cyber security, update

Il fenomeno del crimine informatico

E’ un tema su cui continuerò a scrivere e che probabilmente porterà a dovermi ripetere spesso, ma è necessario che il fenomeno venga compreso a livello di funzionamento e strategia prima di affrontare i temi tattici e tecnici. Inoltre è molto più facile per le figure dirigenziali comprendere i concetti strategici rispetto alle tematiche che coinvolgono l’ambito tecnologico… validissimo motivo per approfondire.

Per prima cosa dobbiamo comprendere lo scenario in cui stiamo operando e vivendo. Il luogo comune, del quale ancora fatichiamo a liberarci, vuole che “l’hacker cattivo” (espressione di per se impropria) sia un ragazzotto in felpa e cappuccio che dal suo scantinato riesce a tenere in scatto aziende, enti e persino governi.

Questo pensiero è il refuso di una visione distorta ed estremamente obsoleta del mondo digitale sul quale media e cinema hanno giocato per anni disinformando il pubblico e spesso anche gli addetti ai lavori. Se è vero che c’è stato un periodo in cui diversi appassionati di settore giocavano in rete facendo talvolta qualche danno è altrettanto vero che oggi il mondo del crimine informatico è composto da figure estremamente diverse ed è governato dal logiche di puro business.

Abbiamo quindi a che fare con figure mosse dal lucro ingaggiate o facenti parte di organizzazioni criminali, l’obiettivo degli attacchi informatici è principalmente quello di ricavarne un profitto diretto (con meccaniche di estorsione) o indiretto grazie all’utilizzo di informazioni trafugate che possano danneggiare il target.

E’ inoltre interessante analizzare le revenues di questo modello di business per comprendere su quali fronti il crimine informatico è più attivo. Una stima proposta tra il 2019 ed il 2020 da più studi tra cui Atlas parlava di un 1.500 miliardi di USD l’anno… quasi il PIL di un paese industrializzato.

Ancor più interessante è la ripartizione di questo business. Una considerevole fetta riguarda la compravendita illegale di beni online, ambito di analisi interessante ma che difficilmente va a danneggiare direttamente il business delle aziende. Il resto della torta è sostanzialmente diviso per tre parti: compravendita di dati, compravendita di informazioni riservate e caas/ransomware.

Questa fetta del “mercato” del crimine informatico si riferisce quindi a tutte quelle tipologie di attacco che hanno come obiettivo la compromissione ed il furto di dati o il danneggiamento di sistemi (quelli informatici quanto quelli industriali: in entrambi i casi è possibile chiedere un riscatto). E’ inoltre interessante constatare come gli attacchi che utilizzano la tecnica forse più nota e più discussa — i ransomware — rappresentino una relativamente piccola fetta del totale: “solo” 1 miliardo di USD l’anno. Eppure è un dato di fatto che una delle prime preoccupazioni degli interlocutori con cui abbiamo a che fare sono i ransomware. Evidentemente il fenomeno del crimine informatico è solo in minima parte percepito da chi è chiamato a gestire il tema, cosa che porta inevitabilmente ad esporsi a rischi di cui non si conosce la natura.

Viviamo in un contesto in cui chi attacca è spesso “ingaggiato” da gruppi criminali e lavora dietro compenso al fine di colpire target da cui poi trarre un facile profitto e i dati ci dicono che “loro” di cui i criminali informatici vanno a caccia sono le informazioni.

E chiudo con una riflessione sul modello opportunista (nel senso proprio del termine) che si osserva: è evidente che da un punto di vista economico l’attacco deve costare meno di quanto si ritiene di poter ricavare, altrimenti il modello non sta in piedi. Il target non è quindi selezionato a caso ma viene accuratamente scelto sulla base di parametri anche abbastanza ovvi come la capacità di sostenere un riscatto e la possibilità reale di poter compromettere l’operatività del target con l’attacco così da indurlo al compromesso del pagamento.

La diretta conseguenza di questo ragionamento è che le aziende che espongono superfici attaccabili particolarmente “morbide” — identificabili con specifiche tecniche di analisi — vengono selezionate come appetibili per il mercato del crimine informatico.

Uno dei nostri obiettivi, tra gli altri, è quello di non essere catalogabili come appetibili.

cyber security, hacking, update

Armamenti Cibernetici

WarGames (1983)

Da qualche giorno ho iniziato a riflettere su un tema etico che interessa tutto il mondo della ricerca scientifica in — credo — tutti i campi: la possibilità che il proprio lavoro sia trasformato in un’arma.

Siamo tutti consapevoli del fatto che la ricerca nel campo della sicurezza offensiva sviluppa competenze, tecniche e strumenti che possono essere / sono utilizzati anche dal mondo del crimine organizzato. E’ un tema con cui conviviamo da sempre e chi opera in questo settore sa quanto siano necessari questi strumenti per supportare le organizzazioni nello sviluppo di una strategia di difesa efficacie.

La riflessione che vorrei proporre è un’altra e va in una direzione assolutamente legale, mi riferisco all’evidente crescente esigenza delle organizzazioni governatore e militari di ricorrere all’impiego di “armi cibernetiche” per perseguire i propri scopi istituzionali. E’ un capitolo immenso di una storia che è appena agli inizi, ma non ha senso ignorarla.

Ragionando mi sono posto mille domande di cui di seguito alcune:

  • Le organizzazioni interessate a sviluppare delle strategia di difesa che comprendano l’uso di armi cibernetiche si attrezzeranno in autonomia o valuteranno collaborazioni con aziende e consulenti esterni? (preso atto del fatto che la materia è ad oggi padroneggiata per lo più da realtà private)
  • Si paleserà un mercato “aperto” di armi cibernetiche così come oggi esiste un mercato che vede protagonisti grandi gruppi industriali che producono armi “tradizionali”?
  • Le competenze e l’addestramento dei “soldati” e degli “operatori” chiamati ad utilizzare queste armi da chi sarà portato avanti? (tenendo in considerazione le verticalità dei temi e delle relative figura professionali)

Lungi da me fare la morale, non è il mio ruolo e non è mio interesse, ma un invito a riflettere mi sembra quanto meno opportuno. Tutti i ricercatori ed i professionisti che operano nel campo della sicurezza informatica sono potenzialmente interessati in prima persona, meglio avere le idee chiare per evitare di fare scelte azzardate, qualsiasi sia la direzione che si desidera prendere.

update

Dell’esigenza di condividere e divulgare

Negli anni ho approcciato il tema della condivisione di contenuti in molte forme e spesso senza una particolare struttura ne una precisa strategia… tanta volontà e un po’ di tempo investito. Mi rendo conto – e leggo da tutte le parti – che divulgare un contenuto richiede anche altro e, dopo tanti esperimenti, provo a strutturare i miei contenuti ed i canali di comunicazione.

Ho sempre utilizzato la scrittura in un mondo in cui si tende a non aver tempo per leggere. Continuerò a scrivere (mi piace) ma affiancherò al testo dei contenuti “raccontanti” tramite altre piattaforme social che, proprio in queste ore, sto studiando per comprendere quale sia quella più appropriata.

Le motivazioni alla base di questo progetto sono assolutamente egoiste: per passione e per professione ho l’esigenza di confrontarmi con persone che comprendano i temi di cui parlo e non è scontato che tutti abbiano il tempo o l’opportunità di documentarsi a fondo su temi complessi talvolta fuori dal proprio contesto. Spero che il mio contributo consenta a professionisti e neofiti di comprendere meglio il complesso mondo digitale analizzato dal punto di vista della sicurezza informatica e spero che questo porti ad un confronto di valore per tutti gli interlocutori.

update

Fù CentOS

Nelle ultime settimane molti mi hanno chiesto opinioni in relazione al sistema operativo che si dovrà adottare ora che il progetto CentOS si è avviato alla conclusione. Sono molte le realtà che utilizzano la distribuzione come base per le proprie piattaforme ed io stesso, nonostante sia storicamente legato a Debian, l’ho utilizzato molto come sistema general purpose. Devo dire che trovo interessante lo scompiglio che si è generato.

Lungi da me dare suggerimenti su cosa scegliere visto che la scelta deve essere necessariamente compiuta in relazione a delle esigenze specifiche che solo voi potete identificare, mi limito a condividere qualche riflessione… e la prima cosa da dire è estremamente banale: siete particolarmente legati a CentOS, avete investito in competenze, infrastruttura, tempo… amici miei, fatevi due conti e valutate Red Hat. Sul sistema operativo non si può dire nulla (anche perché sarebbe poco sensato dopo anni di utilizzo di CentOS) e anche la vision degli amici con il cappello rosso non suona male, a partire dai temi legati all’automazione.

Se siete in vena di spendere qualche quattrino in licenze non si può non citare SUSE Linux Enterprise Server (spesso abbreviata in SLES, acronimo che non rende assolutamente giustizia). Sullo stesso stile ma senza gli oneri economici si potrebbe considerare Open SUSE.
In entrambi i casi si tratta di distribuzioni mature con una lunga storia alle spalle, non sarebbe quindi una scelta così azzardata… anzi.

Per i puristi, neanche a dirlo, c’è la nostra amata Debian… ma non raccontiamocela troppo: la maggior parte, soprattutto chi non l’ha lungamente utilizzata, si stancherà rapidamente del prezzo da pagare per un sistema stabile (pacchetti non sempre recenti) e scivolerà rapidamente verso Ubuntu Server.
La distribuzione di Canonical non è affatto male ma non la considererei, nel merito, un’alternativa a Debian, paradossalmente potrebbe essere più vicina alle esigenze di chi utilizzava CentOS rispetto alle “rigidità” dei figli di Debian (ammettiamolo, siamo un po’ rigidi anche se con ragion d’esserlo visto che lo scopo è la stabilità e la sicurezza).

Provando ad uscire un po’ da questi ragionamenti, che mi aspetto faranno più o meno tutti, ha sicuramente senso fare qualche prova con distribuzioni meno usate ma che potrebbero rispondere alle nostre esigenze. Quelle che più si stanno facendo sentire sono:

  • Oracle Linux
  • Arch Linux
  • Slackware (a cui sono particolarmente affezionato)

Farsi un’idea su questi ambienti potrebbe aiutarci a comprendere meglio qual’è la distribuzione che meglio ci aiuterà a gestire l’epoca post-CentOS.

cyber security, update

Cyber Security mindset

C’è una tesi di base che dovrebbe diventare il nostro modus operandi generale nella gestione dei problemi, qualunque problema, a prescindere dalla natura o dal contesto.

La prima cosa che dobbiamo imparare è riconoscere il problema. È banale: se un fatto o una evidenza non viene riconosciuta come un potenziale problema è ovvio che nessuno valuterà delle azioni atte alla sua gestione e risoluzione. L’impatto dell’incapacità di gestire un problema è doverne poi gestire gli effetti, ovvero gli “incident” ad esso correlati; si rischia così di entrate in un loop estremamente inefficiente di break/fix che non aiuterà l’organizzazione, anzi, la ostacolerà.

L’inefficienza è un costo che grava sulle nostre organizzazioni e, in un contesto di cyber (in)security, è anche un rischio in quanto l’impatto di un security incident è potenzialmente disastroso. Se applichiamo la logica break/fix — aggiusto quando si rompe — facciamo poca strada in quanto la gestione di eventi come un data breach o un attacco ransomware ha risvolti assolutamente imprevedibili… e anche diventassimo bravissimi a prevedere i costi di gestione di alcuni specifici attacchi (tutti è impensabile) quanti realisticamente potremmo gestirne? Quanti data breach siamo in grado di sostenere?

L’approccio al problema fa tutta la differenza, la cyber security non può essere approcciata in modalità break/fix ma va gestita strategicamente per trasformare quello che apparentemente è un costo in un investimento atto ad aumentare la qualità della nostra organizzazione, del nostro lavoro e del nostro “prodotto”.

L’approccio

Partiamo dal prendere in considerazione l’approccio che ha il mondo del cyber crime: questo ci aiuta a mettere a fuoco il problema e ci da qualche spunto per capire come gestirlo in modo efficiente oltre che efficace.
I criminali informatici sono molto metodici ed il modello in uso è affine a quello che utilizzeremmo noi nel progettare una nuova idea di business.

Probabilmente ragioneremmo sul mercato che ci interessa approcciare, cercheremmo di identificare il nostro prototipo di cliente/target, valuteremmo una strategia di approccio per entrare in contatto con il nostro target. Un volta stabilito l’engagement ci preoccuperemmo del metodo di lavoro e degli strumenti necessari.

Ripercorriamo questo modello con un esempio molto pratico e molto realistico di come un’organizzazione criminale approccerebbe un “business digitale”.

Il mercato
Esistono diversi ambiti in cui il business del cyber crime può crescere. Una macro-suddivisione che spesso propongo, non completa ma molto pragmatica, è riducibile a due grandi “mercati”: le informazioni e la produzione (per lo più in ambito industriale ma vale anche per i servizi). Quindi da una parte abbiamo le aziende e gli enti che gestiscono informazioni, più o meno riservate e sempre più strategiche, dall’altra parte abbiamo le aziende che producono, che ideano, ingegnerizzano e creano qualcosa di nuovo che viene immesso sul mercato “ordinario”.

Dal punto di vista dell’attacker la valutazione del mercato è un tema che richiede ponderazione in quanto i modelli che dovrà applicare saranno estremamente vincolati alla tipologia di mercato su cui si muoverà.

Il target
Definito l’ambito viene qualificato il target: aziende di produzione ve ne sono di molti tipi e di molte dimensioni e la stessa cosa si può dire delle aziende che in qualche misura gestiscono dati sensibili ed informazioni strategiche. La qualifica del target consente di ragionare sulle strategie che possono essere utilizzate per poi definire un modello che tenga conto del costo di realizzazione dell’attacco e di conseguenza della quantità di danaro che si intende incassare dall’azione criminosa.

È ovvio che il modello funziona nel momento in cui il costo sostenuto per gli attacchi sia abbondantemente coperto dalle somme di denaro che si conta di raccogliere. Questo porta l’attacker a ragionare sull’efficienza ed a ricercare modelli di attacco relativamente poco costosi rispetto all’ipotetico incasso.

La ricerca dell’efficienza ha portato allo scenario attuale in cui gli attacchi informatici sono sempre più composti da una miscela di azioni che comportano l’uso (o l’abuso per meglio dire) della tecnologia quanto l’uso dell’inganno (Social Engineering).

Possiamo speculare all’infinito su quale target sia più appetibile, è quindi saggio valutare lo storico per farci un idea e scoprire probabilmente molte conferme in relazione alle riflessioni che mi auguro questo articolo abbia scatenato.

Industria, educazione e sanità (in senso ampio) attraggono da soli poco più del 50% degli attacchi. L’orientamento degli attacchi ci da delle ottime indicazioni circa il modello che il mondo del cyber crime sta implementando e questo ci porta direttamente alla prossima considerazione.

La strategia
Ovviamente vi sono molte strategie che si possono applicare in un contesto di attacco ma ancora una volta è sufficiente osservare i trend e, purtroppo, leggere la cronaca per giungere a delle conclusioni molto realistiche. Nel caso degli ambienti di produzione o di erogazione di un servizio talvolta anche critico la strategia è quella di generare un’interruzione del servizio. Per un’azienda di produzione può voler dire l’incapacità di mantenere attivi i propri impianti o la propria rete logistica, per il mondo ospedaliero può voler dire il caos organizzativo o, in casi estremi, il mettere a rischio vite umane. La strategia è quindi mettere alle strette la propria vittima, colpire in modo tale da non lasciare molte scelte se non quella di sottostare alle condizioni di riscatto, con degli “incentivi” in più: la minaccia di divulgare informazioni sensibili in caso di non collaborazione.

Il metodo
Passiamo dalla strategia alla tattica, ovvero al piano d’azione che viene messo in atto al fine di mettere alle strette il proprio target. Ci sono molti modi per colpire un’azienda individuata come potenziale vittima e tipicamente, ancora una volta, la valutazione è opportunistica. È ovvio che è più efficiente colpire là dove l’impatto sarebbe più elevato e nel modo meno “faticoso” possibile, l’analisi si sposta quindi sul modello di business dell’azienda target per valutare quale azione porrebbe essere quella più impattante.

Per un’azienda che eroga servizi online potrebbe essere particolarmente critico il portale con cui gestisce le transazioni, per un’azienda di produzione è sicuramente vitale mantenere attivi gli impianti. Nella quasi totalità dei casi il funzionamento delle aziende è saldamente legato al funzionamento dei sistemi IT, non solo per ciò che riguarda il complesso tema della gestione delle informazioni e delle comunicazioni ma sempre di più anche per la gestione e l’utilizzo degli impianti di produzione.

L’automazione industriale rappresentante un evidente vantaggio competitivo: grazie alla possibilità di far dialogare il mondo OT con il mondo IT è stato possibile portare efficienza in contesti che in passato avrebbe richiesto impianti molto complessi. Il “nuovo” scenario espande enormemente la superficie attaccabile di questa tipologia di target e non passa inosservato il fatto che sistemi sviluppati in contesti assolutamente isolati si trovano oggi ad essere interconnetti ad altri sistemi e ad altre reti. La miscela è estremamente infiammabile: molte tecnologie non sono state pensate per lavorare in contesti estremamente interconnessi come quelli delle reti IT e, va da se, non sempre sono stati progettati tenendo in considerazione temi come la sicurezza informatica, semplicemente perché prima non vi era la necessità.

Lo strumento
In gergo il “vettore” d’attacco, il mezzo ultimo attraverso il quale l’attacker colpisce in base alla tattica scelta: si può trattare di un crypto malware, di una email a fini truffaldini (scam) o dello sfruttamento di una vulnerabilità per ottenere un accesso abusivo ai sistemi della vittima. Poco importa, stiamo parlando di uno strumento al servizio di uno scopo, dell’atto ultimo di un percorso ben più lungo ed articolato.

Un esercizio di mindset: il perché?

Il paradosso sta nel fatto che quando si parla di cyber security troppo spesso ci si riferisce agli strumenti, alla tecnologia, alle soluzioni, ovvero il tema viene ridotto ad una specifica parte di un ben più vasto argomento. Raramente si parla di metodo o di strategia, ancor meno si parla di motivazione ed approccio.

Limitando il focus sugli strumenti e sulla tecnologia ci troviamo inevitabilmente a discutere di costi: costi per sistemi di protezione, costi per adeguamenti a procedure e regolamentazioni, costi per servizi di assessment e consulenze. È ovvio che gli strumenti sono necessari ma non possono essere di per sé il fine. È altrettanto ovvio che se restiamo ad argomentare sul costo dello strumento sarà molto complesso elaborare un piano.

Questo è il salto da fare: dobbiamo fare un piano, dobbiamo capire dove e come investire risorse — economiche e cerebrali — per sviluppare un piano che ci permetta di generare una cultura della sicurezza informatica nella nostra organizzazione e che questa cultura diventi un percorso qualitativo che sia di impatto sul nostro modo di lavorare e quindi sul prodotto finale.

Aumentare la qualità del nostro lavoro e del nostro prodotto è ciò che ci distinguerà quando ci presenteremo sul mercato: salvo non essere monopolisti tutti dobbiamo fare i conti con la concorrenza e in un mondo reso complesso dalle minacce informatiche essere l’organizzazione che lavora con principi di sicurezza by design è indubbiamente un bel punto a favore per distinguersi. Da costo per arginare situazioni spiacevoli a vantaggio competitivo.

Ho investito in un percorso che ha portato la mia azienda ed il mio prodotto/servizio ad essere più resiliente, se non anti fragile, alle minacce informatiche per restituire maggior valore al mio cliente.

