti, ha sicuramente senso fare qualche prova con distribuzioni meno usate ma che potrebbero rispondere alle nostre esigenze. Quelle che più si stanno facendo sentire sono:
Oracle Linux
Arch Linux
Slackware (a cui sono particolarmente affezionato)
Farsi un’idea su questi ambienti potrebbe aiutarci a comprendere meglio qual’è la distribuzione che meglio ci aiuterà a gestire l’epoca post-CentOS.
C’è una tesi di base che dovrebbe diventare il nostro modus operandi generale nella gestione dei problemi, qualunque problema, a prescindere dalla natura o dal contesto.
La prima cosa che dobbiamo imparare è riconoscere il problema. È banale: se un fatto o una evidenza non viene riconosciuta come un potenziale problema è ovvio che nessuno valuterà delle azioni atte alla sua gestione e risoluzione. L’impatto dell’incapacità di gestire un problema è doverne poi gestire gli effetti, ovvero gli “incident” ad esso correlati; si rischia così di entrate in un loop estremamente inefficiente di break/fix che non aiuterà l’organizzazione, anzi, la ostacolerà.
L’inefficienza è un costo che grava sulle nostre organizzazioni e, in un contesto di cyber (in)security, è anche un rischio in quanto l’impatto di un security incident è potenzialmente disastroso. Se applichiamo la logica break/fix — aggiusto quando si rompe — facciamo poca strada in quanto la gestione di eventi come un data breach o un attacco ransomware ha risvolti assolutamente imprevedibili… e anche diventassimo bravissimi a prevedere i costi di gestione di alcuni specifici attacchi (tutti è impensabile) quanti realisticamente potremmo gestirne? Quanti data breach siamo in grado di sostenere?
L’approccio al problema fa tutta la differenza, la cyber security non può essere approcciata in modalità break/fix ma va gestita strategicamente per trasformare quello che apparentemente è un costo in un investimento atto ad aumentare la qualità della nostra organizzazione, del nostro lavoro e del nostro “prodotto”.
L’approccio
Partiamo dal prendere in considerazione l’approccio che ha il mondo del cyber crime: questo ci aiuta a mettere a fuoco il problema e ci da qualche spunto per capire come gestirlo in modo efficiente oltre che efficace. I criminali informatici sono molto metodici ed il modello in uso è affine a quello che utilizzeremmo noi nel progettare una nuova idea di business.
Probabilmente ragioneremmo sul mercato che ci interessa approcciare, cercheremmo di identificare il nostro prototipo di cliente/target, valuteremmo una strategia di approccio per entrare in contatto con il nostro target. Un volta stabilito l’engagement ci preoccuperemmo del metodo di lavoro e degli strumenti necessari.
Ripercorriamo questo modello con un esempio molto pratico e molto realistico di come un’organizzazione criminale approccerebbe un “business digitale”.
Il mercato Esistono diversi ambiti in cui il business del cyber crime può crescere. Una macro-suddivisione che spesso propongo, non completa ma molto pragmatica, è riducibile a due grandi “mercati”: le informazioni e la produzione (per lo più in ambito industriale ma vale anche per i servizi). Quindi da una parte abbiamo le aziende e gli enti che gestiscono informazioni, più o meno riservate e sempre più strategiche, dall’altra parte abbiamo le aziende che producono, che ideano, ingegnerizzano e creano qualcosa di nuovo che viene immesso sul mercato “ordinario”.
Dal punto di vista dell’attacker la valutazione del mercato è un tema che richiede ponderazione in quanto i modelli che dovrà applicare saranno estremamente vincolati alla tipologia di mercato su cui si muoverà.
Il target Definito l’ambito viene qualificato il target: aziende di produzione ve ne sono di molti tipi e di molte dimensioni e la stessa cosa si può dire delle aziende che in qualche misura gestiscono dati sensibili ed informazioni strategiche. La qualifica del target consente di ragionare sulle strategie che possono essere utilizzate per poi definire un modello che tenga conto del costo di realizzazione dell’attacco e di conseguenza della quantità di danaro che si intende incassare dall’azione criminosa.
È ovvio che il modello funziona nel momento in cui il costo sostenuto per gli attacchi sia abbondantemente coperto dalle somme di denaro che si conta di raccogliere. Questo porta l’attacker a ragionare sull’efficienza ed a ricercare modelli di attacco relativamente poco costosi rispetto all’ipotetico incasso.
La ricerca dell’efficienza ha portato allo scenario attuale in cui gli attacchi informatici sono sempre più composti da una miscela di azioni che comportano l’uso (o l’abuso per meglio dire) della tecnologia quanto l’uso dell’inganno (Social Engineering).
