L’intelligenza cyber al servizio della sicurezza fisica

Previene le minacce informatiche, supporta i team di security e integra la sicurezza fisica. La cyber intelligence è un’opportunità da sfruttare, investendo prima di tutto nella cultura aziendale.

Di fronte alla marea montante di minacce cyber che emergo­no costantemente nello spa­zio virtuale di Internet, per le aziende oggi è importante pre­vedere e prevenire gli attacchi informatici. Una sorta di sfida nella sfida, consi­derata la complessità che già caratterizza il tema della cyber security di per sé. Tuttavia, a dire il vero, la tecnologia evolve costantemente e una delle nuove frontiere da esplorare riguarda la cyber intelligence, con la sua capacità di studiare e anticipare le mosse dei cyber criminali.

Hervé Lambert, Global Consumer Operations Manager di Panda Security

«La cyber intelligence è un processo di sorve­glianza digitale, che consente di conoscere le minacce che potrebbero colpire un’azienda e i suoi dati più importanti», spiega Hervé Lambert, Global Consumer Operations Manager di Panda Security. «Raccogliere informazioni e sviluppare conoscenze è fondamentale per difendersi, per prevedere potenziali threat e prendere le giu­ste decisioni. Spesso la cyber intelligence viene intesa come sinonimo di cyber security; questa associazione, però, ne limita il contesto all’anali­si tecnica delle minacce per migliorare le misure di cybersecurity di un’azienda, considerandola interamente difensiva».

Con la cyber intelligence, ricorrendo a un’ana­logia sportiva, si passa all’attacco. «La portata della cyber intelligence è più ampia - conferma Lambert - va intesa come una serie di strategie basate sulle informazioni a supporto dei processi decisionali e della pianificazione. In questo sen­so, la cyber intelligence, oltre allo scopo difensi­vo, è dotata di un’indole proattiva, sviluppando segnalazioni strategiche e previsionali delle mi­nacce informatiche, con l’obiettivo di prevenirle ed evitarle, o almeno mitigarne i rischi».

Minacce in aumento

Oltretutto, oggi, le tipologie di minacce informa­tiche sono innumerevoli e provengono da ogni parte. Ecco perché l’allerta dev’essere massima ed è necessario vagliare qualsiasi strumento e strategia di difesa.

«Oggi i principali rischi, per le aziende di qualun­que dimensione, sono rappresentati dalle minac­ce interne», racconta Lambert. «Principalmen­te dalle minacce “accidentali”, come la fuga di informazioni dovuta all’uso di indirizzi e-mail inesatti, la mancata identificazione di attacchi di phishing o errori dovuti alla configurazione errata dei sistemi informatici. Tuttavia, le azioni dolose sono in crescita, dato che è più semplice corrompere un dipendente piuttosto che man­dare a segno sofisticati attacchi informatici. Inoltre, le aziende spesso non sono consapevoli del numero di dipendenti che hanno accesso a informazioni sensibili».

Non c’è da stupirsi, allora, se la cyber sicurezza è oggi divenuta un tema decisivo, che coinvolge l’intera organizzazione di un’impresa. «Il 2021 è stato l’anno in cui si è raggiunto un numero enorme di attacchi informatici contro aziende di ogni tipologia», segnala Lambert. «I ransomware, gli attacchi alla supply chain, che possono aggirare le misure di cyber security infiltrandosi nei sistemi dei fornitori, le truffe BEC, che combinano spear phishing e social en­gineering per rubare grandi quantità di denaro, sono sicuramente le tipologie di attacco mag­giormente diffuse».

Come difendersi

Prima ancora che prodotti e soluzioni, la priorità di ogni azienda dev’essere la cultura della sicu­rezza, da costruire interrogando socraticamente se stessa. «Per prepararsi ed essere poi resiliente a livello informatico, un’azienda deve porsi alcu­ne domande fondamentali - aggiunge Lambert - quali aspetti della nostra organizzazione devo proteggere? Quali informazioni potrebbero cer­care di scoprire concorrenti e avversari e perché? Come potrebbero farlo, quali capacità hanno a disposizione, stanno applicando un approccio tecnico o stanno cercando di corrompere i nostri dipendenti? Cosa possiamo fare, e cosa stiamo facendo, per ridurre le loro possibilità? Quali tec­niche di opposizione potremmo impiegare per salvaguardare le nostre informazioni, i nostri brevetti o sviluppi di R&S?»

