Previene le minacce informatiche, supporta i team di security e integra la sicurezza fisica. La cyber intelligence è un’opportunità da sfruttare, investendo prima di tutto nella cultura aziendale.
Di fronte alla marea montante di minacce cyber che emergono costantemente nello spazio virtuale di Internet, per le aziende oggi è importante prevedere e prevenire gli attacchi informatici. Una sorta di sfida nella sfida, considerata la complessità che già caratterizza il tema della cyber security di per sé. Tuttavia, a dire il vero, la tecnologia evolve costantemente e una delle nuove frontiere da esplorare riguarda la cyber intelligence, con la sua capacità di studiare e anticipare le mosse dei cyber criminali.
«La cyber intelligence è un processo di sorveglianza digitale, che consente di conoscere le minacce che potrebbero colpire un’azienda e i suoi dati più importanti», spiega Hervé Lambert, Global Consumer Operations Manager di Panda Security. «Raccogliere informazioni e sviluppare conoscenze è fondamentale per difendersi, per prevedere potenziali threat e prendere le giuste decisioni. Spesso la cyber intelligence viene intesa come sinonimo di cyber security; questa associazione, però, ne limita il contesto all’analisi tecnica delle minacce per migliorare le misure di cybersecurity di un’azienda, considerandola interamente difensiva».
Con la cyber intelligence, ricorrendo a un’analogia sportiva, si passa all’attacco. «La portata della cyber intelligence è più ampia - conferma Lambert - va intesa come una serie di strategie basate sulle informazioni a supporto dei processi decisionali e della pianificazione. In questo senso, la cyber intelligence, oltre allo scopo difensivo, è dotata di un’indole proattiva, sviluppando segnalazioni strategiche e previsionali delle minacce informatiche, con l’obiettivo di prevenirle ed evitarle, o almeno mitigarne i rischi».
Minacce in aumento
Oltretutto, oggi, le tipologie di minacce informatiche sono innumerevoli e provengono da ogni parte. Ecco perché l’allerta dev’essere massima ed è necessario vagliare qualsiasi strumento e strategia di difesa.
«Oggi i principali rischi, per le aziende di qualunque dimensione, sono rappresentati dalle minacce interne», racconta Lambert. «Principalmente dalle minacce “accidentali”, come la fuga di informazioni dovuta all’uso di indirizzi e-mail inesatti, la mancata identificazione di attacchi di phishing o errori dovuti alla configurazione errata dei sistemi informatici. Tuttavia, le azioni dolose sono in crescita, dato che è più semplice corrompere un dipendente piuttosto che mandare a segno sofisticati attacchi informatici. Inoltre, le aziende spesso non sono consapevoli del numero di dipendenti che hanno accesso a informazioni sensibili».
Non c’è da stupirsi, allora, se la cyber sicurezza è oggi divenuta un tema decisivo, che coinvolge l’intera organizzazione di un’impresa. «Il 2021 è stato l’anno in cui si è raggiunto un numero enorme di attacchi informatici contro aziende di ogni tipologia», segnala Lambert. «I ransomware, gli attacchi alla supply chain, che possono aggirare le misure di cyber security infiltrandosi nei sistemi dei fornitori, le truffe BEC, che combinano spear phishing e social engineering per rubare grandi quantità di denaro, sono sicuramente le tipologie di attacco maggiormente diffuse».
Come difendersi
Prima ancora che prodotti e soluzioni, la priorità di ogni azienda dev’essere la cultura della sicurezza, da costruire interrogando socraticamente se stessa. «Per prepararsi ed essere poi resiliente a livello informatico, un’azienda deve porsi alcune domande fondamentali - aggiunge Lambert - quali aspetti della nostra organizzazione devo proteggere? Quali informazioni potrebbero cercare di scoprire concorrenti e avversari e perché? Come potrebbero farlo, quali capacità hanno a disposizione, stanno applicando un approccio tecnico o stanno cercando di corrompere i nostri dipendenti? Cosa possiamo fare, e cosa stiamo facendo, per ridurre le loro possibilità? Quali tecniche di opposizione potremmo impiegare per salvaguardare le nostre informazioni, i nostri brevetti o sviluppi di R&S?»
L’auto-indagine risulterà decisiva nell’implementazione della strategia di difesa contro i cyber attacchi. «Se non si è in grado di rispondere alle prime due domande, probabilmente l’organizzazione adotterà misure di sicurezza inefficaci per la sua protezione - ricorda Lambert - Per evitare ciò, è necessario porre attenzione a tre aree specifiche. La prima riguarda la selezione del personale: è fondamentale scegliere adeguatamente in base ai privilegi di accesso. La seconda area è quella della formazione e sensibilizzazione dei lavoratori, che consentono di identificare non solo un possibile attacco, ma anche di individuare atteggiamenti sospetti o azioni improprie degli insider. Infine, l’ultima area cui fare riferimento è quella della supervisione, con un programma di monitoraggio e di indagine che funga da deterrente e che permetta di approfondire non solo gli aspetti tecnici, ma anche la conoscenza di coloro che occupano posizioni chiave nell’organizzazione».
L’esperienza porta Lambert a dare un’indicazione di massima sul fronte delle minacce interne. «Quasi sempre l’insider non è una persona di alto livello nell’azienda, ma un dipendente di medio o basso livello che per vari motivi è insoddisfatto».
L’elemento umano
Passando alle tecnologie, l’integrazione tra sicurezza fisica e cyber intelligence apre nuove opportunità di difesa. «Oggi più che mai c’è l’opportunità di integrare la sicurezza fisica e la cyber intelligence - indica Lambert - Questo presuppone l’integrazione dei sistemi fisici e logici al fine di difendere le aziende dai vari attacchi, proteggendole anche da ripercussioni economiche, politiche e di altro tipo. La chiave è capire le cause degli attacchi».
Anche su questo versante, Lambert offre un’indicazione precisa: «Per monitorare il funzionamento dei sistemi fisici occorrono sistemi binari o digitali: una telecamera di sorveglianza o un bancomat possono essere dotati di sensori per il rilevamento degli attacchi e inviare segnalazioni. La chiave, però, è sempre comprendere la casistica ed essere in grado di definirla: se si conoscono le cause alla base di ogni evento, è più facile trovare una soluzione al problema».
Ecco perché la componente umana è decisiva. «È necessario che le aziende dispongano di un analista specializzato in sicurezza, che conosca i tipi di attacchi più vulnerabili per l’azienda e che tenga conto dell’evoluzione delle minacce, dei diversi metodi di attacco, della gestione delle informazioni e di come prevenire le minacce», afferma Lambert. Infine, la cyber intelligence può essere alimentata da informazioni alla portata di tutti. «Bisogna prestare attenzione alle fonti pubbliche per conoscere i rischi attuali in ogni settore. Spesso - conclude Lambert - i siti specializzati, i social media, i forum sono ricchi di informazioni provenienti da o riguardanti gli aggressori».
Sababa Security - Informarsi per prevenire gli attacchi
Sababa Security si occupa di servizi e cyber security in modo orizzontale, con particolare riferimento, oggi, a due mercati verticali. Il primo è l’automotive, in particolare la smart mobility, mentre il secondo è l’ambito dell’operational technology e dell’IoT, dagli impianti produttivi alle stampanti collegate in rete.
«Oltre la parte commerciale, il nostro obiettivo è portare consapevolezza sul mercato, partecipando a eventi, conferenze scientifiche e appuntamenti divulgativi - racconta il CEO Alessio Aceti - Non di rado oggi le grandi aziende hanno in rete gruppi di continuità, telecamere, controllo accessi, sensoristica e building automation gestiti dal cosiddetto shadow IT, ovvero qualcuno che potrebbe non avere piena consapevolezza dei rischi cyber». Da qui l’emergere di nuove sfide e vulnerabilità, che possono essere affrontate con la cyber intelligence.
Qual è il valore aggiunto della cyber intelligence rispetto alle altre tecnologie di sicurezza informatica?
«Sotto il profilo teorico, la cyber intelligence riguarda l’insieme delle informazioni che un’azienda può collezionare su chi vuole attaccarla. Chiaramente tali informazioni devono essere fruibili e utili allo scopo di implementare una difesa day-by-day, attraverso indicatori di compromissione che sappiano puntualmente leggere e rilevare per tempo le nuove ed emergenti tipologie di attacco.
Per esempio, la notizia del furto di dati da alcune telecamere, sfruttando determinati servizi durante un cyber attacco, diventa un’informazione di intelligence a disposizione dei produttori per aggiornare le configurazioni dei propri sistemi di videosorveglianza. Purtroppo, anche l’attaccante può comportarsi nello stesso modo, navigando nel web e raccogliendo in maniera passiva tutte le informazioni disponibili sull’azienda individuata come obiettivo del suo attacco, comprese quelle sui sistemi di sicurezza fisica in uso. In questo modo l’aggressore elabora una mappa delle vulnerabilità della sua vittima, preparando al meglio il suo attacco.
Una minaccia che può coinvolgere qualsiasi tipologia di impresa, anche la più piccola e artigianale. Infatti, una delle attività del crimine consiste anche nel rivendere le informazioni e le credenziali raccolte per successivi attacchi diffusi, in grado di colpire duramente sia le PMI sia le grandi aziende».
Quali possono essere i livelli di integrazione tra cyber intelligence e sicurezza fisica?
«Oggi i sistemi di sicurezza fisica sono connessi a Internet e a una centrale operativa esterna. Quindi, disporre di informazioni di cyber intelligence anche su dispositivi come controllo accessi e telecamere rappresenta un supporto prezioso. Diventa infatti più facile scoprirne le vulnerabilità e renderli più resilienti, anche attraverso il dialogo con il fornitore tecnologico. Inoltre, vi sono tipologie di attacco che non presentano sintomi.
Per esempio, l’attaccante che vuole accedere a uno stabile per sottrarre beni materiali, è attento a non creare disservizi quando compromette allarmi e telecamere, al fine di osservare indisturbato le sue vittime per un tempo indeterminato e studiarle prima di sferrare l’attacco fisico. Di conseguenza, raccogliere più informazioni possibili sulle tipologie di attacco agli stabili, potrebbe aiutare le potenziali vittime a capire di essere il target di qualche criminale, individuando prontamente alcune compromissioni ai dispositivi di sicurezza fisica implementati e riconfigurandoli immediatamente.
Agli utenti, poi, è richiesta anche un po’ di furbizia, evitando di pubblicizzare i propri strumenti di difesa allo scopo di dissuadere i criminali. Questa diventa, al contrario, un’informazione preziosa per gli attaccanti. Un altro esempio riguarda i produttori italiani ed europei di strumenti come i videocitofoni, basati su componenti provenienti dall’Asia. Qui la cyber intelligence è importante per monitorare e individuare vulnerabilità e attacchi a prodotti simili in altre parti del mondo».
In uno scenario simile, quale ruolo può giocare l’installatore di sicurezza fisica?
«Innanzitutto, per un installatore è necessario acquisire consapevolezza sui rischi cyber. Dev’essere in grado di creare password differenti per i dispositivi installati presso i propri clienti. Al termine dell’implementazione dell’impianto deve invitare i clienti stessi a creare password complesse ed efficaci.
L’installatore può inoltre svolgere qualche attività di intelligence, monitorando i siti dei produttori e individuando firmware aggiornati per migliorare l’affidabilità dei dispositivi in uso presso i clienti. Oltretutto la cyber intelligence nasce semplicemente leggendo notizie di pubblico dominio su attacchi hacker. Approfondendole, si risale ai sistemi coinvolti e agli obiettivi specifici di quella particolare azione di cyber crime. Infine, anche un installatore di piccole dimensioni può svolgere attività di cyber intelligence, collaborando con associazioni e consorzi».