Possiamo speculare all’infinito su quale target sia più appetibile, è quindi saggio valutare lo storico per farci un idea e scoprire probabilmente molte conferme in relazione alle riflessioni che mi auguro questo articolo abbia scatenato.
Industria, educazione e sanità (in senso ampio) attraggono da soli poco più del 50% degli attacchi. L’orientamento degli attacchi ci da delle ottime indicazioni circa il modello che il mondo del cyber crime sta implementando e questo ci porta direttamente alla prossima considerazione.
La strategia Ovviamente vi sono molte strategie che si possono applicare in un contesto di attacco ma ancora una volta è sufficiente osservare i trend e, purtroppo, leggere la cronaca per giungere a delle conclusioni molto realistiche. Nel caso degli ambienti di produzione o di erogazione di un servizio talvolta anche critico la strategia è quella di generare un’interruzione del servizio. Per un’azienda di produzione può voler dire l’incapacità di mantenere attivi i propri impianti o la propria rete logistica, per il mondo ospedaliero può voler dire il caos organizzativo o, in casi estremi, il mettere a rischio vite umane. La strategia è quindi mettere alle strette la propria vittima, colpire in modo tale da non lasciare molte scelte se non quella di sottostare alle condizioni di riscatto, con degli “incentivi” in più: la minaccia di divulgare informazioni sensibili in caso di non collaborazione.
Il metodo Passiamo dalla strategia alla tattica, ovvero al piano d’azione che viene messo in atto al fine di mettere alle strette il proprio target. Ci sono molti modi per colpire un’azienda individuata come potenziale vittima e tipicamente, ancora una volta, la valutazione è opportunistica. È ovvio che è più efficiente colpire là dove l’impatto sarebbe più elevato e nel modo meno “faticoso” possibile, l’analisi si sposta quindi sul modello di business dell’azienda target per valutare quale azione porrebbe essere quella più impattante.
Per un’azienda che eroga servizi online potrebbe essere particolarmente critico il portale con cui gestisce le transazioni, per un’azienda di produzione è sicuramente vitale mantenere attivi gli impianti. Nella quasi totalità dei casi il funzionamento delle aziende è saldamente legato al funzionamento dei sistemi IT, non solo per ciò che riguarda il complesso tema della gestione delle informazioni e delle comunicazioni ma sempre di più anche per la gestione e l’utilizzo degli impianti di produzione.
L’automazione industriale rappresentante un evidente vantaggio competitivo: grazie alla possibilità di far dialogare il mondo OT con il mondo IT è stato possibile portare efficienza in contesti che in passato avrebbe richiesto impianti molto complessi. Il “nuovo” scenario espande enormemente la superficie attaccabile di questa tipologia di target e non passa inosservato il fatto che sistemi sviluppati in contesti assolutamente isolati si trovano oggi ad essere interconnetti ad altri sistemi e ad altre reti. La miscela è estremamente infiammabile: molte tecnologie non sono state pensate per lavorare in contesti estremamente interconnessi come quelli delle reti IT e, va da se, non sempre sono stati progettati tenendo in considerazione temi come la sicurezza informatica, semplicemente perché prima non vi era la necessità.
Lo strumento In gergo il “vettore” d’attacco, il mezzo ultimo attraverso il quale l’attacker colpisce in base alla tattica scelta: si può trattare di un crypto malware, di una email a fini truffaldini (scam) o dello sfruttamento di una vulnerabilità per ottenere un accesso abusivo ai sistemi della vittima. Poco importa, stiamo parlando di uno strumento al servizio di uno scopo, dell’atto ultimo di un percorso ben più lungo ed articolato.
Un esercizio di mindset: il perché?
Il paradosso sta nel fatto che quando si parla di cyber security troppo spesso ci si riferisce agli strumenti, alla tecnologia, alle soluzioni, ovvero il tema viene ridotto ad una specifica parte di un ben più vasto argomento. Raramente si parla di metodo o di strategia, ancor meno si parla di motivazione ed approccio.
Limitando il focus sugli strumenti e sulla tecnologia ci troviamo inevitabilmente a discutere di costi: costi per sistemi di protezione, costi per adeguamenti a procedure e regolamentazioni, costi per servizi di assessment e consulenze. È ovvio che gli strumenti sono necessari ma non possono essere di per sé il fine. È altrettanto ovvio che se restiamo ad argomentare sul costo dello strumento sarà molto complesso elaborare un piano.
Questo è il salto da fare: dobbiamo fare un piano, dobbiamo capire dove e come investire risorse — economiche e cerebrali — per sviluppare un piano che ci permetta di generare una cultura della sicurezza informatica nella nostra organizzazione e che questa cultura diventi un percorso qualitativo che sia di impatto sul nostro modo di lavorare e quindi sul prodotto finale.