L’auto-indagine risulterà decisiva nell’implemen­tazione della strategia di difesa contro i cyber attacchi. «Se non si è in grado di rispondere alle prime due domande, probabilmente l’organizza­zione adotterà misure di sicurezza inefficaci per la sua protezione - ricorda Lambert - Per evitare ciò, è necessario porre attenzione a tre aree spe­cifiche. La prima riguarda la selezione del perso­nale: è fondamentale scegliere adeguatamente in base ai privilegi di accesso. La seconda area è quella della formazione e sensibilizzazione dei lavoratori, che consentono di identificare non so­lo un possibile attacco, ma anche di individuare atteggiamenti sospetti o azioni improprie degli insider. Infine, l’ultima area cui fare riferimento è quella della supervisione, con un programma di monitoraggio e di indagine che funga da de­terrente e che permetta di approfondire non solo gli aspetti tecnici, ma anche la conoscenza di coloro che occupano posizioni chiave nell’orga­nizzazione».

L’esperienza porta Lambert a dare un’indicazio­ne di massima sul fronte delle minacce interne. «Quasi sempre l’insider non è una persona di alto livello nell’azienda, ma un dipendente di medio o basso livello che per vari motivi è insoddisfatto».

L’elemento umano

Passando alle tecnologie, l’integrazione tra si­curezza fisica e cyber intelligence apre nuove opportunità di difesa. «Oggi più che mai c’è l’opportunità di integrare la sicurezza fisica e la cyber intelligence - indica Lambert - Questo pre­suppone l’integrazione dei sistemi fisici e logici al fine di difendere le aziende dai vari attacchi, proteggendole anche da ripercussioni economi­che, politiche e di altro tipo. La chiave è capire le cause degli attacchi».

Anche su questo versante, Lambert offre un’in­dicazione precisa: «Per monitorare il funziona­mento dei sistemi fisici occorrono sistemi binari o digitali: una telecamera di sorveglianza o un bancomat possono essere dotati di sensori per il rilevamento degli attacchi e inviare segnala­zioni. La chiave, però, è sempre comprendere la casistica ed essere in grado di definirla: se si co­noscono le cause alla base di ogni evento, è più facile trovare una soluzione al problema».

Ecco perché la componente umana è decisiva. «È necessario che le aziende dispongano di un anali­sta specializzato in sicurezza, che conosca i tipi di attacchi più vulnerabili per l’azienda e che tenga conto dell’evoluzione delle minacce, dei diversi metodi di attacco, della gestione delle informa­zioni e di come prevenire le minacce», afferma Lambert. Infine, la cyber intelligence può essere alimentata da informazioni alla portata di tutti. «Bisogna prestare attenzione alle fonti pubbli­che per conoscere i rischi attuali in ogni settore. Spesso - conclude Lambert - i siti specializzati, i social media, i forum sono ricchi di informazioni provenienti da o riguardanti gli aggressori».

Sababa Security - Informarsi per prevenire gli attacchi

Sababa Security si occupa di servizi e cyber security in mo­do orizzontale, con particolare riferimento, oggi, a due mercati verticali. Il primo è l’automo­tive, in particolare la smart mobility, mentre il secondo è l’ambito dell’operational tech­nology e dell’IoT, dagli impianti produttivi alle stampanti colle­gate in rete.

Alessio Aceti, CEO di Sababa Security

«Oltre la parte commerciale, il nostro obiettivo è portare con­sapevolezza sul mercato, par­tecipando a eventi, conferenze scientifiche e appuntamenti divulgativi - racconta il CEO Alessio Aceti - Non di rado oggi le grandi aziende hanno in rete gruppi di continuità, telecame­re, controllo accessi, sensoristi­ca e building automation gestiti dal cosiddetto shadow IT, ovve­ro qualcuno che potrebbe non avere piena consapevolezza dei rischi cyber». Da qui l’emergere di nuove sfide e vulnerabilità, che possono essere affrontate con la cyber intelligence.