Questa deve essere la spinta motivazionale, competere sul valore del prodotto o servizio che proponiamo su un terreno relativamente vergine. Tutto il resto, ciò che ne consegue, sono graditissimi effetti collaterali che rappresentano parte del ritorno d’investimento: riduzione del rischio cyber, affidabilità dell’infrastruttura e degli impianti, migliore posizionamento del brand, specifiche qualifiche in ambito gestione del rischio sempre più richieste dai clienti come da interlocutori come chi opera nella sfera assicurativa e finanziaria. Frutti di un processo virtuoso che, per esser tale, va intrapreso nel modo corretto e deve diventare un percorso strutturato per l’organizzazione. Per ovvie ragioni non è pensabile di operare con budget e tempo infinito, è necessario che qualcuno venga designato a valutare una strategia, a tracciare una via.

Come lo facciamo?

Il perché vada fatto è chiaro, non è solo un tema di rischio è un tema di vantaggio competitivo. Questa è la motivazione. Un metodo per costruire questo percorso può essere quello che dobbiamo imparare per gestire in generale i problemi — non gli incident, i problemi — e come vi avranno detto in tutti i corsi di management degli ultimi 25 anni i problemi sono… lo sapete già.

Per prima cosa dobbiamo comprendere il problema, in questo caso la minaccia. A cosa siamo esposti esattamente? La tendenza è quella di analizzare gli strumenti: sappiamo che ci sono i ransomware e quindi cerchiamo di arginare con strumenti di protezione specifici, sappiamo che c’è il phishing e di conseguenza adottiamo strumenti anti-phishing… Strumenti, ma non strategie. Quante aziende hanno un piano di incident management in caso di attacco? Quante aziende misurano il proprio grado di resilienza a reali minacce informatiche eseguendo dei security test e degli assessment?

Comprendere la minaccia implica la conoscenza della minaccia stessa, non delle ipotetiche “barriere” che potremmo adottare. L’approccio che personalmente ho trovato efficiente è analizzare il target, l’organizzazione in questo caso, con gli occhi dell’attacker, che analizza, valuta i punti deboli tecnici ma soprattutto umani e procedurali e sulla base di questi costruisce un modello di attacco efficacie perché va a colpire la dove siamo deboli (ed è diventato il mio lavoro, il mio impegno quotidiano).

Una buona strategia di difesa deve tener conto dei modelli di attacco, non solo dei vettori ultimi (il ransomware) ma dei metodi di implementazione dell’attacco, in caso contrario il rischio è di essere colpiti la dove non abbiamo presidiato.

Una eccellente strategia di difesa tiene conto della possibilità di essere attaccati. È poco saggio, oggi, pensare di essere invulnerabili, è molto più assennato valutare situazioni critiche e costruire dei piani di contingenza. Sapere cosa fare nel momento del bisogno fa la differenza tra il ripartire in 24 ore e non ripartire. Ancora una volta la strategia di difesa non possiamo inventarcela, va definita tenendo conto delle peculiarità dell’organizzazione partendo dal modello di business e dai processi.

È evidente che si tratta di un percorso dove le economie vanno ponderate in relazione alle criticità, ed è proprio dalle criticità che si parte, ovvero da quei rischi, grandi o piccoli, che presentano anche un elevato impatto.

L’efficienza ed efficacia devono governare questo percorso, non la tecnologia. Sia ben chiaro la tecnologia resta lo strumento indispensabile ma è appunto uno strumento. Costruire una strategia di difesa dalle minacce cyber ci consentirà di selezionare e governare correttamente la meravigliosa tecnologia che il mercato ci presenta.

Mindset: approcciamo il problema con la mentalità corretta.
Strategia: analizziamo la situazione di partenza e facciamo un piano di crescita.

Il bilancio non può che essere positivo in termini di qualità e presenza sul mercato.

Questo il tema che oggi, 12/11/2020, tratterò assieme ai relatori dell’evento “La gestione virtuosa della cyber sicurezza” al quale potete registrarvi da qui: https://tinyurl.com/yxgufyo2