Aumentare la qualità del nostro lavoro e del nostro prodotto è ciò che ci distinguerà quando ci presenteremo sul mercato: salvo non essere monopolisti tutti dobbiamo fare i conti con la concorrenza e in un mondo reso complesso dalle minacce informatiche essere l’organizzazione che lavora con principi di sicurezza by design è indubbiamente un bel punto a favore per distinguersi. Da costo per arginare situazioni spiacevoli a vantaggio competitivo.
Ho investito in un percorso che ha portato la mia azienda ed il mio prodotto/servizio ad essere più resiliente, se non anti fragile, alle minacce informatiche per restituire maggior valore al mio cliente.
Questa deve essere la spinta motivazionale, competere sul valore del prodotto o servizio che proponiamo su un terreno relativamente vergine. Tutto il resto, ciò che ne consegue, sono graditissimi effetti collaterali che rappresentano parte del ritorno d’investimento: riduzione del rischio cyber, affidabilità dell’infrastruttura e degli impianti, migliore posizionamento del brand, specifiche qualifiche in ambito gestione del rischio sempre più richieste dai clienti come da interlocutori come chi opera nella sfera assicurativa e finanziaria. Frutti di un processo virtuoso che, per esser tale, va intrapreso nel modo corretto e deve diventare un percorso strutturato per l’organizzazione. Per ovvie ragioni non è pensabile di operare con budget e tempo infinito, è necessario che qualcuno venga designato a valutare una strategia, a tracciare una via.
Come lo facciamo?
Il perché vada fatto è chiaro, non è solo un tema di rischio è un tema di vantaggio competitivo. Questa è la motivazione. Un metodo per costruire questo percorso può essere quello che dobbiamo imparare per gestire in generale i problemi — non gli incident, i problemi — e come vi avranno detto in tutti i corsi di management degli ultimi 25 anni i problemi sono… lo sapete già.
Per prima cosa dobbiamo comprendere il problema, in questo caso la minaccia. A cosa siamo esposti esattamente? La tendenza è quella di analizzare gli strumenti: sappiamo che ci sono i ransomware e quindi cerchiamo di arginare con strumenti di protezione specifici, sappiamo che c’è il phishing e di conseguenza adottiamo strumenti anti-phishing… Strumenti, ma non strategie. Quante aziende hanno un piano di incident management in caso di attacco? Quante aziende misurano il proprio grado di resilienza a reali minacce informatiche eseguendo dei security test e degli assessment?
Comprendere la minaccia implica la conoscenza della minaccia stessa, non delle ipotetiche “barriere” che potremmo adottare. L’approccio che personalmente ho trovato efficiente è analizzare il target, l’organizzazione in questo caso, con gli occhi dell’attacker, che analizza, valuta i punti deboli tecnici ma soprattutto umani e procedurali e sulla base di questi costruisce un modello di attacco efficacie perché va a colpire la dove siamo deboli (ed è diventato il mio lavoro, il mio impegno quotidiano).
Una buona strategia di difesa deve tener conto dei modelli di attacco, non solo dei vettori ultimi (il ransomware) ma dei metodi di implementazione dell’attacco, in caso contrario il rischio è di essere colpiti la dove non abbiamo presidiato.
Una eccellente strategia di difesa tiene conto della possibilità di essere attaccati. È poco saggio, oggi, pensare di essere invulnerabili, è molto più assennato valutare situazioni critiche e costruire dei piani di contingenza. Sapere cosa fare nel momento del bisogno fa la differenza tra il ripartire in 24 ore e non ripartire. Ancora una volta la strategia di difesa non possiamo inventarcela, va definita tenendo conto delle peculiarità dell’organizzazione partendo dal modello di business e dai processi.
È evidente che si tratta di un percorso dove le economie vanno ponderate in relazione alle criticità, ed è proprio dalle criticità che si parte, ovvero da quei rischi, grandi o piccoli, che presentano anche un elevato impatto.
L’efficienza ed efficacia devono governare questo percorso, non la tecnologia. Sia ben chiaro la tecnologia resta lo strumento indispensabile ma è appunto uno strumento. Costruire una strategia di difesa dalle minacce cyber ci consentirà di selezionare e governare correttamente la meravigliosa tecnologia che il mercato ci presenta.
Mindset: approcciamo il problema con la mentalità corretta. Strategia: analizziamo la situazione di partenza e facciamo un piano di crescita.
Il bilancio non può che essere positivo in termini di qualità e presenza sul mercato.
Questo il tema che oggi, 12/11/2020, tratterò assieme ai relatori dell’evento “La gestione virtuosa della cyber sicurezza” al quale potete registrarvi da qui: https://tinyurl.com/yxgufyo2
Rocco Sicilia 