Qual è il valore aggiunto del­la cyber intelligence rispetto alle altre tecnologie di sicu­rezza informatica?

«Sotto il profilo teorico, la cyber intelligence riguarda l’insieme delle informazioni che un’a­zienda può collezionare su chi vuole attaccarla. Chiaramente tali informazioni devono esse­re fruibili e utili allo scopo di implementare una difesa day-by-day, attraverso indicatori di compromissione che sappiano puntualmente leggere e rileva­re per tempo le nuove ed emer­genti tipologie di attacco.

Per esempio, la notizia del furto di dati da alcune telecamere, sfruttando determinati servi­zi durante un cyber attacco, diventa un’informazione di intelligence a disposizione dei produttori per aggiornare le configurazioni dei propri siste­mi di videosorveglianza. Purtroppo, anche l’attaccante può comportarsi nello stesso modo, navigando nel web e raccogliendo in maniera passi­va tutte le informazioni dispo­nibili sull’azienda individuata come obiettivo del suo attacco, comprese quelle sui sistemi di sicurezza fisica in uso.  In questo modo l’aggressore elabora una mappa delle vul­nerabilità della sua vittima, preparando al meglio il suo attacco.

Una minaccia che può coinvolgere qualsiasi tipologia di impresa, anche la più piccola e artigianale. Infatti, una delle attività del crimine consiste anche nel rivendere le informa­zioni e le credenziali raccolte per successivi attacchi diffusi, in grado di colpire duramente sia le PMI sia le grandi aziende».

Quali possono essere i livelli di integrazione tra cyber in­telligence e sicurezza fisica? 

«Oggi i sistemi di sicurezza fisi­ca sono connessi a Internet e a una centrale operativa esterna. Quindi, disporre di informazio­ni di cyber intelligence anche su dispositivi come controllo accessi e telecamere rappre­senta un supporto prezioso. Diventa infatti più facile sco­prirne le vulnerabilità e renderli più resilienti, anche attraverso il dialogo con il fornitore tecno­logico. Inoltre, vi sono tipologie di attacco che non presentano sintomi.

Per esempio, l’attaccante che vuole accedere a uno stabile per sottrarre beni materiali, è attento a non creare disservizi quando compromette allarmi e telecamere, al fine di osserva­re indisturbato le sue vittime per un tempo indeterminato e studiarle prima di sferrare l’at­tacco fisico. Di conseguenza, raccogliere più informazioni possibili sulle ti­pologie di attacco agli stabili, potrebbe aiutare le potenziali vittime a capire di essere il tar­get di qualche criminale, indi­viduando prontamente alcune compromissioni ai dispositivi di sicurezza fisica implemen­tati e riconfigurandoli imme­diatamente.

Agli utenti, poi, è richiesta anche un po’ di furbi­zia, evitando di pubblicizzare i propri strumenti di difesa allo scopo di dissuadere i crimina­li. Questa diventa, al contrario, un’informazione preziosa per gli attaccanti. Un altro esempio riguarda i produttori italiani ed europei di strumenti come i videocito­foni, basati su componenti pro­venienti dall’Asia. Qui la cyber intelligence è importante per monitorare e individuare vul­nerabilità e attacchi a prodotti simili in altre parti del mondo».

In uno scenario simile, quale ruolo può giocare l’installa­tore di sicurezza fisica?

«Innanzitutto, per un installato­re è necessario acquisire consa­pevolezza sui rischi cyber. De­v’essere in grado di creare pas­sword differenti per i dispositivi installati presso i propri clienti. Al termine dell’implementazio­ne dell’impianto deve invitare i clienti stessi a creare password complesse ed efficaci.

L’installatore può inoltre svol­gere qualche attività di intel­ligence, monitorando i siti dei produttori e individuando fir­mware aggiornati per migliora­re l’affidabilità dei dispositivi in uso presso i clienti.  Oltretutto la cyber intelligence nasce semplicemente leggendo notizie di pubblico dominio su attacchi hacker. Approfonden­dole, si risale ai sistemi coin­volti e agli obiettivi specifici di quella particolare azione di cyber crime. Infine, anche un installatore di piccole dimen­sioni può svolgere attività di cyber intelligence, collaboran­do con associazioni e consorzi».

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome